Компьютерра, 2006 № 42 (662) | страница 21

Среди прочего в библиотеке имеется программа, которая обменивается криптоключами с теми видами RFID-паспортов, где информация хранится не в открытом, а в зашифрованном виде. И если ключ верный, то программа выводит на дисплей компьютера расшифрованную информацию — фотографию и занесенные в чип персональные данные владельца паспорта.

Согласно стандарту ICAO (Международной организации гражданской авиации, с подачи США курирующей переход всего мира на RFID-документы единого образца), каждая страна может сама выбирать, как хранить данные в чипе паспорта — зашифрованными или в открытом виде. Если информация шифруется (с целью защиты от скрытного считывания без ведома владельца), то для этого используется «секретный ключ», формируемый из данных, напечатанных на страницах паспорта и оптически считываемых на постах проверки.

Проблема в том, что на самом деле эти данные отнюдь не являются секретом и могут быть добыты злоумышленниками без физического доступа к страницам паспорта. Для формирования криптоключа требуется следующая информация: номер паспорта, дата рождения владельца, дата истечения срока действия документа. Все эти данные являются неслучайными и уязвимыми для целенаправленного перебора (в «КТ» #626 рассказывалось, как голландские специалисты из фирмы Riscure вскрывали перебором зашифрованное содержимое паспорта за два часа). Кроме того, тот же Эдам Лори ранее демонстрировал, что «ключевая» информация о пассажирах в массовых количествах накапливается авиатранспортными предприятиями, хранится на сайтах без должной защиты и без особого труда может быть получена всеми интересующимися.

Короче говоря, чрезвычайно дорогостоящая кампания по вводу новых технологий защиты для паспортов оказывается вопиюще неэффективной и даже вредной с точки зрения владельца документа. Причем об этом, естественно, знают и те, кто затеял весь этот проект в госадминистрации США, однако приоритеты данных структур существенно отличаются от частных интересов граждан, будь они американские и тем более иностранные. Предельно выпукло этот факт продемонстрировала судьба интересного документа под названием «Использование RFID для идентификации личности», исследовательского отчета ["The Use of RFID for Hu-man Identification", A Draft Report from DHS Emerging Applications and Technology Subcommittee], подготовленного специалистами внешнего Консультативного совета при DHS, Департаменте государственной безопасности США.