Уроки RFIDиотизма
Автор: Киви Берд
Британский исследователь Эдам Лори (Adam Laurie) опубликовал в Сети последнюю версию своей разработки — инструментального комплекса программ для исследования RFID, чипов радиочастотной идентификации. Библиотека программ с открытыми исходными кодами написана на языке Python и в первую очередь нацелена на исследование RFID-чипов в паспортах нового образца, реализующих стандарт ICAO 9303 для «машиночитаемых дорожных документов». Инструментальный комплекс носит подобающее название RFIDIOt (от Input/Output Tools) и выложен для всеобщего использования на одноименном сайте rfidiot.org.
Среди прочего в библиотеке имеется программа, которая обменивается криптоключами с теми видами RFID-паспортов, где информация хранится не в открытом, а в зашифрованном виде. И если ключ верный, то программа выводит на дисплей компьютера расшифрованную информацию — фотографию и занесенные в чип персональные данные владельца паспорта.
Согласно стандарту ICAO (Международной организации гражданской авиации, с подачи США курирующей переход всего мира на RFID-документы единого образца), каждая страна может сама выбирать, как хранить данные в чипе паспорта — зашифрованными или в открытом виде. Если информация шифруется (с целью защиты от скрытного считывания без ведома владельца), то для этого используется «секретный ключ», формируемый из данных, напечатанных на страницах паспорта и оптически считываемых на постах проверки.
Проблема в том, что на самом деле эти данные отнюдь не являются секретом и могут быть добыты злоумышленниками без физического доступа к страницам паспорта. Для формирования криптоключа требуется следующая информация: номер паспорта, дата рождения владельца, дата истечения срока действия документа. Все эти данные являются неслучайными и уязвимыми для целенаправленного перебора (в «КТ» #626 рассказывалось, как голландские специалисты из фирмы Riscure вскрывали перебором зашифрованное содержимое паспорта за два часа). Кроме того, тот же Эдам Лори ранее демонстрировал, что «ключевая» информация о пассажирах в массовых количествах накапливается авиатранспортными предприятиями, хранится на сайтах без должной защиты и без особого труда может быть получена всеми интересующимися.
Короче говоря, чрезвычайно дорогостоящая кампания по вводу новых технологий защиты для паспортов оказывается вопиюще неэффективной и даже вредной с точки зрения владельца документа. Причем об этом, естественно, знают и те, кто затеял весь этот проект в госадминистрации США, однако приоритеты данных структур существенно отличаются от частных интересов граждан, будь они американские и тем более иностранные. Предельно выпукло этот факт продемонстрировала судьба интересного документа под названием «Использование RFID для идентификации личности», исследовательского отчета ["The Use of RFID for Hu-man Identification", A Draft Report from DHS Emerging Applications and Technology Subcommittee], подготовленного специалистами внешнего Консультативного совета при DHS, Департаменте государственной безопасности США.
Подготовка этого сравнительно небольшого — на полтора десятка страниц — документа была завершена довольно давно, однако он так и не дошел до стадии обсуждения/принятия даже внутри Консультативного совета. Более того, авторы отчета подозревают, что ему уготована участь «вечного черновика», поскольку выводы исследования сильно расходятся с генеральной линией госадминистрации, явно или неявно поощряющей внедрение RFID в самых разных средствах идентификации людей — от паспортов до кредитных карт и чипов подкожной имплантации.
В выводах же отчета для DHS резюмируется следующее: «Технология RFID может давать небольшие преимущества в терминах ускорения процессов идентификации, но она не способна противостоять подделкам и злоупотреблениям больше, чем любая другая цифровая технология. В то же время использование RFID предрасполагает применение систем идентификации в целях надзора и слежки. Наконец, RFID порождает такие уязвимости в безопасности, которые не свойственны другим процессам идентификации, не опирающимся на радиочастотную передачу данных. Департаменту государственной безопасности следует тщательно продумать, надо ли использовать RFID, если существует множество технологий, служащих тем же самым целям, но с меньшими рисками для приватности и сопутствующих аспектов безопасности».
Понятно, что в условиях, когда внедрение RFID в документы уже давным-давно запущено по полной программе, принося всем участникам процесса фантастические прибыли, подобные выводы специалистов представляются… оторванными от жизни, мягко говоря. А кроме того, может статься, что RFID-кампания и затевалась-то именно с умыслом о тех самых сценариях «надзора и слежки», на явную угрозу которых указывается в выводах отчета. Но только кто к этим предупреждениям прислушивается?
Ибо события идут своим запланированным чередом. И что бы ни говорили специалисты, озабоченные ущербом для безопасности и приватности граждан, RFID-паспорта уже стали реальностью во множестве стран. В частности, как объявил Департамент госбезопасности США, фактически все 27 стран из списка государств с безвизовым въездом в Америку перешли на новые электронные паспорта. Исключение составили лишь Андорра, Бруней и Лихтенштейн, но они погоды не делают. На аналогичные паспорта в ближайшее время переходят и американцы, и россияне, и граждане прочих стран мира. Так что всем добро пожаловать в дивный новый мир.