![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
profiМожет, кто-нибудь знает ?
Вот тут, кажется, кандидат наклевывается :
Кредитную карточку можно будет спрятать под кожу
http://lenta.ru/world/2003/11/28/microchip/
Только клинические идиоты могут себе представлять, что радиочип (он же RFID) можно использовать для секретных применений, которым и является кредитная карточка (или электроннй паспорт, или что-либо еще в этом роде).
По одной простой причине : этот самый чип общается с терминалом дистанционно - ПО РАДИО ! А это значит, что такую карточку не нужно красть из чьего-то трицепса\бицепса\задницы, чтобы ей несанкционированно воспользоваться. Достаточно перехватить передаваемую этим чипом информацию, проанализировать на компьютере и затем - имитировать любым внешним радиопередатчиком. Как это УЖЕ ДЕЛАЕТСЯ с дистанцинными противоугонными брелками для автомобилей. Никакое компьютерное кодирование НИКОГДА хакеров и воров не останавливало. Не остановит и сейчас.
Так что, либо в компании ADS сидят полные кретины (вероятно, инженерно-компьютерный кретинизм широко распространен), либо корреспондент, сообщаюший об этом, в чем-то капитально не разобрался (что вообще свойственно корреспондентам, пишущим на научно-технические темы). И поспешил обрадовать публику очередным "изобретением века" .
PS А у Wall-Mart есть большие проблемы с радиочипами. Они от них уже избавляются, т.к. люди боятся использования радиочипов в товарах, который могут нарушить их прайвэси (короче - можно следить за каждым). Но это уже совсем другая история.
Вот тут, кажется, кандидат наклевывается :
Кредитную карточку можно будет спрятать под кожу
http://lenta.ru/world/2003/11/28/microchip/
Только клинические идиоты могут себе представлять, что радиочип (он же RFID) можно использовать для секретных применений, которым и является кредитная карточка (или электроннй паспорт, или что-либо еще в этом роде).
По одной простой причине : этот самый чип общается с терминалом дистанционно - ПО РАДИО ! А это значит, что такую карточку не нужно красть из чьего-то трицепса\бицепса\задницы, чтобы ей несанкционированно воспользоваться. Достаточно перехватить передаваемую этим чипом информацию, проанализировать на компьютере и затем - имитировать любым внешним радиопередатчиком. Как это УЖЕ ДЕЛАЕТСЯ с дистанцинными противоугонными брелками для автомобилей. Никакое компьютерное кодирование НИКОГДА хакеров и воров не останавливало. Не остановит и сейчас.
Так что, либо в компании ADS сидят полные кретины (вероятно, инженерно-компьютерный кретинизм широко распространен), либо корреспондент, сообщаюший об этом, в чем-то капитально не разобрался (что вообще свойственно корреспондентам, пишущим на научно-технические темы). И поспешил обрадовать публику очередным "изобретением века" .
PS А у Wall-Mart есть большие проблемы с радиочипами. Они от них уже избавляются, т.к. люди боятся использования радиочипов в товарах, который могут нарушить их прайвэси (короче - можно следить за каждым). Но это уже совсем другая история.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2003-11-28 08:29 am (UTC)А чем хорош ?
Даже без всякого радио системы обычных (contact) смарт-кардов испытsвают серьезные трудности. Да-да, их уже подделывают. Крадут нoмера карточек, вписывают в новый чип (со всеми его системами защиты - а на них уходит до 80% мощности процессора смарт-карда), и .... Пoлучается поддельная карточка. Но если с поддельной карточкой (или в процессе дбывания номера) могут оперативно взять за задницу, то радиобмен между кредиткой и терминалом сильно упрощает жизнь поддельщикам.
В подтверждение моих слов (не буду сейчас приводить источники, ибо самые серьезные отсутствуют в Интернете) могу привести только один пример. Несколько лет назад в прессе дружно заговорили об электронных кошельках. Началось со стояночных карточек и проч. А потом - все как отрезало. Никогда не задумывались, почему ? Просто поддельщики очень быстро научились "добавлять" суммы в этих кошельках. И нормальной защиты пока нет. Т.е. в лабораторном варианте - есть, но покупатель на нее еще не нашелся. Сам видел в Германии и Франции "вечные" телефонные карточки. Специалисты ведущей смарт-кардовой компании Gemplus демнстрировали. И руками разводили.
Так что проблема выходит далеко за рамки системы криптографии и протоколов обмена данными, как это представляется с первого взгляда.
Re: А чем хорош ?
Date: 2003-11-28 10:16 am (UTC)Проблема там не в канале, а в распределении ключей.
Просто поддельщики очень быстро научились "добавлять" суммы в этих кошельках.
Ну да. Но не колоть канал связи электронных кошельков. То есть не в радио дело.
Re: А чем хорош ?
Date: 2003-11-28 10:38 am (UTC)Сделаете пассивный ралдиочип с этой самой SSL с достаточно длинными ключами - прихдите, поговорим. Знаете хоть один такой чип ? Скажите. Что Вы стрелку-то переводите ? Давайте вернемся к радиочипам. Я четко указал, какие там проблемы. А Вы говорите о каких то абстракциях. В применении к этой теме. Да еще и непрерывно хамите. Ну что за стиль такой ?!
Оставляя в стороне эмоции.
Date: 2003-11-28 11:24 am (UTC)Вот есть Вам конкретный пример : типичный для современных RFID чип INFINEON SRF 55V10S.
Вот данные по его внутренней системе безопасности
- 2 way mutual authentication with 64-bit secret key between reader and
label
- 2 keys for each sector allow hierarhical key management
- multilevel security structure possible
- individual access rights for each key within a sector for each page
- only one sector can be opened at a time
- Data integrity supported by 16 bit CRC (ISO 3309) and 16 bit MAC (after authentication)
Что Вы, как специалист, можете сказать про защищенность коммуникации этого чипа с терминалм ? Сложно ли лично Вам было бы проанализировать данные, передаваемые по этому каналу ?
Еще одна ремарка : по поводу ключевого слова РАДИО, которое Вас так раздраконило.
Я настаиваю на важности этого слова. Вот почему : тут дело не в том, по рпдио ли передлаются секретные данные об ID, которые надо анализировать, по проводам ли, либо снимаются (тем или иным способом) с самого чипа. Тут самое важное то, что после получения таких данных и составления алгоритма имитации любого запроса, передача данных на терминал происходит из удаленной точки - даже без проверки аутентичности носителя (тела карточки), что все-таки так или иначе используется сейчас в кредитных карточках. Именно поэтому основная проблема - все-таки в радио.
Re: Оставляя в стороне эмоции.
Date: 2003-11-28 09:14 pm (UTC)И даже если запихать в чип 2048-битный ключ, все равно изобретение останется дурацким, но по другим причинам. Заменить такую чип по меньшей мере сложно - а без возможности обновлять ключи криптографическая система работать не может.
Не говоря уже о том что в любой программе есть ошибки; и программы на чипе не исключение - а как их обновлять?
Оценка эксперта - это серьезно !
конкретному вопросу RFID, конечно), но и усилили все мои сомнения по поводу "нрмальности" тех RFID-стов, которрые периодически выдают "в эфир" раскритикованные мною глупости.
Большое спасибо, Трурль ! Я, конечно, полный мудак, что пытался разъяснить проблему "в целом" людям, далеким от этой конкретной темы. Конечно, с моего последнего постинга нужно было начинать. Насчет криптографии для защиты канала : бюсь, что вообще никакую не применяют. Понимаете ? Этим занимаются люди, которые далеки от того, что, собственно, Вы считаете (и справедливо !) надежной криптографией. И не потому, что они - недоучки, а потому, что на пассивный чип RFID наложено множество ограничений (я об этом немного писал). Даже самый современный мю-чип от Хитачи, который работает в диапазоне БлюТууз, и в том не предусмтрена серьезная криптография.
Да, про радио я уже уточнил - на каком этапе это важно.
Вроде - разобрались. Большое спасибо за интереснейшую дискуссию! Может, сгенерируются какие-то новые идеи ?
PS Насчет программ на чипах. На чипах RFID, как правило, все программы неизменяемые - жестко встроенные. Меняются только данные. Ведь первичная цель этих чипов - идентификационные метки с дистанционным чтением. Для открытых применений - склады, входы и выходы и т.д. Ни о каком "секюрити" тогда и не думали. Весь этот идиотизм начал возникать, когда захотели засунуть уже существующие чипы во всякие разные апплликации - для расширения рынка. При этом, серьезно перерабатывать чипы, систему защиты каналов и проч. никто и не собирается - слишком дорого. Они затратилии громадные деньги на разработку чипов, успех которых на рынке весьма сомнительный (например - Моторольский Байстатикс). И хотят как-то оправдать вложенные деньги. С метками в магазинах возникли большие психологические и юридические проблемы (я слегка намекал на это). Так что в панике "мудрецы" из этих фирм и занимаются вышеуказанной фигней.
Re: Оценка эксперта - это серьезно !
Date: 2003-11-28 11:39 pm (UTC)Взаимно !