На первый взгляд, новая схема выглядит гораздо привлекательнее, нежели RFID первого поколения, особенно если принять во внимание, что хранимые в чипе и передаваемые в эфир данные защищены шифрованием от перехвата и использования злоумышленниками. Однако при более пристальном изучении Gen 2 выяснилось, что предельная дешевизна чипов-меток сыграла фатальную роль и на самом деле защита новой технологии намного слабее, чем хотелось бы. Именно это продемонстрировал на недавно прошедшем в США форуме по компьютерной безопасности RSA Conference израильский криптограф Ади Шамир (Adi Shamir; если кто не курсе, первая буква его фамилии фигурирует в названии алгоритма RSA).
Выступая на секции, посвященной криптографии, профессор Шамир рассказал, как он и его ученики в Университете Вейцмана закупили партию новых RFID-чипов ведущих производителей, чтобы оценить их стойкость к известным в хакерском сообществе атакам. В частности, стойкость к так называемому дифференциальному анализу питания, с помощью которого в свое время было вскрыто большинство имевшихся на рынке смарт-карт. Как правило, RFID-метки не имеют собственного источника питания, используя энергию излучения прибора-считывателя. Но когда это происходит, то каждая операция вычисления в схеме RFID поневоле видоизменяет электромагнитное поле вокруг чипа. Благодаря чему Шамир и его коллеги с помощью нехитрой направленной антенны могли отслеживать и регистрировать динамику потребления энергии чипом — в частности, различия в побочных сигналах, излучаемых при приеме правильных и неверных битов пароля.
Аналитики, имеющие соответствующий навык, легко выявляли на экране осциллографа пики, соответствующие неверным битам, то есть, каждый раз начиная процедуру заново с небольшой модификацией неправильного бита, удавалось довольно быстро восстановить пароль, инициирующий «самоубийство» чипа. Проанализировав необходимый для подобной операции инструментарий, исследователи пришли к выводу, что в принципе достаточного обычного, особым образом запрограммированного сотового телефона, чтобы автоматически вычислять пароль самоуничтожения и убивать все попавшие в зону облучения RFID. Иначе говоря, полученные Шамиром результаты ставят под очень большое сомнение применимость чипов Gen 2 в их сегодняшнем виде. А значит, индустрии придется опять как следует задуматься об эффективной защите радиочастотных меток. — Б.К.
Двуликий Google
Интернет-сообщество с замиранием сердца и двойственными чувствами наблюдает за баталиями между Google и правительством США по вопросу пресловутого прайвеси. С одной стороны, знаменитый поисковик в пику своим конкурентам MSN и Yahoo отказался выдать представителям государства данные о запросах, касающихся детской порнографии. А с другой — проигнорировал требования правительства прекратить цензуру Google в отношении китайских пользователей.
