JК
Журнал Компьютерра - 6 от 14 февраля 2006 года :: Компьютерра
Страница: 7 из 198В результате потенциальным злоумышленникам становится доступна не только стандартная информация, вроде даты рождения владельца паспорта, но и его биометрия — файлы цифровой фотографии лица и отпечатка пальца. Столь вопиющая слабость защиты объясняется неудачным выбором структуры для секретного ключа, призванного обеспечивать безопасность передаваемых в эфир данных. Формально этот ключ, генерируемый на основе машиночитаемых строк в паспорте, обладает достаточной длиной для противостояния быстрым лобовым атакам, но на самом деле значительный фрагмент ключа легко предсказуем, поэтому для перебора на машине остается всего 35 бит.
В частности, секретный ключ голландского паспорта (в его первоначальной, доступной для экспериментов форме) вычисляется на основе даты окончания срока действия документа, даты рождения владельца и собственно номера паспорта. При этом система присвоения номеров в Нидерландах строится последовательно и соотносится с датой истечения срока. Более того, последняя цифра этого номера вообще является проверочной и вносит дополнительную предсказуемость. Таким образом аналитики компании показали, что даже выбором новой системы, формирующей непредсказуемые номера паспортов, уже можно было бы существенно усилить всю технологию. До вмешательства «хакеров» из Riscure в компетентных государственных инстанциях эта очевидная мысль почему-то никому в голову не приходила. Теперь же, по свидетельству голландского МВД, ведомством изыскиваются пути для улучшения безопасности новых паспортов.
В частности, секретный ключ голландского паспорта (в его первоначальной, доступной для экспериментов форме) вычисляется на основе даты окончания срока действия документа, даты рождения владельца и собственно номера паспорта. При этом система присвоения номеров в Нидерландах строится последовательно и соотносится с датой истечения срока. Более того, последняя цифра этого номера вообще является проверочной и вносит дополнительную предсказуемость. Таким образом аналитики компании показали, что даже выбором новой системы, формирующей непредсказуемые номера паспортов, уже можно было бы существенно усилить всю технологию. До вмешательства «хакеров» из Riscure в компетентных государственных инстанциях эта очевидная мысль почему-то никому в голову не приходила. Теперь же, по свидетельству голландского МВД, ведомством изыскиваются пути для улучшения безопасности новых паспортов.