标签: CBP

美参议员炮轰 CBP 电子护照系统存在长达十年的漏洞

据外媒报道,过去十年,美国边境检查人员一直未能有效加密地验明入境人员的护照信息,原因是政府没有合适的软件。在写给美国海关与边防局(CBP)代理司长 Kevin K. McAleenan 的信中,参议员 Ron Wyden 和 Claire McCaskill 要求其就此事作出答复。电子护照的芯片中嵌入了包含机器可读文本和加密信息,可以轻松验证护照的真实性和完整性。 自 2007 年引进以来,所有新发放的护照都是电子护照。在免签名单上的 38 个国家的公民,也都必须持有电子护照,才被允许进入美国。 加密信息使得一本护照几乎不可能被伪造,此外也有助于防止身份盗窃。然而参议员在本周四的这封信中指出,边防人员“缺乏验证电子护照芯片的技术能力”: 即便他们已经在大部分入境口岸部署了电子护照阅读器,CBP 依然没有必要的软件,来验证电子护照芯片上存储的信息。 特别是 CBP 无法验证存储在电子护照上的数字签名,这意味着 CBP 无法判断智能芯片上储存的数据是否被篡改或伪造。 令人震惊的是,早在 2010 年的时候,海关和边防部门就已经意识到了这个安全漏洞。 当年,政府问责办公室在一份报告(PDF)中首次点名批评了 CBP 的上级(国土安全部),指责其“在信赖数据之前,还没有实现验证数字签名所必须的全部功能”。 换言之,在国土安全部门堵住疏漏之前,边防人员只得继续依赖缺乏合理保证的系统,被电子护照芯片上可能被伪造的计算机数据给欺骗。 那么,8 年过去了,CBP 是否已经亡羊补牢了呢?遗憾的是,该机构仍不具备在电子护照上验证机器可读数据的技术能力! 新闻炸锅之后,约翰霍普金斯大学密码学讲师 Matthew Green 在一条推文中写到: 如果你持有一本来自免签国家的护照,那么边防人员只会从电子芯片上读取你的照片和旅行信息,而这些数据的可信度是无法保证的。 马修·格林继续评论道: 令人谛笑皆非的是,尽管这种电子护照是美国在经历了 9/11 恐袭后强行向全球推出的,我们却一直未能正确地使用它。 参议员们希望,有关部门可以在明年年初之前,提出一项对电子护照进行适当的身份验证的计划。不过截止发稿时,CBP 的发言人并没有回应媒体的置评请求。 稿源:cnBeta,原文编译自:ZDNet , 来源:Wyden-Security-Letter(PDF)

美国海关和边境保护局 2017 年搜查 30200 部电子设备

据外媒报道,美国海关和边境保护局(CBP)在 2017 年搜索了更多的手机和笔记本电脑 – 总共 30,200 台设备。 该机构周五公布了这些数字,以及如何进行搜查的最新指导方针,这已经成为唐纳德·特朗普总统政府下的热点问题。 来自美国公民自由联盟(ALCU)的一项诉讼声称,这些搜查侵犯了隐私权,但是美国政府机构则表示这是为了国家安全的考虑。美国海关和边境保护局的副执行助理 John Wagner 在一份声明中表示:“在这个数字时代,电子设备的边境搜查对于在美国边境执法和保护美国人民至关重要。”据悉,从 2016 年到 2017 年搜查量增长了约 59%。 搜查可以显示旅行者手机、平板电脑或计算机上的所有内容,从度假照片到潜在的敏感文档,如业务记录或健康信息。今年 7 月,美国国土安全部表示,其搜索电子设备的权力并没有包括设备可能访问的云数据。 美国公民自由联盟和来自俄勒冈州的民主党人 Ron Wyden 表示,他们很高兴看到美国海关和边境保护局公布他们搜索手机的政策。但是,他们批评了不需要搜查令的指导方针。John Wagner 在声明中指出,海关和边境保护局应该尊重被搜查设备的旅客的公民自由。他补充说:“美国海关和边境保护局搜索电子设备的权力现在已经并将继续得到明智,负责任地执行,并且获得公众的信任。” 相关阅读: 全新美国海关指导方针限制复制文件和搜查云数据 稿源:cnBeta,封面源自网络;编辑:青楚。