Для своих нужд AOL и Yahoo! избрали систему сертификации электронных сообщений, предложенную калифорнийской компанией с символичным названием Goodmail. Станет ли «период quartercento» началом обещанной эпохи Возрождения в истории электронной почты, можно будет убедиться довольно скоро: на осуществление этой идеи у почтовиков уйдет несколько месяцев. — Д.К.
Течь в паспорте
Голландское телевидение решило просветить население своей страны относительно новых электронных паспортов с биометрией и RFID-чипами. Дата начала их всеобщего ввода в Нидерландах — август 2006 года — неуклонно приближается, а народ в массе своей очень смутно представляет, что означают технологические новинки в одном из важнейших идентификационных документов. Поэтому информативной телепередаче о том, как просто похитить персональные данные человека в новых условиях, похоже, удалось наконец привлечь подобающий интерес общества к нововведению.
В сюжете голландской ТВ-программы Nieuwslicht специалисты компании Riscure (г. Делфт), специализирующейся на безопасности смарт-карт и мобильной телефонии, наглядно продемонстрировали, как из паспорта, предъявляемого на контрольном пункте, можно незаметно с расстояния десять метров перехватить всю выдаваемую RFID информацию. А затем, хоть эта информация в голландских паспортах защищена криптографией системы BAC («базовый контроль доступа»), все шифрование вскрывается за два часа работы обычного ПК. В результате потенциальным злоумышленникам становится доступна не только стандартная информация, вроде даты рождения владельца паспорта, но и его биометрия — файлы цифровой фотографии лица и отпечатка пальца. Столь вопиющая слабость защиты объясняется неудачным выбором структуры для секретного ключа, призванного обеспечивать безопасность передаваемых в эфир данных. Формально этот ключ, генерируемый на основе машиночитаемых строк в паспорте, обладает достаточной длиной для противостояния быстрым лобовым атакам, но на самом деле значительный фрагмент ключа легко предсказуем, поэтому для перебора на машине остается всего 35 бит.
В частности, секретный ключ голландского паспорта (в его первоначальной, доступной для экспериментов форме) вычисляется на основе даты окончания срока действия документа, даты рождения владельца и собственно номера паспорта. При этом система присвоения номеров в Нидерландах строится последовательно и соотносится с датой истечения срока. Более того, последняя цифра этого номера вообще является проверочной и вносит дополнительную предсказуемость. Таким образом аналитики компании показали, что даже выбором новой системы, формирующей непредсказуемые номера паспортов, уже можно было бы существенно усилить всю технологию. До вмешательства «хакеров» из Riscure в компетентных государственных инстанциях эта очевидная мысль почему-то никому в голову не приходила. Теперь же, по свидетельству голландского МВД, ведомством изыскиваются пути для улучшения безопасности новых паспортов.
Поскольку биометрические загранпаспорта всех государств строятся на основе единых спецификаций ICAO, Международной организации гражданской авиации, а система защиты BAC является частью этих спецификаций, можно предполагать, что аналогичные слабости свойственны и паспортам большинства прочих стран. Косвенно это уже подтвердили в Riscure, где при изучении новых биометрических паспортов Швейцарии и Германии выявлены похожие признаки предсказуемости ключа. — Б.К.
Телеграмма все тчк
«Мы прекращаем поддержку своего телеграфного сервиса. Надеемся на ваше понимание».