![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
profiМожет, кто-нибудь знает ?
Вот тут, кажется, кандидат наклевывается :
Кредитную карточку можно будет спрятать под кожу
http://lenta.ru/world/2003/11/28/microchip/
Только клинические идиоты могут себе представлять, что радиочип (он же RFID) можно использовать для секретных применений, которым и является кредитная карточка (или электроннй паспорт, или что-либо еще в этом роде).
По одной простой причине : этот самый чип общается с терминалом дистанционно - ПО РАДИО ! А это значит, что такую карточку не нужно красть из чьего-то трицепса\бицепса\задницы, чтобы ей несанкционированно воспользоваться. Достаточно перехватить передаваемую этим чипом информацию, проанализировать на компьютере и затем - имитировать любым внешним радиопередатчиком. Как это УЖЕ ДЕЛАЕТСЯ с дистанцинными противоугонными брелками для автомобилей. Никакое компьютерное кодирование НИКОГДА хакеров и воров не останавливало. Не остановит и сейчас.
Так что, либо в компании ADS сидят полные кретины (вероятно, инженерно-компьютерный кретинизм широко распространен), либо корреспондент, сообщаюший об этом, в чем-то капитально не разобрался (что вообще свойственно корреспондентам, пишущим на научно-технические темы). И поспешил обрадовать публику очередным "изобретением века" .
PS А у Wall-Mart есть большие проблемы с радиочипами. Они от них уже избавляются, т.к. люди боятся использования радиочипов в товарах, который могут нарушить их прайвэси (короче - можно следить за каждым). Но это уже совсем другая история.
Вот тут, кажется, кандидат наклевывается :
Кредитную карточку можно будет спрятать под кожу
http://lenta.ru/world/2003/11/28/microchip/
Только клинические идиоты могут себе представлять, что радиочип (он же RFID) можно использовать для секретных применений, которым и является кредитная карточка (или электроннй паспорт, или что-либо еще в этом роде).
По одной простой причине : этот самый чип общается с терминалом дистанционно - ПО РАДИО ! А это значит, что такую карточку не нужно красть из чьего-то трицепса\бицепса\задницы, чтобы ей несанкционированно воспользоваться. Достаточно перехватить передаваемую этим чипом информацию, проанализировать на компьютере и затем - имитировать любым внешним радиопередатчиком. Как это УЖЕ ДЕЛАЕТСЯ с дистанцинными противоугонными брелками для автомобилей. Никакое компьютерное кодирование НИКОГДА хакеров и воров не останавливало. Не остановит и сейчас.
Так что, либо в компании ADS сидят полные кретины (вероятно, инженерно-компьютерный кретинизм широко распространен), либо корреспондент, сообщаюший об этом, в чем-то капитально не разобрался (что вообще свойственно корреспондентам, пишущим на научно-технические темы). И поспешил обрадовать публику очередным "изобретением века" .
PS А у Wall-Mart есть большие проблемы с радиочипами. Они от них уже избавляются, т.к. люди боятся использования радиочипов в товарах, который могут нарушить их прайвэси (короче - можно следить за каждым). Но это уже совсем другая история.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
Оставляя в стороне эмоции.
Date: 2003-11-28 11:24 am (UTC)Вот есть Вам конкретный пример : типичный для современных RFID чип INFINEON SRF 55V10S.
Вот данные по его внутренней системе безопасности
- 2 way mutual authentication with 64-bit secret key between reader and
label
- 2 keys for each sector allow hierarhical key management
- multilevel security structure possible
- individual access rights for each key within a sector for each page
- only one sector can be opened at a time
- Data integrity supported by 16 bit CRC (ISO 3309) and 16 bit MAC (after authentication)
Что Вы, как специалист, можете сказать про защищенность коммуникации этого чипа с терминалм ? Сложно ли лично Вам было бы проанализировать данные, передаваемые по этому каналу ?
Еще одна ремарка : по поводу ключевого слова РАДИО, которое Вас так раздраконило.
Я настаиваю на важности этого слова. Вот почему : тут дело не в том, по рпдио ли передлаются секретные данные об ID, которые надо анализировать, по проводам ли, либо снимаются (тем или иным способом) с самого чипа. Тут самое важное то, что после получения таких данных и составления алгоритма имитации любого запроса, передача данных на терминал происходит из удаленной точки - даже без проверки аутентичности носителя (тела карточки), что все-таки так или иначе используется сейчас в кредитных карточках. Именно поэтому основная проблема - все-таки в радио.
Re: Оставляя в стороне эмоции.
Date: 2003-11-28 09:14 pm (UTC)И даже если запихать в чип 2048-битный ключ, все равно изобретение останется дурацким, но по другим причинам. Заменить такую чип по меньшей мере сложно - а без возможности обновлять ключи криптографическая система работать не может.
Не говоря уже о том что в любой программе есть ошибки; и программы на чипе не исключение - а как их обновлять?
Оценка эксперта - это серьезно !
конкретному вопросу RFID, конечно), но и усилили все мои сомнения по поводу "нрмальности" тех RFID-стов, которрые периодически выдают "в эфир" раскритикованные мною глупости.
Большое спасибо, Трурль ! Я, конечно, полный мудак, что пытался разъяснить проблему "в целом" людям, далеким от этой конкретной темы. Конечно, с моего последнего постинга нужно было начинать. Насчет криптографии для защиты канала : бюсь, что вообще никакую не применяют. Понимаете ? Этим занимаются люди, которые далеки от того, что, собственно, Вы считаете (и справедливо !) надежной криптографией. И не потому, что они - недоучки, а потому, что на пассивный чип RFID наложено множество ограничений (я об этом немного писал). Даже самый современный мю-чип от Хитачи, который работает в диапазоне БлюТууз, и в том не предусмтрена серьезная криптография.
Да, про радио я уже уточнил - на каком этапе это важно.
Вроде - разобрались. Большое спасибо за интереснейшую дискуссию! Может, сгенерируются какие-то новые идеи ?
PS Насчет программ на чипах. На чипах RFID, как правило, все программы неизменяемые - жестко встроенные. Меняются только данные. Ведь первичная цель этих чипов - идентификационные метки с дистанционным чтением. Для открытых применений - склады, входы и выходы и т.д. Ни о каком "секюрити" тогда и не думали. Весь этот идиотизм начал возникать, когда захотели засунуть уже существующие чипы во всякие разные апплликации - для расширения рынка. При этом, серьезно перерабатывать чипы, систему защиты каналов и проч. никто и не собирается - слишком дорого. Они затратилии громадные деньги на разработку чипов, успех которых на рынке весьма сомнительный (например - Моторольский Байстатикс). И хотят как-то оправдать вложенные деньги. С метками в магазинах возникли большие психологические и юридические проблемы (я слегка намекал на это). Так что в панике "мудрецы" из этих фирм и занимаются вышеуказанной фигней.
Re: Оценка эксперта - это серьезно !
Date: 2003-11-28 11:39 pm (UTC)Взаимно !