Тайна пластиковой карты




В Голландии стартовал проект по разработке открытого программного инструментария защиты смарт-карт

12:10 23.06.2008   |   1332 |  Джереми Кирк |

Рубрика Предприятие



Фонд NLnet Foundation выделил 150 тыс. евро на разработку методов более надежной защиты хранимой на смарт-картах информации и более эффективных алгоритмов шифрования для них Голландская благотворительная организация выделила средства на разработку программного обеспечения с открытым кодом для работы со смарт-картами. Оно должно обеспечить лучшую защиту личной информации, что особенно важно в свете недавно обнаруженных уязвимостей одной из разновидностей смарт-карт, широко используемой в целом ряде крупных информационных систем в США, Великобритании и Голландии.

На осуществление проекта, рассчитанного на срок до конца 2010 года, фонд NLnet Foundation выделил университету св. Радбода (Неймеген, Голландия) 150 тыс. евро, сообщил директор фонда Валерий Мищенко.

Результаты исследований и исходный код будут опубликованы для независимой оценки. Модель разработки с открытым кодом способна создать более надежную модель безопасности, чем недокументированные закрытые коммерческие системы, преобладающие сейчас на рынке смарт-карт, считает Мищенко. Все заинтересованные коллективы смогут применить разработки в своих продуктах, поскольку программное обеспечение будет распространяться на условиях лицензии GNU General Public License.

Необходимость создания более безопасных систем защиты смарт-карт очевидна. В прошлом году были найдены уязвимые места в безопасности RFID-схемы Mifare Classic ("Под угрозой - два миллиарда пластиковых карт"). Эта схема используется почти в 2 млрд смарт-карт по всему миру, предназначенных для систем разграничения доступа и общественного транспорта.

Исследователи выяснили, как работает алгоритм шифрования в Mifare Classic, что позволило им установить 48-битные ключи используемых карт. Имея такую информацию, можно сделать дубликат карты, а в некоторых случаях добавить деньги на карту, используемую для оплаты поездок в транспорте, пояснил преподаватель информационной безопасности Университета св. Радбода Барт Джейкобс.

В картах Mifare используется технология 90-х годов, добавил Джейкобс: "В то время когда они разрабатывались, эти микросхемы имели малую вычислительную мощность.

Применение более сложных алгоритмов шифрования требует большей вычислительной мощности, а значит, пользователю в этом случае придется провести больше времени у турникета, пока будет идти обработка операции. И одна из целей нового исследования – усилить шифрование, но так, чтобы обработка смарт-карты по-прежнему занимала не больше секунды, заявил Джейкобс.

"Никто не захочет стоять перед воротами десять секунд, пока они откроются, - добавил он.

Вторая цель – улучшение защиты информации. Лондонское транспортное агентство использует микросхемы Mifare в системе бесконтактных платежей, известной под названием "карта Oyster. При получении карты клиент может либо зарегистрировать ее в системе, что дает возможность, например, бесплатно восстановить ее при утрате, либо купить незарегистрированную.

Но если карта зарегистрирована, поясняет Джейкобс, то в базе данных транспортного ведомства остается некоторая информация о поездках клиента. Злоупотребление ею может привести к нарушению защиты личной информации. По словам Джейкобса, целью проекта является создание такой карты, которая, сохраняя для пассажира преимущества от персонализации, не передает в централизованные базы данных больше информации, чем необходимо.

"Мы хотим показать, что эти преимущества можно получить, не жертвуя безопасностью личной информации", - заявил Джейкобс.

Записи об использовании владельцем карты услуг транспорта можно использовать и в маркетинговых, и в других коммерческих целях. Это отвечает интересам некоторых лиц, но отнюдь не интересам безопасности личной информации, считает Джейкобс.

"Наша усовершенствованная карта будет больше похожа на бумажный билет, - добавил он. - Она электронная, но скрывает свою идентификационную информацию и лишь говорит пропускному устройству: 'Мне можно совершить эту поездку'.

Руководить исследованиями, которые начнутся в июле в университетской лаборатории электронной безопасности, будут Барт Джейкобс и Вутер Теепе. Как считает Джейкобс, в течение полугода станет ясно, насколько практично и технически осуществимо применение более сильных алгоритмов шифрования.


Теги: