Голландская благотворительная организация выделила средства на разработку программного обеспечения с открытым кодом для работы со смарт-картами. Оно должно обеспечить лучшую защиту личной информации, что особенно важно в свете недавно обнаруженных уязвимостей одной из разновидностей смарт-карт, широко используемой в целом ряде крупных информационных систем в США, Великобритании и Голландии.
На осуществление проекта, рассчитанного на срок до конца 2010 года, фонд NLnet Foundation выделил университету св. Радбода (Неймеген, Голландия) 150 тыс. евро, сообщил директор фонда Валерий Мищенко.
Результаты исследований и исходный код будут опубликованы для независимой оценки. Модель разработки с открытым кодом способна создать более надежную модель безопасности, чем недокументированные закрытые коммерческие системы, преобладающие сейчас на рынке смарт-карт, считает Мищенко. Все заинтересованные коллективы смогут применить разработки в своих продуктах, поскольку программное обеспечение будет распространяться на условиях лицензии GNU General Public License.
Необходимость создания более безопасных систем защиты смарт-карт очевидна. В прошлом году были найдены уязвимые места в безопасности RFID-схемы Mifare Classic ("Под угрозой - два миллиарда пластиковых карт"). Эта схема используется почти в 2 млрд смарт-карт по всему миру, предназначенных для систем разграничения доступа и общественного транспорта.
Исследователи выяснили, как работает алгоритм шифрования в Mifare Classic, что позволило им установить 48-битные ключи используемых карт. Имея такую информацию, можно сделать дубликат карты, а в некоторых случаях добавить деньги на карту, используемую для оплаты поездок в транспорте, пояснил преподаватель информационной безопасности Университета св. Радбода Барт Джейкобс.
В картах Mifare используется технология 90-х годов, добавил Джейкобс: "В то время когда они разрабатывались, эти микросхемы имели малую вычислительную мощность.
Применение более сложных алгоритмов шифрования требует большей вычислительной мощности, а значит, пользователю в этом случае придется провести больше времени у турникета, пока будет идти обработка операции. И одна из целей нового исследования – усилить шифрование, но так, чтобы обработка смарт-карты по-прежнему занимала не больше секунды, заявил Джейкобс.
"Никто не захочет стоять перед воротами десять секунд, пока они откроются, - добавил он.
Вторая цель – улучшение защиты информации. Лондонское транспортное агентство использует микросхемы Mifare в системе бесконтактных платежей, известной под названием "карта Oyster. При получении карты клиент может либо зарегистрировать ее в системе, что дает возможность, например, бесплатно восстановить ее при утрате, либо купить незарегистрированную.
Но если карта зарегистрирована, поясняет Джейкобс, то в базе данных транспортного ведомства остается некоторая информация о поездках клиента. Злоупотребление ею может привести к нарушению защиты личной информации. По словам Джейкобса, целью проекта является создание такой карты, которая, сохраняя для пассажира преимущества от персонализации, не передает в централизованные базы данных больше информации, чем необходимо.
"Мы хотим показать, что эти преимущества можно получить, не жертвуя безопасностью личной информации", - заявил Джейкобс.
Записи об использовании владельцем карты услуг транспорта можно использовать и в маркетинговых, и в других коммерческих целях. Это отвечает интересам некоторых лиц, но отнюдь не интересам безопасности личной информации, считает Джейкобс.
"Наша усовершенствованная карта будет больше похожа на бумажный билет, - добавил он. - Она электронная, но скрывает свою идентификационную информацию и лишь говорит пропускному устройству: 'Мне можно совершить эту поездку'.
Руководить исследованиями, которые начнутся в июле в университетской лаборатории электронной безопасности, будут Барт Джейкобс и Вутер Теепе. Как считает Джейкобс, в течение полугода станет ясно, насколько практично и технически осуществимо применение более сильных алгоритмов шифрования.