Записки на рулоне

Что-то не пойму... Чем плох обычный SSL для защиты коммуникаций между этим чипом и терминалом?

From:

Он что, абсолютная защита ? Тут ведь основная проблема в ключевом слове РАДИО. А именно - открытая коммуникация. Перехватывается любое сообщение, между RFID чипом и терминалом, затем записывается и анализируется офф-лайне на серьезных компах. Причем, информация собирается из многих источников - чипов-то много. Таким образом собирается некий массив данных, из которого выделяются блоки, несущие идентификационную информацию и принципы кодирования. Далее задача уже практически решена. Внешним источником (совсем не обязательно - аналгичным чипом) имитируется запрос на, скажем, снятие денег с определенного счета. Потом, изменяя идентификационные данные - с другого счета. И так далее. Чем же тут любой, даже самый совершенные средства криптографической защиты и протоколы обмена данных могут помочь ?

Даже без всякого радио системы обычных (contact) смарт-кардов испытsвают серьезные трудности. Да-да, их уже подделывают. Крадут нoмера карточек, вписывают в новый чип (со всеми его системами защиты - а на них уходит до 80% мощности процессора смарт-карда), и .... Пoлучается поддельная карточка. Но если с поддельной карточкой (или в процессе дбывания номера) могут оперативно взять за задницу, то радиобмен между кредиткой и терминалом сильно упрощает жизнь поддельщикам.

В подтверждение моих слов (не буду сейчас приводить источники, ибо самые серьезные отсутствуют в Интернете) могу привести только один пример. Несколько лет назад в прессе дружно заговорили об электронных кошельках. Началось со стояночных карточек и проч. А потом - все как отрезало. Никогда не задумывались, почему ? Просто поддельщики очень быстро научились "добавлять" суммы в этих кошельках. И нормальной защиты пока нет. Т.е. в лабораторном варианте - есть, но покупатель на нее еще не нашелся. Сам видел в Германии и Франции "вечные" телефонные карточки. Специалисты ведущей смарт-кардовой компании Gemplus демнстрировали. И руками разводили.

Так что проблема выходит далеко за рамки системы криптографии и протоколов обмена данными, как это представляется с первого взгляда.

From:

Умоляю Вас, перестаньте демонстрировать свое невежество. Криптографическая система вроде SSL предполагает передачу данных по открытому каналу - то есть и по радио.
Проблема там не в канале, а в распределении ключей.
Просто поддельщики очень быстро научились "добавлять" суммы в этих кошельках.
Ну да. Но не колоть канал связи электронных кошельков. То есть не в радио дело.

From:

НУ вот, опять Вы про эту самую SSL. При чем здесь канал связи с использованием SSL ? Я в 125-й раз повторяю Вам - речь идет о реальных чипах и реальных системах.

Сделаете пассивный ралдиочип с этой самой SSL с достаточно длинными ключами - прихдите, поговорим. Знаете хоть один такой чип ? Скажите. Что Вы стрелку-то переводите ? Давайте вернемся к радиочипам. Я четко указал, какие там проблемы. А Вы говорите о каких то абстракциях. В применении к этой теме. Да еще и непрерывно хамите. Ну что за стиль такой ?!

From:

Ладно, в сторону всю не относящуюся к делу херовину. Хочу показать детально, о чем я тут талдычу.

Вот есть Вам конкретный пример : типичный для современных RFID чип INFINEON SRF 55V10S.

Вот данные по его внутренней системе безопасности
- 2 way mutual authentication with 64-bit secret key between reader and
label
- 2 keys for each sector allow hierarhical key management
- multilevel security structure possible
- individual access rights for each key within a sector for each page
- only one sector can be opened at a time
- Data integrity supported by 16 bit CRC (ISO 3309) and 16 bit MAC (after authentication)

Что Вы, как специалист, можете сказать про защищенность коммуникации этого чипа с терминалм ? Сложно ли лично Вам было бы проанализировать данные, передаваемые по этому каналу ?

Еще одна ремарка : по поводу ключевого слова РАДИО, которое Вас так раздраконило.

Я настаиваю на важности этого слова. Вот почему : тут дело не в том, по рпдио ли передлаются секретные данные об ID, которые надо анализировать, по проводам ли, либо снимаются (тем или иным способом) с самого чипа. Тут самое важное то, что после получения таких данных и составления алгоритма имитации любого запроса, передача данных на терминал происходит из удаленной точки - даже без проверки аутентичности носителя (тела карточки), что все-таки так или иначе используется сейчас в кредитных карточках. Именно поэтому основная проблема - все-таки в радио.

From:

64 бита - это по нынешним временам несеръезно. Кроме того, неясно какую именно криптографию применяют для зашиты канала.
И даже если запихать в чип 2048-битный ключ, все равно изобретение останется дурацким, но по другим причинам. Заменить такую чип по меньшей мере сложно - а без возможности обновлять ключи криптографическая система работать не может.
Не говоря уже о том что в любой программе есть ошибки; и программы на чипе не исключение - а как их обновлять?

From:

Ну вот, Вы не просто согласились с моими инвективами (по
конкретному вопросу RFID, конечно), но и усилили все мои сомнения по поводу "нрмальности" тех RFID-стов, которрые периодически выдают "в эфир" раскритикованные мною глупости.

Большое спасибо, Трурль ! Я, конечно, полный мудак, что пытался разъяснить проблему "в целом" людям, далеким от этой конкретной темы. Конечно, с моего последнего постинга нужно было начинать. Насчет криптографии для защиты канала : бюсь, что вообще никакую не применяют. Понимаете ? Этим занимаются люди, которые далеки от того, что, собственно, Вы считаете (и справедливо !) надежной криптографией. И не потому, что они - недоучки, а потому, что на пассивный чип RFID наложено множество ограничений (я об этом немного писал). Даже самый современный мю-чип от Хитачи, который работает в диапазоне БлюТууз, и в том не предусмтрена серьезная криптография.

Да, про радио я уже уточнил - на каком этапе это важно.
Вроде - разобрались. Большое спасибо за интереснейшую дискуссию! Может, сгенерируются какие-то новые идеи ?

PS Насчет программ на чипах. На чипах RFID, как правило, все программы неизменяемые - жестко встроенные. Меняются только данные. Ведь первичная цель этих чипов - идентификационные метки с дистанционным чтением. Для открытых применений - склады, входы и выходы и т.д. Ни о каком "секюрити" тогда и не думали. Весь этот идиотизм начал возникать, когда захотели засунуть уже существующие чипы во всякие разные апплликации - для расширения рынка. При этом, серьезно перерабатывать чипы, систему защиты каналов и проч. никто и не собирается - слишком дорого. Они затратилии громадные деньги на разработку чипов, успех которых на рынке весьма сомнительный (например - Моторольский Байстатикс). И хотят как-то оправдать вложенные деньги. С метками в магазинах возникли большие психологические и юридические проблемы (я слегка намекал на это). Так что в панике "мудрецы" из этих фирм и занимаются вышеуказанной фигней.

From:

Я, со своем стороны, прошу прощения за слишком сильные выражения.

From:

Взаимно !

From:

Я боюсь что Вы плохо представляете себе как работает криптография.
Достаточно перехватить передаваемую этим чипом информацию, проанализировать на компьютере и затем - имитировать любым внешним радиопередатчиком.
Недостаточно. Другое дело что с карточкой, зашитой под ложу, есть другие проблемы, делающие этот проект не реальным.
Как это УЖЕ ДЕЛАЕТСЯ с дистанцинными противоугонными брелками для автомобилей.
Брелки для автомобилей специально делают без криптографии.

From:

Оба выше приведенных высказывания наглядно демонстрируют все недостатки инженерско-программистского подхода, о которых я уже сказал.

Я не только НЕДОСТАТОЧНО представляяю, как работает криптография. Я ВООБЩЕ ничего про это не знаю и знать не хочу. Я не занимаюсь криптографией. Мои утверждения основываются на множественных имеющихся у меня экспертных оценках, разработанных на основе точных данных о том, где, что и когда в этом мире подделывается и вскрывается. Проблемами секретных аппликаций RFID я занимаюсь уже лет 8 и собрал за это время достаточную базу данных по проблеме. Хотите - верьте, хотите - нет, но я могу уверенно заявить, что всю криптографию, вложенную в эти немудреные чипы, умеют вскрыть и имитировать в течение весьма короткого времени (заметьте, я не говорю НИЧЕГО о серьезных системах шифровки, для использования которых нужны мощные вычислительные комплексы. Мы ведь говорим об FDID, не так ли?). Именно поэтому разработчики секретных аппликаций настойчиво ищут системы шифрования (или любые другие секретные признаки), которые никак не связаны с чипами и какой-либо обработкой данных, но основываются на новых физических принципах, хакерам доселе не известных. Я, уж простите меня великодушно, именно в нише подобных систем и гнездюсь. :-)

Еще раз говорю, при всем моем уважении к апломбическому многознанию, скажем, Трурля, в данной области всё совсем не так, как вы себе представляете. Если быть абсолютно корректными, то следует заметить, что и автомобильные брелки таки ДА используют (использовали) различные типы защиты данных. Просто - не очень сложные. И потому их быстро вскрыли.

From:

Криптография входит в область моих профссиональных интересов. Так вот, правильно реализованный SSL с достаточно длинными ключами не ломается. Люди, утверждающие обратное - жулики.
Я понятно выражаюсь?

From:

Или, по крайней мере, читайте то, что написал я , а не то, что пишет в комментариях Дима.

Я что, обсуждал с Вами достоинтства или недостатки SSL ВООБЩЕ ? Я про SSL вообще не упоминал и слов таких не знаю. По-моему, я говорил о системах RFID. "Достаточно длинные ключи" не всегда могут быть реализованы даже в компьютерных коммуникациях (по разным соображениям). И Вам это должно быть известно граздо лучше, чем мне. А уж в этих достаточно примитивных низкоскоростных чипах про соединения класса SSL, да еще с "длинными ключами" никто даже не говорит.

Я Вам говорил про реальные системы, а Вы, не разобравшись, начинаете сходу опровергать какие-то свои представления сказанном. Не только не тактично (ну, тактичность вообще не Ваш хлеб :-)), но и не шибко умно. Про реальные проблемы я написал выше. Про то, то что-либо "не ломается" при наличии достаточного набора данных, вычислительнцх мощностей и времени для анализа ... Ну, у меня и тут есть сомнения в Вашем заявлении. Но это меня, в общем-то, не интересует.

То, что сейчас успешно ломают системы не только всех RFID чипв, но и гораздо более сложных чипов на смарт-кардах (где, в отличии от пассивных радиочипов, есть и процесср с внешним питанием, и размеры побольше и проч.) - медицинский факт. Только про это я писал и утверждал. Вы же выхватили из моег текста только фразу, доступную Вашему профессиональному пониманию, и начали активно меня опровергать. Смысл ?

From:

И Вам это должно быть известно граздо лучше, чем мне. А уж в этих достаточно примитивных низкоскоростных чипах про соединения класса SSL, да еще с "длинными ключами" никто даже не говорит.
Накладные расходы на организацию SSL весьма малы. Никаких технических причин не использовать сильную криптографию в подобного рода аппликациях нет. Есть зато причины логистические.
Про то, то что-либо "не ломается" при наличии достаточного набора данных, вычислительнцх мощностей и времени для анализа ... Ну, у меня и тут есть сомнения в Вашем заявлении
Это, конечно, верно; взломать SSL соединение можно, но стоимость такого взлома настолько высока что для всех практических применений проще сломать системы распределения ключей.
То, что сейчас успешно ломают системы не только всех RFID чипв, но и гораздо более сложных чипов на смарт-кардах (где, в отличии от пассивных радиочипов, есть и процесср с внешним питанием, и размеры побольше и проч.) - медицинский факт. Только про это я писал и утверждал.
Вы не это утверждали. Вы сказали несколько иную вещь:
По одной простой причине : этот самый чип общается с терминалом дистанционно - ПО РАДИО !
Так вот - радио здесь ни при чем. Что я и хотел сказать.

From:

Давайте разберемся по порядку:

1. Существуют технологии кодирования, которые предназначены для передачи информации по открытому каналу. Одна из них - SSL. Она использует public key cryptography для аутентикации и обмена ключами, и private key (symmetric) cryptography для шифрования канала. Исрользуемые длины ключей (128 бит для шифрования канала и 2048, а то и 4096 для аутентикации) ГАРАНТИРУЮТ невозможность взлома путем перехвата информации, проходящей по открытому каналу, например - по радио, или Интернету. Скажем так, если все компьютеры, какие только существуют, или буду существовать через сто лет в соответствии с законом Мура будут работать исключительно над взломом SSL, им для этого потребуется больше времени, чем осталось времени для тепловой смерти вселенной.

2. Существуют другие методы взлома криптосистем, кроме перехвата информации, проходящей по открытому каналу. В частности, многократно взламывались криптосистемы, обслуживающие спутниковое телевидение. Почему? Потому что цель хакера там - узнать ключ, записанный в чипе, с тем чтобы научиться самому производить чипы с этим ключем. В ситуации с подкожным чипом это не работает: хакеру сложновато извлечь чип из-под кожи конкретного человека, а если он извлечет и проанализирует СВОЙ, лучше ему от этого не станет.

3. Система электронных кошельков тоже может быть взломана. Там на карточке лежит определенная сумма денег. Теоретически можно опять же понять, как устроен чип, и научиться увеличивать сумму (либо сделать так, чтобы сумма не уменьшалась). Опять же, если подкожный чип служит ТОЛЬКО для аутентикации владельца - это не сработает.

4. Какие же все-таки могут быть проблемы с подкожными чипами? Ну, во-первых, возможно Вы и правы, и SSL - слишком энергоемкая технология для таких чипов. Однако некоторая модификация SSL под названием WTSL встраивается во все современные сотовые телефоны. Так что, кто знает. Надо полагать, создатели этой системы понимают, что чип надо питать, и решат эту проблему.

5. Есть более серьезная проблема: безопастность системы основывается на ключе организации, выдающей чипы. Если этот ключ украден либо срок его действия кончился, все чипы "ломаются". Как их менять? В случае кабельного телевидения проблема решается либо заменой карточек либо подгрузкой патчей через спутник (да-да, и такое бывает!). А что с подкожными чипами?

Вот, собственно, и все.

From:

Прежде всего - большое спасибо за обстоятельный ответ. В проблеме криптография-RFID мы, вроде бы, разобрались в диалоге с Трурлем. Увы, в настоящее время принципы, используемые в SSL к радиочипам никакого отношения не имеют. Вы только подтвердили наши выводы. Но Ваш ответ вызвал у меня парочку конкретных вопросов. Разрешите, пожалуйста, их задать. Буду премного благодарен за ответы. Расцениваю наше взаимное общение здесь исключительно креативным. До сих пор специалисты по компьютерной криптографии так и не смогли человеческими словами объяснить мне свою точку зрения. И от ответов на вопросы, важные для меня, как пстановщика задачи, тщательно уклонялись. Из нашего обсуждения я понял гораздо больше.

1. Когда Вы пишите о том, что для раскрытия канала, защищенного чем-то типа SSL, необходимы гигантские вычислительные мощности, имеете ли Вы в виду дешифровку путем перебора ключей ? ИМХО, этот вариант не совсем релевантен. В реальности все выглядит вот так :

Представьте, что у Вас есть достатчно большой массив данных радио (или - по линии) обмена между одной и той же карточкой и различными терминалами. Далее, у Вас есть данные о собственном чипе (т.е. известный Вам ID и private key, котрый Вы можете получить вскрыв свой собственный (или несколько - не будем исключать возможность привлечения к делу серьезных организаций вроде мафии) чип чисто физическими путями). Более того, возможно в Вашем распоряжении есть даже терминал и возможность дступа к public keys (а у мафии, как правило, такие возмжности есть).

Принимая все это во внимание, представляется ли Вам передача ID информации по каналу, защищенному SSL, столь же закрытой, как Вы описали в Вашем п.1 ? Проще говоря, в руках реальных поддельщиков не только радиоканал (который, как я уже писал, опасен не столько при перехвате, сколько при возможности удаленной имитации ID чипа другим устройством), но и все средства, о которых Вы писали в пп. 2 и 3.

2. По поводу мобильников и WTSL - мобильные телефоны, увы, уже давно слушают все, кому не лень. Сответствующие сканеры, декодеры и трансиверы можно просто купить. Что же, эта система защиты такая слабая ? Или те, кому надо, быстро украли все необходимые ключи ?

3. К Вашему п. 5. Имеющиеся в наличии пассивные (да и многие активные) радиочипы исключают всякую возможность удаленного перепрограммирования ID ключей. В противном случае такой чип вообще перестает быть надежным ID устройством. Ежели его можно будет перепрограммировать на расстянии, то "вскрытие" структуры личных данных приведет к еще более страшным результатам, чем кражи из каспоматов. Тут нужно твердо быть уверенным, что у пддельщиков и головы не слабее, чем у "защитителей". И денег всегда хватает. Отсюда и проблемы ...

Что Вы думаете по поводу моих замечаний ?

From:

1. Когда Вы пишите о том, что для раскрытия канала, защищенного чем-то типа SSL, необходимы гигантские вычислительные мощности, имеете ли Вы в виду дешифровку путем перебора ключей ? ИМХО, этот вариант не совсем релевантен. В реальности все выглядит вот так :

Представьте, что у Вас есть достатчно большой массив данных радио (или - по линии) обмена между одной и той же карточкой и различными терминалами. Далее, у Вас есть данные о собственном чипе (т.е. известный Вам ID и private key, котрый Вы можете получить вскрыв свой собственный (или несколько - не будем исключать возможность привлечения к делу серьезных организаций вроде мафии) чип чисто физическими путями). Более того, возможно в Вашем распоряжении есть даже терминал и возможность дступа к public keys (а у мафии, как правило, такие возмжности есть).

Разумеется, если у подслушивающего есть доступ к private keys, он может все расшифровывать без всяких проблем. Вся идея smart card в том, что private key хранится в виде, затрудняющем его извлечение. В случае с карточкой для спутникового телевидения это работает не очень хорошо. Налицо соревнование между производителями чипов, наслаивающих все новые защиты (например - волнистый чип, затрудняющий анализ его схемы, системы самоуничтожения при вскрытии и т.п.), и взломщиками, придумывающими все новые системы взлома. В этом случае овчинка стоит выделки, так как взломав одну карточку (которая стоит копейки), преступники получают возможность тиражировать подобные карточки в неограниченных количествах, зарабатывая на продаже оных немалые деньги. В случае с подкожным чипом, например, все иначе. Если Вы взломали СВОЙ чип, это не помогает Вам при взломе какого-либо другого чипа (то-есть, помогает, но не сильно), так как на каждом чипе - свой private key.

Просто для информации, public key - на то и паблик, что известен всем, и для доступа к нему не надо быть мафией :) (знание public key не дает достаточно информации для эффективного взлома private key).

2. По поводу мобильников и WTSL - мобильные телефоны, увы, уже давно слушают все, кому не лень. Сответствующие сканеры, декодеры и трансиверы можно просто купить. Что же, эта система защиты такая слабая ? Или те, кому надо, быстро украли все необходимые ключи ?

Прошу не путать системы защиты GSM, TDMA, AMPS, которые просто ужасны и взламываются, действительно, на ура, с WTLS.

3. К Вашему п. 5. Имеющиеся в наличии пассивные (да и многие активные) радиочипы исключают всякую возможность удаленного перепрограммирования ID ключей. В противном случае такой чип вообще перестает быть надежным ID устройством. Ежели его можно будет перепрограммировать на расстянии, то "вскрытие" структуры личных данных приведет к еще более страшным результатам, чем кражи из каспоматов.

Я полностью согласен с тем, что сделать систему патчинга на расстоянии так, чтобы она была безопасна технологически очень трудно, а чтобы она представлялась безопасной пользователю - практически невозможно.

From:

1. А что, уже есть мобильные сети, работающие с защитой WTSL ? Или это закладывается в новые стандарты ?

2. Public keys для общения чипов с банковскими терминалами вряд ли будут совсем public. Это все-таки не Интернет, а нечто более специфическое. Впрочем, где наша (вернее - ихняя) не пропадала !.. :-)

From: