Электронные паспорта новые, а атаки работают – старые
Замечательная атака на электронные паспорта с RFID-чипами: авторы работы предлагают способ, позволяющий автомату узнавать заданный паспорт, отличая его от других. Работает всё благодаря уязвимости в протоколах, регламентирующих обмен данными между чипом в паспорте и считывающими устройствами. Атака подтверждает то, что разработчики постоянно наступают на одни и те же грабли годами.
В кратком изложении, суть такова. Для предотвращения повторной передачи перехваченных “радиозапросов” (а они – шифруются) в паспорт, каждое сообщение снабжается случайным идентификатором (всем известный nonce; решение вполне верное). Кроме того, каждое сообщение содержит другой идентификатор (MAC), который генерируется сеансово, на основе уникального “номера паспорта”. Детали не важны. Важны два момента: первый идентификатор привязан к конкретному сообщению, второй – привязан к конкретному паспорту. При этом всё шифруется, то есть, допустим, восстановить из перехваченной сессии ни то, ни другое – не реально.
Оказывается – и не нужно ничего восстанавливать, для успешного решения одной полезной злоумышленнику задачи. Дело в том, что при получении реплики (копии) перехваченного сообщения, чип паспорта по разному отвечает в следующих двух состояниях: “получен неверный идентификатор сообщения (nonce)” и “получен неверный MAC (читай – “номер паспорта”)”. При этом, как пишут, обрабатываются чипом обязательно оба случая. Отличия заключаются в разных кодах ошибок (для некоторых типов паспортов), возврашаемых чипом, и в разном времени, которое тратится на генерацию ответа (для всех исследованных типов паспортов). То есть, достаточно записать один запрос считывающего устройства к атакуемому паспорту, чтобы потом отличать этот паспорт от всех других – иначе говоря, не зная никаких ключей, построить устройство, срабатывающее только на определённый паспорт.
Как работает устройство? Очень просто: в адрес чипа паспорта передаётся записанный ранее легитимный запрос настоящего считывающего устройства (так как обмен происходит в радиоэфире, то скрытно записать запрос – не так уж сложно) и – анализируется ответ паспорта (измеряется время ответа, проверяется код ошибки, если он доступен). Думаю, дальнейшие шаги очевидны: если получается, что чипом паспорта получен некорректный MAC, то мы “разговариваем” с другим паспортом. Если выходит – что недопустимый (повтор) nonce, то, очевидно, это тот же паспорт, для которого записывался “перехват”.
Так вот, самое интересное, что аналогичные атаки известны во множестве, довольно давно, и в самых разных схемах. Наиболее характерный пример: отличающееся время ответа системы авторизации (например, на веб-сайте) в зависимости от того, был ли предложен существующий логин (имя пользователя). В этом случае, происхождение уязвимости, позволяющей атакующему проверять существование в системе произвольного логина, связано, скажем, с защитой от подбора паролей: предполагалось, что ответ о том, верный пароль или неверный – приходит с искусственной задержкой, ограничивающей сверху скорость перебора паролей взломщиком. Однако типичная реализация вводит такую задержку только для существующих логинов, если предложен несуществующий в системе логин, то он отвергается без задержки.
Ну и если взглянуть на ситуацию “в фундаментальном смысле”, то описанная атака – типичное использование “побочных явлений”, сопровождающих работу защищённой системы, для получения нужной информации (а кто-то ещё сомневается насчёт комплексов ПВО, что там такое возможно?).
(Лечение – понятное: ответы в подобной системе авторизации не должны иметь измеримых прослушивающим канал злоумышленником характеристик, которые строго коррелируют с внутренним состоянием системы.)
(via)
Адрес записки: https://dxdt.ru/2010/01/27/2921/
Похожие записки:
- Постквантовые криптосистемы в Google Chrome (Kyber768)
- Статья о технологии Encrypted Client Hello
- Интерпретация DMARC в разрезе DKIM
- "Внешний ИИ" масштаба Apple
- DNS-over-TLS на авторитативных серверах DNS
- Браузеры и перехват TLS без участия УЦ
- ESNI (зашифрованное поле SNI) и системы анализа трафика
- Статья: DNS в качестве инструмента публикации вспомогательной информации
- Open Source и добавление "вредоносного кода"
- TLS, зашифрованные протоколы и DPI
- Таблицы подстановок: картинка
Комментарии читателей блога: 5
1. 28th January 2010, 12:10 // Читатель sarin написал:
чехлы для паспорта будут делать металлизированные :))
вообще по мне так если что-то где-то написано то значит это кто-то может прочитать. а раз кто-то один может, то и кто-то другой тоже. какую опасность может представлять для человека дистанционное установление того, чей паспорт лежит у него в кармане?
2. 28th January 2010, 14:13 // Читатель jno написал:
> какую опасность может представлять для человека
> дистанционное установление того, чей паспорт лежит
> у него в кармане?
да хоть квартиру вашу обчистить!
ставим прибор в аэропорту и смотрим кто свалил из страны…
3. 28th January 2010, 16:04 // Читатель sarin написал:
сколько нужно обворовать квартир чтобы окупить такую операцию?
4. 29th January 2010, 17:18 // Александр Венедюхин ответил:
Опасность в том, что могут быть созданы какие-то зловредные устройства, срабатывающие строго на конкретные паспорта.
5. 30th January 2010, 09:48 // Читатель wolf550e написал:
А под bluetooth бомбу настроить нельзя?