Компьютерра, 2006 № 06 (626) | страница 4

На первую страницу

В сюжете голландской ТВ-программы Nieuwslicht специалисты компании Riscure (г. Делфт), специализирующейся на безопасности смарт-карт и мобильной телефонии, наглядно продемонстрировали, как из паспорта, предъявляемого на контрольном пункте, можно незаметно с расстояния десять метров перехватить всю выдаваемую RFID информацию. А затем, хоть эта информация в голландских паспортах защищена криптографией системы BAC («базовый контроль доступа»), все шифрование вскрывается за два часа работы обычного ПК. В результате потенциальным злоумышленникам становится доступна не только стандартная информация, вроде даты рождения владельца паспорта, но и его биометрия — файлы цифровой фотографии лица и отпечатка пальца. Столь вопиющая слабость защиты объясняется неудачным выбором структуры для секретного ключа, призванного обеспечивать безопасность передаваемых в эфир данных. Формально этот ключ, генерируемый на основе машиночитаемых строк в паспорте, обладает достаточной длиной для противостояния быстрым лобовым атакам, но на самом деле значительный фрагмент ключа легко предсказуем, поэтому для перебора на машине остается всего 35 бит.

В частности, секретный ключ голландского паспорта (в его первоначальной, доступной для экспериментов форме) вычисляется на основе даты окончания срока действия документа, даты рождения владельца и собственно номера паспорта. При этом система присвоения номеров в Нидерландах строится последовательно и соотносится с датой истечения срока. Более того, последняя цифра этого номера вообще является проверочной и вносит дополнительную предсказуемость. Таким образом аналитики компании показали, что даже выбором новой системы, формирующей непредсказуемые номера паспортов, уже можно было бы существенно усилить всю технологию. До вмешательства «хакеров» из Riscure в компетентных государственных инстанциях эта очевидная мысль почему-то никому в голову не приходила. Теперь же, по свидетельству голландского МВД, ведомством изыскиваются пути для улучшения безопасности новых паспортов.

Поскольку биометрические загранпаспорта всех государств строятся на основе единых спецификаций ICAO, Международной организации гражданской авиации, а система защиты BAC является частью этих спецификаций, можно предполагать, что аналогичные слабости свойственны и паспортам большинства прочих стран. Косвенно это уже подтвердили в Riscure, где при изучении новых биометрических паспортов Швейцарии и Германии выявлены похожие признаки предсказуемости ключа. — Б.К.

Книги, похожие на Компьютерра, 2006 № 06 (626)
Компьютерра, 2006 № 33 (653) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра, 2008 № 14 (730) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра, 2008 № 19 (735) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра, 2006 № 24 (644) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра PDA 06.03.2010-12.03.2010 - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра PDA N166 (31.03.2012-06.04.2012) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра PDA N170 (21.04.2012-27.04.2012) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Цифровой журнал «Компьютерра» 2012 № 40 (140) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра, 2005 № 42 (614) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра, 2005 № 43 (615) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра, 2005 № 45 (617) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»
Компьютерра, 2005 № 47-48 (619-620) - Журнал «Компьютерра»
Газеты и журналы
Компьютерра, 2006 № 06 (626) - Журнал «Компьютерра»