Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Voltar para o blog
Blog · 11 de abril de 2026

Grupos de Dados BAC: Riscos de Segurança e Potencial de Fraude (PT-BR)

Explore a estrutura dos grupos de dados BAC (Controle Básico de Acesso) em e-passaportes, revelando vulnerabilidades e riscos de dados comprometidos.

Por DiditAtualizado
bac-data-groups-security-risks.png

Grupos de Dados BAC: Riscos de Segurança e Potencial de Fraude

Os e-passaportes, utilizando o padrão ICAO 9303, tornaram-se uma pedra angular das viagens internacionais modernas. No entanto, a segurança que sustenta esses documentos não é impenetrável. Um componente crítico é o sistema BAC (Controle Básico de Acesso), que governa o acesso a dados confidenciais armazenados no chip. Compreender as complexidades dos grupos de dados BAC, suas potenciais fraquezas e como podem ser explorados é crucial para uma verificação de identidade robusta e prevenção de fraudes. Este artigo investiga profundamente os aspectos técnicos do BAC, explorando vulnerabilidades potenciais e a crescente ameaça de fraude com chip comprometido.

Ponto Chave 1: O BAC depende da geração de números pseudoaleatórios; fraquezas neste processo podem levar a chaves previsíveis e acesso não autorizado a dados.

Ponto Chave 2: A estrutura dos grupos de dados Icao9303 BAC introduz vulnerabilidades, particularmente em relação à diversificação de chaves e políticas de controle de acesso.

Ponto Chave 3: Atacantes podem explorar padrões previsíveis na geração de números pseudo-aleatórios para descriptografar e manipular dados no chip.

Ponto Chave 4: Sistemas robustos de verificação de identidade devem ir além da leitura básica do chip, incorporando medidas de segurança avançadas para detectar tentativas de violação de dados.

Entendendo o BAC e os Grupos de Dados

O padrão Icao9303 define como os dados são estruturados dentro de um chip de e-passaporte. O sistema BAC controla o acesso a esses dados, dividindo-os em diferentes 'Grupos de Dados'. Cada Grupo de Dados contém informações específicas, como dados pessoais, dados biométricos ou informações de segurança. O acesso a esses grupos é controlado por chaves derivadas de um Objeto de Segurança de Documento (SOD). O SOD contém as chaves usadas para criptografar e autenticar dados. Crucialmente, essas chaves não são usadas diretamente para acessar os dados; em vez disso, elas são usadas para gerar chaves de sessão.

O BAC emprega uma função de derivação de chaves hierárquica. O SOD contém uma chave da Autoridade de Certificação de Assinatura do País (CSCA) e uma chave de Assinatura de Documento (DS). Essas chaves são usadas para gerar 'Chaves BAC' para cada Grupo de Dados. O processo depende fortemente da geração de números pseudoaleatórios. É aí que surge o potencial de vulnerabilidade. Se o gerador de números pseudoaleatórios for previsível, um invasor poderá reconstruir as chaves BAC e obter acesso não autorizado aos dados do passaporte.

O Papel da Geração de Números Pseudoaleatórios

A segurança do BAC depende da qualidade do gerador de números pseudoaleatórios (PRNG) usado para derivar as chaves BAC. Um gerador de números verdadeiramente aleatórios é impraticável para esta aplicação devido a restrições de desempenho. Em vez disso, é usado um algoritmo determinístico, inicializado com um valor exclusivo derivado do SOD. A qualidade desta semente e a força do algoritmo PRNG são de extrema importância. Infelizmente, as primeiras implementações do Icao9303 frequentemente empregavam PRNGs fracos.

Se um invasor puder prever a semente ou a saída do PRNG, poderá derivar as chaves BAC e ignorar os mecanismos de controle de acesso. Esta não é uma preocupação teórica; vários ataques demonstraram a viabilidade de prever as chaves BAC com base em fraquezas conhecidas nas implementações de PRNG. A previsibilidade dessas chaves é agravada pelo fato de que muitas autoridades emissoras de passaportes usam algoritmos e métodos de inicialização de PRNG semelhantes ou idênticos.

Fraquezas na Estrutura dos Grupos de Dados BAC

Além do PRNG, a estrutura das próprias estruturas de dados BAC pode apresentar vulnerabilidades. Especificamente, o esquema de diversificação de chaves empregado para gerar chaves diferentes para cada Grupo de Dados pode não ser suficientemente robusto. Em algumas implementações, o processo de diversificação é relativamente simples, levando a relacionamentos previsíveis entre as chaves. Um invasor que conseguir determinar uma chave BAC poderá extrapolar outras.

Além disso, as próprias políticas de controle de acesso podem ser falhas. Por exemplo, alguns passaportes podem conceder acesso mais amplo a certos Grupos de Dados do que o necessário, aumentando a superfície de ataque. Políticas de controle de acesso configuradas incorretamente podem permitir que um invasor leia dados confidenciais sem autenticação adequada. O padrão Icao9303 permite flexibilidade no controle de acesso, mas essa flexibilidade deve ser implementada com cuidado para evitar a introdução de vulnerabilidades.

Exploração e Ataques no Mundo Real

Pesquisadores demonstraram ataques explorando fraquezas nas implementações do BAC. Esses ataques normalmente envolvem a extração do SOD do chip (um processo que requer acesso físico ao passaporte) e, em seguida, o uso das fraquezas no PRNG ou esquema de diversificação de chaves para derivar as chaves BAC. Uma vez obtidas as chaves BAC, um invasor pode ler e até mesmo modificar os dados armazenados no chip, potencialmente criando documentos falsificados ou alterando informações de identidade.

Esses ataques estão se tornando cada vez mais sofisticados, utilizando técnicas avançadas como análise de canal lateral para extrair informações do chip. Isso envolve o monitoramento do consumo de energia ou das emissões eletromagnéticas do chip para inferir informações sobre as chaves e os algoritmos utilizados. O surgimento de ferramentas especializadas e código de exploração prontamente disponível reduziu a barreira de entrada para invasores, tornando esses ataques mais prevalentes. O risco de uma violação de dados é significativo, especialmente à medida que essas técnicas se tornam mais difundidas.

Como a Didit Ajuda

A plataforma de verificação de identidade da Didit vai além da leitura básica do chip para mitigar os riscos associados às vulnerabilidades do BAC:

  • Leitura Avançada de Chip: Utilizamos leitura criptográfica de chip (verificação NFC) para validar a assinatura digital do chip e garantir a integridade dos dados.
  • Detecção de Anomalias: Nossa plataforma emprega algoritmos sofisticados de detecção de anomalias para identificar padrões suspeitos nos dados lidos do chip, indicando possível adulteração ou fraude.
  • Validação de Dados: Cruzamos os dados extraídos do chip com bancos de dados externos e fontes oficiais do governo para verificar sua autenticidade.
  • Detecção de Vivacidade: A detecção de vivacidade integrada impede o uso de ataques de falsificação, garantindo que a pessoa que apresenta o passaporte seja o titular legítimo.
  • Inteligência de Ameaças em Tempo Real: A Didit atualiza continuamente seus feeds de inteligência de ameaças para se manter à frente dos vetores de ataque e vulnerabilidades emergentes.

Pronto para Começar?

Proteja sua empresa e seus clientes contra fraude de passaportes com a robusta solução de verificação de identidade da Didit. Solicite uma demonstração hoje para saber como podemos ajudá-lo a proteger suas operações. Explore nossa documentação técnica para um mergulho mais profundo em nossos recursos.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Comece grátisFale conosco
Peça para uma IA resumir esta página
Grupos BAC: Riscos de Segurança Explicados.