根据美国国务院的数据,大约42%的美国公民——大约1.36亿人——持有有效的美国护照。如果你是其中之一,恭喜你!这是一份真正了不起的文件,能够打开在异国他乡旅行和冒险的大门。尽管你的护照提供了通往改变生活的旅行(以及令人心碎的商务旅行)的安全通道,但你对它到底了解多少呢?
当你读完这篇文章的时候,你的答案会是“很多”。
为了了解美国护照是如何制作和保护的,我们采访了美国国务院、国际民用航空组织(ICAO)的代表,以及一名擅长绕过射频设备安全防护的黑客。
布伦达斯普拉格是美国国务院负责护照服务的助理国务卿。她管理着一个由28个机构和中心组成的网络,这些机构和中心负责接受、裁决和签发美国护照。
迈克尔·霍利是美国国务院国际事务办公室主任,也是美国国务院国际事务委员会主席国际民用航空组织(国际民航组织)机读旅行证件工作组——为管理192个参加国有关航空旅行和旅行证件的工作协定和准则而设立的联合国机构。
还有一个人,大家只知道他叫补锅匠。他是达拉斯黑客协会.当他和他的伙伴们不忙着寻找新的道德方式来扰乱我们的数字世界时,他的工作是作为一名专业的渗透测试员:这项工作需要他通过读取和克隆射频识别(RFID)建筑门禁卡来侵入电脑和闯入建筑物。
我们开始吧!
谁负责制作美国护照?
有两个实体负责创建护照簿。首先是美国政府出版署(GPO),它使用护照簿中的各种组件来组装护照簿。一旦这些书出版了美国国务院通过将美国公民的个人数据添加到其页面和RFID芯片上,负责将美国公民使用的图书个性化。
护照是在哪里制作的?
很多地方。2008年,华盛顿时报》发表了一系列的故事声称美国政府将护照制造业务外包给外国公司。在一个案例中,位于泰国的一个承包商据说已被中国情报部门渗透。这一事件导致一些阴谋论者认为,中国政府正在以某种方式跟踪美国游客或窃取他们的数据。根据迈克尔·霍利的说法,这是有一定道理的。
“泰国的故事围绕着我们在2004年和2005年使用的电子镶嵌,”霍利说。”Smartrac是当时为我们生产镶嵌材料的实体。”霍利解释说,为了应对这个问题,美国国务院和GPO已经采取行动,确保护照的大部分部件都是在美国本土制造的。在时间里,自从华盛顿时报》故事结束后,几乎所有与GPO签约的图书供应商都在美国开设了商店。而那些没有的则在盟国。
在你问之前,不,中国政府不会通过你护照上的纸来跟踪你的一举一动。
“护照页面一直都是由鹤纸业公司斯普拉格补充道。“我相信他们是在马萨诸塞州制造的。护照还有其他部件,除了一些墨水、箔纸和一些线是在英国或澳大利亚制造外,所有这些部件都是在美国制造的。但如果你谈论的是美国护照上的国内内容,我猜这一比例远远超过98%。”
射频识别芯片,就像这个嵌入在英国护照封面上的芯片,类似于植入宠物体内的身份识别芯片。
由Shutterstock提供
护照的射频识别芯片上存储了什么信息?
打开护照,直到有你照片的那一页。看到那边的信息了吗?根据斯普拉格的说法,同样的信息也存储在护照本的射频识别芯片上。你还会发现芯片中包含护照主人的生物识别信息和一个加密签名允许国土安全部的边境官员核实护照没有被篡改或以任何方式更改。就是这样。存储在护照射频识别芯片上的信息是如何保护的?
我们刚刚讨论了存储在你护照射频识别芯片中的密码签名,我们从这里开始吧。读取这一签名并解锁芯片上信息的能力是复杂的,出于显而易见的原因,国务院对其进行了严密的保护。但这与保护你银行账户内容安全的安全措施并没有什么不同。
“基本的访问控制类似于ATM机,”Holly解释说。“你把卡放进去,然后输入你的密码,只有这样你才能开始取钱。基本的访问控制要求护照是打开的,机器可读区域是可读的。从机器可读的区域,PIN码被导出,然后芯片才将信息释放给阅读器。这些信息是加密的。我们还使用随机用户标识(RUID)来防止跟踪。当读取器查询芯片时,首先提供的是芯片的序列号。在我们的案例中,每次查询芯片时,都会提供不同的识别号码。”
美国海关和边境巡逻人员是唯一可以阅读这些信息的人吗?
不。美国国务院的公开密码匙基础设施与其他52个国家共享,这样当护照在他们的边境使用时,他们可以核实芯片上的信息没有被以任何方式改变。
黑客能读取护照上的射频识别芯片发出的信息吗?
根据霍利和斯普拉格的说法,为了让护照的射频识别芯片被读取,它需要在射频读取器的六英寸范围内。由于护照封面上埋有一段特殊的安全胶带,所以当护照合上时,芯片上的数据无法读取。这使得当你在机场或旅游目的地闲逛时,任何人几乎不可能破解你护照上的RFID芯片。
理论上是这样。据我们的黑客朋友Tinker说,射频识别相当容易读取。
Tinker解释说:“大多数现成的技术允许人们在几英尺到几英寸的范围内读取(RFID芯片)。”“这个长度取决于天线和电源。”Tinker承认,他曾见过一些技术熟练的人证明他们可以在几英尺远的地方读取RFID芯片。但是这样做所需的硬件不是很便携。这使得它不太适合秘密读取某人的护照数据。就算有人能读取芯片,也不会有太多信息可供他们查看。窥视你的射频识别芯片的人唯一能看到的是迈克尔·霍利提到的不断变化的加密签名。
Tinker很快补充说,读取加密签名所需的信息在互联网上流传的可能性非常小。他不知道是否有任何公开数据转储包含此类信息,但他承认,他没有看到任何作为美国政府数据泄露的一部分被盗的数据2016年,人事管理办公室(Office of Personnel Management)遭到网络攻击.假设,读取某些护照所需的数据可能就在那里。
但说实话,你不需要担心护照上的数据被盗。
护照芯片可以用来追踪人吗?
是的,但根据Tinker的说法,这并不容易,也不值得。
Tinker解释说:“如果你打开护照到处走,人们仍然可以很容易地读到你的护照号码。他们可能没有其他信息,但他们可以把这个号码和你联系起来。到那时,如果他们在一个区域内设置了多个RFID读取器,他们就可以跟踪你在物理空间中的活动。”
正如Tinker前面提到的,设置这样的RFID读取器很麻烦。许多零售商店使用类似的技术来追踪顾客手机发出的蓝牙和蜂窝信号,以追踪他们在商店里走过的地方以及他们停下来看了什么。在追踪某人护照的情况下,大规模使用这种技术将是一场后勤噩梦。
如果你想要疑神疑鬼,那就担心你的智能手机吧——它比护照要容易追踪得多。
市场上有很多用于护照的rfid屏蔽套套,比如Levenger公司的这款售价49美元的套套。
Levenger提供的服务
为护照购买RFID屏蔽套筒有什么意义吗?
鉴于唯一能读取你护照芯片上信息的人是拥有正确密码凭证的边境官员,所以没有令人信服的理由为你的护照购买RFID信号屏蔽套,也被称为法拉第套。也就是说,法拉第套筒很便宜,而且是保护护照在随身行李中颠簸时免受物理损伤的好方法。护照卡则完全是另一回事。他们的目的是使美国公民重新进入美国的过程更加迅速。射频接收器可以在25英尺远的地方读取它们。由于安全风险更大,国务院在这些卡上的数据不像在护照簿上那样多;卡上只有一个唯一的识别号码。此外,当一张新的护照卡被寄给收件人时,它会附带自己的法拉第套筒。尽管卡片所包含的信息很少,但在向边境官员出示卡片时,最好只把卡片从袖子里拿出来。如果你的袖子丢了,你会想马上买一个新的。
如果护照丢失或被盗怎么办?
你的护照丢了吗?你并不孤单。每年有近35万本美国护照丢失或被吊销。
当护照被报告丢失或被盗时,国务院会通知国土安全部。国土安全部向他们提供护照号码和签发日期。这些信息也被发送给国际刑警组织,以纳入其被盗或丢失的旅行证件数据库,以及亚太经济合作组织区域运动警报系统.根据迈克尔·霍利的说法,这样做是国务院防止护照被用于任何邪恶活动的最佳选择。
“旅行者应该知道的一点是,一旦你报告你的书被偷了,就没有回头路了。它对你来说已经死了。你必须买一本新书,”斯普拉格补充道。如果你的护照和你在美国境外分开了,这并不意味着你的旅行将不得不结束。
“我们在每个大使馆和领事馆都有一个全球数据库,”斯普拉格说。“在很短的时间内,他们就能根据你的名字和出生日期把你拉出来。他们会核实你的身份,然后你可以获得紧急替换护照,继续你的旅行。”这种紧急护照没有普通美国护照所具有的所有安全铃铛和口哨。它包含了足够的信息,当你到达国际边界时,你可以继续旅行,或者当你准备回家时,让你回到美国。一旦你的旅行结束,你可以期待一个新的护照出现在你的家庭住址。
