Какие есть премии за самое идиотичное изобретение ?

[profi]

Может, кто-нибудь знает ?

Вот тут, кажется, кандидат наклевывается :

Кредитную карточку можно будет спрятать под кожу
http://lenta.ru/world/2003/11/28/microchip/

Только клинические идиоты могут себе представлять, что радиочип (он же RFID) можно использовать для секретных применений, которым и является кредитная карточка (или электроннй паспорт, или что-либо еще в этом роде).

По одной простой причине : этот самый чип общается с терминалом дистанционно - ПО РАДИО ! А это значит, что такую карточку не нужно красть из чьего-то трицепса\бицепса\задницы, чтобы ей несанкционированно воспользоваться. Достаточно перехватить передаваемую этим чипом информацию, проанализировать на компьютере и затем - имитировать любым внешним радиопередатчиком. Как это УЖЕ ДЕЛАЕТСЯ с дистанцинными противоугонными брелками для автомобилей. Никакое компьютерное кодирование НИКОГДА хакеров и воров не останавливало. Не остановит и сейчас.

Так что, либо в компании ADS сидят полные кретины (вероятно, инженерно-компьютерный кретинизм широко распространен), либо корреспондент, сообщаюший об этом, в чем-то капитально не разобрался (что вообще свойственно корреспондентам, пишущим на научно-технические темы). И поспешил обрадовать публику очередным "изобретением века" .

PS А у Wall-Mart есть большие проблемы с радиочипами. Они от них уже избавляются, т.к. люди боятся использования радиочипов в товарах, который могут нарушить их прайвэси (короче - можно следить за каждым). Но это уже совсем другая история.

Comments

Интересно !

[profi.livejournal.com]

Прежде всего - большое спасибо за обстоятельный ответ. В проблеме криптография-RFID мы, вроде бы, разобрались в диалоге с Трурлем. Увы, в настоящее время принципы, используемые в SSL к радиочипам никакого отношения не имеют. Вы только подтвердили наши выводы. Но Ваш ответ вызвал у меня парочку конкретных вопросов. Разрешите, пожалуйста, их задать. Буду премного благодарен за ответы. Расцениваю наше взаимное общение здесь исключительно креативным. До сих пор специалисты по компьютерной криптографии так и не смогли человеческими словами объяснить мне свою точку зрения. И от ответов на вопросы, важные для меня, как пстановщика задачи, тщательно уклонялись. Из нашего обсуждения я понял гораздо больше.

1. Когда Вы пишите о том, что для раскрытия канала, защищенного чем-то типа SSL, необходимы гигантские вычислительные мощности, имеете ли Вы в виду дешифровку путем перебора ключей ? ИМХО, этот вариант не совсем релевантен. В реальности все выглядит вот так :

Представьте, что у Вас есть достатчно большой массив данных радио (или - по линии) обмена между одной и той же карточкой и различными терминалами. Далее, у Вас есть данные о собственном чипе (т.е. известный Вам ID и private key, котрый Вы можете получить вскрыв свой собственный (или несколько - не будем исключать возможность привлечения к делу серьезных организаций вроде мафии) чип чисто физическими путями). Более того, возможно в Вашем распоряжении есть даже терминал и возможность дступа к public keys (а у мафии, как правило, такие возмжности есть).

Принимая все это во внимание, представляется ли Вам передача ID информации по каналу, защищенному SSL, столь же закрытой, как Вы описали в Вашем п.1 ? Проще говоря, в руках реальных поддельщиков не только радиоканал (который, как я уже писал, опасен не столько при перехвате, сколько при возможности удаленной имитации ID чипа другим устройством), но и все средства, о которых Вы писали в пп. 2 и 3.

2. По поводу мобильников и WTSL - мобильные телефоны, увы, уже давно слушают все, кому не лень. Сответствующие сканеры, декодеры и трансиверы можно просто купить. Что же, эта система защиты такая слабая ? Или те, кому надо, быстро украли все необходимые ключи ?

3. К Вашему п. 5. Имеющиеся в наличии пассивные (да и многие активные) радиочипы исключают всякую возможность удаленного перепрограммирования ID ключей. В противном случае такой чип вообще перестает быть надежным ID устройством. Ежели его можно будет перепрограммировать на расстянии, то "вскрытие" структуры личных данных приведет к еще более страшным результатам, чем кражи из каспоматов. Тут нужно твердо быть уверенным, что у пддельщиков и головы не слабее, чем у "защитителей". И денег всегда хватает. Отсюда и проблемы ...

Что Вы думаете по поводу моих замечаний ?

Re: Интересно !

[dimrub.livejournal.com]

1. Когда Вы пишите о том, что для раскрытия канала, защищенного чем-то типа SSL, необходимы гигантские вычислительные мощности, имеете ли Вы в виду дешифровку путем перебора ключей ? ИМХО, этот вариант не совсем релевантен. В реальности все выглядит вот так :

Представьте, что у Вас есть достатчно большой массив данных радио (или - по линии) обмена между одной и той же карточкой и различными терминалами. Далее, у Вас есть данные о собственном чипе (т.е. известный Вам ID и private key, котрый Вы можете получить вскрыв свой собственный (или несколько - не будем исключать возможность привлечения к делу серьезных организаций вроде мафии) чип чисто физическими путями). Более того, возможно в Вашем распоряжении есть даже терминал и возможность дступа к public keys (а у мафии, как правило, такие возмжности есть).


Разумеется, если у подслушивающего есть доступ к private keys, он может все расшифровывать без всяких проблем. Вся идея smart card в том, что private key хранится в виде, затрудняющем его извлечение. В случае с карточкой для спутникового телевидения это работает не очень хорошо. Налицо соревнование между производителями чипов, наслаивающих все новые защиты (например - волнистый чип, затрудняющий анализ его схемы, системы самоуничтожения при вскрытии и т.п.), и взломщиками, придумывающими все новые системы взлома. В этом случае овчинка стоит выделки, так как взломав одну карточку (которая стоит копейки), преступники получают возможность тиражировать подобные карточки в неограниченных количествах, зарабатывая на продаже оных немалые деньги. В случае с подкожным чипом, например, все иначе. Если Вы взломали СВОЙ чип, это не помогает Вам при взломе какого-либо другого чипа (то-есть, помогает, но не сильно), так как на каждом чипе - свой private key.

Просто для информации, public key - на то и паблик, что известен всем, и для доступа к нему не надо быть мафией :) (знание public key не дает достаточно информации для эффективного взлома private key).

2. По поводу мобильников и WTSL - мобильные телефоны, увы, уже давно слушают все, кому не лень. Сответствующие сканеры, декодеры и трансиверы можно просто купить. Что же, эта система защиты такая слабая ? Или те, кому надо, быстро украли все необходимые ключи ?

Прошу не путать системы защиты GSM, TDMA, AMPS, которые просто ужасны и взламываются, действительно, на ура, с WTLS.

3. К Вашему п. 5. Имеющиеся в наличии пассивные (да и многие активные) радиочипы исключают всякую возможность удаленного перепрограммирования ID ключей. В противном случае такой чип вообще перестает быть надежным ID устройством. Ежели его можно будет перепрограммировать на расстянии, то "вскрытие" структуры личных данных приведет к еще более страшным результатам, чем кражи из каспоматов.

Я полностью согласен с тем, что сделать систему патчинга на расстоянии так, чтобы она была безопасна технологически очень трудно, а чтобы она представлялась безопасной пользователю - практически невозможно.

Опять спасибо !

[profi.livejournal.com]

1. А что, уже есть мобильные сети, работающие с защитой WTSL ? Или это закладывается в новые стандарты ?

2. Public keys для общения чипов с банковскими терминалами вряд ли будут совсем public. Это все-таки не Интернет, а нечто более специфическое. Впрочем, где наша (вернее - ихняя) не пропадала !.. :-)

Re: Опять спасибо !

[dimrub.livejournal.com]

1. А что, уже есть мобильные сети, работающие с защитой WTSL ? Или это закладывается в новые стандарты ?

WTLS - часть стандарта WAP 2.0, если память мне не изменяет.