Фонд NLnet Foundation выделил 150 тыс. евро на разработку методов более надежной защиты хранимой на смарт-картах информации и более эффективных алгоритмов шифрования для них

На осуществление проекта, рассчитанного на срок до конца 2010 года, фонд NLnet Foundation выделил университету св. Радбода (Неймеген, Голландия) 150 тыс. евро, сообщил директор фонда Валерий Мищенко.

Результаты исследований и исходный код будут опубликованы для независимой оценки. Модель разработки с открытым кодом способна создать более надежную модель безопасности, чем недокументированные закрытые коммерческие системы, преобладающие сейчас на рынке смарт-карт, считает Мищенко. Все заинтересованные коллективы смогут применить разработки в своих продуктах, поскольку программное обеспечение будет распространяться на условиях лицензии GNU General Public License.

Необходимость создания более безопасных систем защиты смарт-карт очевидна. В прошлом году были найдены уязвимые места в безопасности RFID-схемы Mifare Classic ("Под угрозой - два миллиарда пластиковых карт"). Эта схема используется почти в 2 млрд смарт-карт по всему миру, предназначенных для систем разграничения доступа и общественного транспорта.

Исследователи выяснили, как работает алгоритм шифрования в Mifare Classic, что позволило им установить 48-битные ключи используемых карт. Имея такую информацию, можно сделать дубликат карты, а в некоторых случаях добавить деньги на карту, используемую для оплаты поездок в транспорте, пояснил преподаватель информационной безопасности Университета св. Радбода Барт Джейкобс.

В картах Mifare используется технология 90-х годов, добавил Джейкобс: "В то время когда они разрабатывались, эти микросхемы имели малую вычислительную мощность.

Применение более сложных алгоритмов шифрования требует большей вычислительной мощности, а значит, пользователю в этом случае придется провести больше времени у турникета, пока будет идти обработка операции. И одна из целей нового исследования – усилить шифрование, но так, чтобы обработка смарт-карты по-прежнему занимала не больше секунды, заявил Джейкобс.

"Никто не захочет стоять перед воротами десять секунд, пока они откроются, - добавил он.

Вторая цель – улучшение защиты информации. Лондонское транспортное агентство использует микросхемы Mifare в системе бесконтактных платежей, известной под названием "карта Oyster. При получении карты клиент может либо зарегистрировать ее в системе, что дает возможность, например, бесплатно восстановить ее при утрате, либо купить незарегистрированную.

Но если карта зарегистрирована, поясняет Джейкобс, то в базе данных транспортного ведомства остается некоторая информация о поездках клиента. Злоупотребление ею может привести к нарушению защиты личной информации. По словам Джейкобса, целью проекта является создание такой карты, которая, сохраняя для пассажира преимущества от персонализации, не передает в централизованные базы данных больше информации, чем необходимо.

"Мы хотим показать, что эти преимущества можно получить, не жертвуя безопасностью личной информации", - заявил Джейкобс.

Записи об использовании владельцем карты услуг транспорта можно использовать и в маркетинговых, и в других коммерческих целях. Это отвечает интересам некоторых лиц, но отнюдь не интересам безопасности личной информации, считает Джейкобс.

"Наша усовершенствованная карта будет больше похожа на бумажный билет, - добавил он. - Она электронная, но скрывает свою идентификационную информацию и лишь говорит пропускному устройству: 'Мне можно совершить эту поездку'.

Руководить исследованиями, которые начнутся в июле в университетской лаборатории электронной безопасности, будут Барт Джейкобс и Вутер Теепе. Как считает Джейкобс, в течение полугода станет ясно, насколько практично и технически осуществимо применение более сильных алгоритмов шифрования.

Поделитесь материалом с коллегами и друзьями