Passport Authentication

Gara-gara membaca status teman yang passportnya bermasalah dan juga kasus penumpang MH370 yang menggunakan passport curian.
saya jadi gatel pengen nulis analisis bodo-bodoan mengenai bagaimanakah proses autentikasi passport ini.

Klo saya baca di Wikipedia seh, sistem authentifikasi passport itu pun menggunakan PKI (Public Key Infrastucture).
Saya sendiri kurang paham bagaimana PKI yg digunakan untuk passport auth cuma saya asumsikan ini similar dengan sistem di telco.

Di telco sendiri, untuk setiap entity yang membutuhkan authenticate terhadap CA/RA, hal pertama dilakukan adalah
– generate public dan private key dr entity tersebut. Kedua key ini complement each other, artinya untuk bisa membuka/decrypt ini, hanya bisa dilakukan oleh pasangannya.
– Kemudian public key ini bisa langsung dikirim ke CA/RA ataupun bisa di bundling dengan menggunakan cert. Di normal scenario rata-rata menggunakan cert.
– Cert ini kemudian di signed oleh CA/RA dengan private keynya dan hasil dari signed ini kemudian di transfer ke entity ini
– cert signed kemudian di load di entity ini, dan entity ini sudah terauthentikasi terhadap CA ini.

Sekarang kita analogi kan dengan passport (PS saya ga punya referencenya sih, jadi ini lebih merupakan karangan saya hehehe)
Ketika passport kita di buat, maka pihak admin di autorisasi terkait akan mengisi passport ini dengan identitas diri kita, termasuk foto dan finger print.
Setelah semua data di input di komputer imigrasi indonesia, maka sebelum passport ini di signed, passport ini akan generate public dan private keynya.
Public key + data informasi dari passport ini kemudian di kirim ke CA/RA saya asumsikan ini CA/RA ini adalah depkumham di Indo yah.
Dan dengan Husnudzon, saya berpikir CA/RA yang di punya oleh pemerintah kita adalah High Availability Cluster, jadi tidak ada issue dengan performance atau disaster recovery etc
Data ini kemudian di signed oleh RA/CA pemerintah kita yang kemudian di instaled/printed di passport kita.

Klo benar prosesnya seperti ini, sy kok melihatnya tidak ada perbedaan yah antara passport yang di keluarkan oleh KBRi dengan kantor imigrasi di indo kecuali procedurenya bukan seperti yang saya maksud diatas. (klo ini syaa mohon maaf, berarti saya salah).

Naah sekarang misalnya kita traveling ke suatu negara yang membutuhkan passport checking, bagaimana kah prosesnya??

berdasarkan yang sy dapatkan di internet..

http://en.wikipedia.org/wiki/File:Border-Control-Process.png

Secara umum memang sama antara di telco dengan dunia passport ini.

Contoh nyatanya seperti ini, passport saya dikeluarkan oleh KBRI Estonia misalnya, dan saya traveling ke Mexico.
Jadi ketika saya memberikan passport saya ke imigrasi di Mexico, pertama komputer ini akan mengecheck basic infomation seperti foto, validity etc.
setelah berhasil pada tahap ini, kemudian dilanjutkan dengan check dengan keaslian passport ini.
Sebetulnya ada 3 seh yang di check, Confidentiality, Integrity and Authenticate.
Imigrasi mexico akan mengecek siapakah trust anchor yang mengeluarkan passport ini, dan karena ini yang mengeluarkan adalah KBRI estonia yang mana KBRI ini adalah bagian dari pemerintah Indonesia maka public key yang dipakai adalah public key dari CA of Indonesia. (PS public key ini bisa disebar luaskan, namun untuk private key akan di simpan seaman2nya di CA tersebut)
Public key ini akan mengecek private key dari passport ini, dan jika ternyata key ini complement each other, maka proses ini akan passed.

Klo saya melihatnya, didunia yang semuanya online, harusnya chance passport kita tidak terauthenticate disini harusnya sangat kecil, yang artinya regardless which org yang keluarin passport ini, selama CA/RAnya sama (aka CA/RA Republik Indonesia) harusnya passportnya bisa terauthentikasi.
Cuma sekali lagi, sy ga tau prosesnya bagaimana untuk passport auth, namun kalo berdasar konsep PKI seh harusnya seperti itu yah, jadi klo salah, saya minta maaf lagi hehehe

Ok, kita asumsikan proses ini sudah terlampaui. maka hal berikutnya adalah mengecek apakah passport ini termasuk black list atau bukan??
klo di dunia Telco, kita menamakan ini CRL(certificate revokation list) checking, artinya walaupun passport/certificate ini valid, apakah termasuk yang diblack list atau bukan
ternyata di passport auth juga sama…

hanya perlu di ingat loh yah…while di Telco itu lebih terclosed network atau masih dalam jangkauan 1 negara while di passport ini CRL checkingnya mesti worldwide, artinya klo passportnya di BL di Indonesia, maka info ini juga mesti accessible dari Guatemala atau Haiti misalnya.

Naah sekarang asumsi kita punya 200 negara yang masing2 punya black list sebesar 10000 passport, artinya ada sekitar 2 juta passport.
dan ketika 1 passport checking, ini mesti mengecek 2 juta entry, dan ini mesti dilakukan setiap ada passport yang akan di check pihak imigrasi di seluruh dunia…
kebayang kan betapa beratnya, klo di telco seh kita pake protocol OSCP, ga tau klo di passport ini. cuma harusnya ada lah protocol yang handle hal ini yang harusnya performancenya cukup mumpuni.

Belum lagi klo kita di negara yang internetnya lambat, artinya ketika dia mesti mengecek CRL checking ini butuh koneksi internet yang cukup besar. Ini juga tantangan tersendiri.
Jawaban CRL ini sebenernya gampang, YEs or No that this passport is belong to black list or not.
Cuma kebayang kan proses dibelakangnya…

Ada possibility juga untuk mirror CRL server, cuma saya ga ngerti deh dari aspek security apakah ini aman atau tidak.

Jadi ada bisa bayangkan ketika anda melewati imigrasi, background processnya seribet itu, makanya klo pas kita nunggu, harap maklum aja klo lama hehee

Yang ingin saya bagi disini adalah supaya kita bisa lebih security awareness, tentunya bukan cuma kita sebagai end user, tapi juga pihak pengeluar passport dan/atau pengecek passport mesti lebih aware akan hal ini.

Saya sendiri mengerti, investasi untuk e-passport online ini sangat besar, sehingga saya mengerti jika beberapa negara mengangap hal ini masih belum merupakan threat, padahal klo sudah kejadian seperti MH370, yang ada kita hanya bisa meratapi hal tersebut.

Trust me.. its worthed of money to implment such technology… when we are more and more become technology bound, security becoming serious aspect.

Mohon maaf, jika ada salah2 kata, namanya juga analisis bodo2an hehehe

Salam hangat dari Stockholm

Cheers,
Indra

Ohya tambahan, untuk biasanya proses authentikasi ini 2 ways authentification, namun untuk passport ini harusnya hanya 1 way. Artinya passport ini perlu di authenticate terhadap CA/RAnya, namun sebaliknya CA/RA ini ga perlu di authenticate di passportnya….

beberapa komen di pesbuk yang cukup memberi pencerahan

Indra Gunawan Naumira : Mantep banget penjelasan soal Key management-nya. Nah aspek securitynya kira-kira memang begitu … Konsuler kedutaan akan entry data applicant passport tentunya dengan program yang terintegrasi yang diberikan oleh Ditjen Imigrasi dan setelah tidak ada penolakan oleh program misalnya soal cekal, etc maka petugas mengeksekusi PRINT dgn mesin pencetak paspor …. hasil print-out yang terpenting tercetak di bagian bawah sbb :

P<IDNGUNAWAN<<INDRA<<<<<<<< dan seterusnya. Itu namanya MRP (Machine Readaböe Passport). Mestinya sih setelah jadi harus di-check … sayangnya kayaknya Konsuler KBRI nggak punya mesin pembaca MRP tersebut (lucu ya !). Oh ya, saya juga nggak punya akses ke konsuler …. itu semua dibatasi atas nama “fungsional diplomat” -gue bukan diplomat gue sandiman” Xixixixixi … Tulisan ente bener banget ndra

Machine Readable Passport itu pertama kali diperkenalkan pada tahun 1980 dan berkembang terus …. nah sekarang semua passport baik diplomatic, dinas, atau biasa harus gunakan MRP, institusi yang mengharuskan adalah ICAO – International Civil AviationOrganization. Bahkan paspor model terbaru tanpa tanda tangan pejabat konsuler karena yaitu tadi pake Public & Initial Key Infrastucture yang secure

santai saja pak Jatmiko Danurejo, passport saya keluaran stockholm dan juga tidak terbaca MRZ nya, tetapi kalau petugas imigrasinya udah pengalaman dia masukin MRZ nya manual. kalau petugasnya bingung biasana aku langsung kasih tahu kalau dia bisa masukin MRZ manual, biasanya karena terbiasa otomatis, step yg itu kadang lupa dan mereka refer next step dari SOP mereka yaitu ke secondary inspection (ditanya tanya dll). kalau di singapore sepertinya untuk masukin MRZ manual harus ke desk lain.

@mas indra, nambahin informasi dikit ya siapa tahu berguna. ada 2 key yang di generate. Country Signing CA Key Pairs (KPuCSCA, KPrCSCA), dan Document Signer Key Pairs (KPuDS, KPrDS), private key dari document signer ini yang di gunakan untuk signed Document Security Objects (SOD), kalau passportnya ada chipnya, Document Signer Key Pairs bisa di simpan di chip tersebut (sebenarnya recommended, jikalau PKDnya ICAO kena DDOS, apalagi sedang marak amplified DDOS sekarang). Kemudian procedurenya 2 key pairs tersebut harus di forward ke ICAO (X.509-format).

 kemudian untuk mengatasi masalah internet lambat, ICAO punya PKD (Public Key Directory – X.500 Directory) yg bisa di akses semua states dan other parties (seperti airlines dll). dan dari sini biasanya bakal di distribute ke most border control dalam 48 jam. Jadi tidak disarankan untuk ke negara yg internetnya susah dalam waktu 48 jam setelah passport jadi, just in case, tapi si biasanya border control systemnya automatis lookup ke PKDnya ICAO

untuk authentikasi, Digital signaturenya diverikasi terlebih dahulu menggunakan Country Signing CA Public Key (KPuCSCA), kemudian baru Document signer certificatenya digunakan verififikasi SOD. na ini mandatory passive authentication, ada juga optional active authentication

Pak Jatmiko Danurejo dan Arra’di Nur Rizal

Mantap sharingnya..

Btw klo gw memahaminya dengan benar..

    • Passport itu ada 2 macem yah sepertinya, yang old-fashion passport seperti yang kita punya dan satu lagi yang pake e-passport dimana dia pake PKI.

      untuk yang old-fashion passport, barusan gw cek wikipedia dan liat passport gw ternyata itu gampang banget yah algortihmnya
      http://en.wikipedia.org/wiki/Machine-readable_passport
      mungkin itu applicable di jaman 1980an cuma klo jaman skrng kayaknya parah banget klo masih kayak begitu yah, harusnya cepetan neh negara kita ganti di e-passport.
      Dan seperti Rizal bilang bahwa itu juga bisa di input manually, jadi sepertinya MRP itu buat reader doank yah, gw jadi penasaran apa jangan2 dia kayak barcode scanned doank yah wkwkwkw

      Ini klo gw nebak kondisi skrng yang di KBRI berdasarkan komen diatas adalah sepertinya ketika passport jadi ga pernah di cek yah apakah MRZ ini sudah bener atau ga…
      gw ada case seh, tapi sekali lagi ini di telco jadi klo beda ya maaf maaf kata hehehe
      Kita juga ada MRZ untuk applicasi kita, dan terkadang ini ga bs di baca karena ketika di print, kualitas printnya ga memadai sehingga ketika di scan, informasinya ga keluar.
      Jadi biasanya di kita setiap print applikasi ini yang butuh MRZ kita verify dulu.
      Dan untuk reader ini alatnya lebih murah dibanding untuk complete verification..
      Harusnya untuk passport juga gitu kali yah, alat untuk readnya dijual terpisah hehehe jadi lebih murah dan KBRI bisa selalu verify klo passport yang di keluarkannya at least datanya terbaca.
      klo sampe level verifikasi mungkin kemahalan  (again nebak mode on)

      btw gw cek di wikipedia, Indonesia juga udah punya e-passport yah, jadi harusnya sebentar lagi passport kita juga lebih secure dunk yah hehehe cihuyyyy

      Arra’di Nur Rizal lagi hehehe
      mantap penjelasannya… details teknisnya membantu banget untuk memahami auth passport ini.
      jadi sepertinya dia pake 2 layer auth yah, pertama untuk country CA ama yang kedua document signer, harusnya cukup aman yah…
      cuma gw concern, ini ga ada rekeying yah, maksudnya walaupun kita pake encryption algorithmnya pake aes256 ama auth algorithmnya hmac256 klo ga ada rekeying riskan juga yah di hack, tapi mungkin mereka udah consider hal ini lah pastinya

      Dan menarik juga yah mereka punya PKD, mungkin itu buat mempercepat kali yah, klo dia bisa lookup buat public key, instead of exchange key tiap auth, ini juga bagus juga seh idenya untuk increase performance…

      trus yang CRLnya gimana yah?Apakah dia pake OCSP atau pake CRL cehcking seperti biasa??
      gw nebaknya pake CRL biasa seh, klo OCSP kayaknya ga begitu secure karena mesti pake third party.. Cuma again ini gw nebak hahaha

      by 2015 berdasarkan mandat ICAO, semua passport harus e-passport, di Indonesia sendiri sudah ada, tinggal masalah logistik untuk distribute ke masing-masing KBRI, kantor imigrasi dan konsulat. passport kita masih canggih, karena ada beberapa negara yg masih tulis tangan, hehehe. MRZ, sebenernya cuma barcode kok, untuk mempercepat input data aja, dan ada cek digitnya juga di MRZ itu. 

      walaupun sudah di verifikasi, pas jadi, setelah digunakan, overtime, MRZ juga kadang bisa ga kebaca, ini karena, either scannernya, atau ada hal yg menyebabkan OCR nya si scanner ga bisa baca, biasanya si karena terlalu lama ditaruh di saku, atau kecuci, atau melengkung, etc.

      kalau mau test, ada android application yg bisa baca MRZ kok.

      https://play.google.com/store/apps/details…

      ntuk checking, by default sekarang 2 way check, nanti setelah 2015, setelah semuanya ada biometrik, 4 way check yg dipakai. 

      standard encryptionnya pake RSA, atau Triple DES atau Elictipe Curve DSA, tiap state terserah mau pake apa. Tapi ada standarnya, kaya kalau pake RSA minimum modulusnya 3 072 bits. 

      sebenernya PKDnya buat secondary source, karena main source lookupnya di border control system. 

      buat revocation CRL, ga ada standardnya seingetku, yang pasti ada standard certification profile yang harus di issue paling tidak sekali setiap 90 hari sekali, tetapi tidak lebih sering dari 48 jam sekali.

      Biar lengkap berikut ini procedure pemeriksaan passport biometrik

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s