Электронные паспорта новые, а атаки работают – старые
Замечательная атака на электронные паспорта с RFID-чипами: авторы работы предлагают способ, позволяющий автомату узнавать заданный паспорт, отличая его от других. Работает всё благодаря уязвимости в протоколах, регламентирующих обмен данными между чипом в паспорте и считывающими устройствами. Атака подтверждает то, что разработчики постоянно наступают на одни и те же грабли годами.
В кратком изложении, суть такова. Для предотвращения повторной передачи перехваченных “радиозапросов” (а они – шифруются) в паспорт, каждое сообщение снабжается случайным идентификатором (всем известный nonce; решение вполне верное). Кроме того, каждое сообщение содержит другой идентификатор (MAC), который генерируется сеансово, на основе уникального “номера паспорта”. Детали не важны. Важны два момента: первый идентификатор привязан к конкретному сообщению, второй – привязан к конкретному паспорту. При этом всё шифруется, то есть, допустим, восстановить из перехваченной сессии ни то, ни другое – не реально.
Оказывается – и не нужно ничего восстанавливать, для успешного решения одной полезной злоумышленнику задачи. Дело в том, что при получении реплики (копии) перехваченного сообщения, чип паспорта по разному отвечает в следующих двух состояниях: “получен неверный идентификатор сообщения (nonce)” и “получен неверный MAC (читай – “номер паспорта”)”. При этом, как пишут, обрабатываются чипом обязательно оба случая. Отличия заключаются в разных кодах ошибок (для некоторых типов паспортов), возврашаемых чипом, и в разном времени, которое тратится на генерацию ответа (для всех исследованных типов паспортов). То есть, достаточно записать один запрос считывающего устройства к атакуемому паспорту, чтобы потом отличать этот паспорт от всех других – иначе говоря, не зная никаких ключей, построить устройство, срабатывающее только на определённый паспорт.
Как работает устройство? Очень просто: в адрес чипа паспорта передаётся записанный ранее легитимный запрос настоящего считывающего устройства (так как обмен происходит в радиоэфире, то скрытно записать запрос – не так уж сложно) и – анализируется ответ паспорта (измеряется время ответа, проверяется код ошибки, если он доступен). Думаю, дальнейшие шаги очевидны: если получается, что чипом паспорта получен некорректный MAC, то мы “разговариваем” с другим паспортом. Если выходит – что недопустимый (повтор) nonce, то, очевидно, это тот же паспорт, для которого записывался “перехват”.
Так вот, самое интересное, что аналогичные атаки известны во множестве, довольно давно, и в самых разных схемах. Наиболее характерный пример: отличающееся время ответа системы авторизации (например, на веб-сайте) в зависимости от того, был ли предложен существующий логин (имя пользователя). В этом случае, происхождение уязвимости, позволяющей атакующему проверять существование в системе произвольного логина, связано, скажем, с защитой от подбора паролей: предполагалось, что ответ о том, верный пароль или неверный – приходит с искусственной задержкой, ограничивающей сверху скорость перебора паролей взломщиком. Однако типичная реализация вводит такую задержку только для существующих логинов, если предложен несуществующий в системе логин, то он отвергается без задержки.
Ну и если взглянуть на ситуацию “в фундаментальном смысле”, то описанная атака – типичное использование “побочных явлений”, сопровождающих работу защищённой системы, для получения нужной информации (а кто-то ещё сомневается насчёт комплексов ПВО, что там такое возможно?).
(Лечение – понятное: ответы в подобной системе авторизации не должны иметь измеримых прослушивающим канал злоумышленником характеристик, которые строго коррелируют с внутренним состоянием системы.)
(via)
Адрес записки: https://dxdt.ru/2010/01/27/2921/
Похожие записки:
- Компиляторы в песочницах и сравнение программ
- Google и телефонные номера для авторизации
- Новые риски: автомобили-роботы в такси
- Реплика: пример про ДСЧ
- Пять лет спустя: криптография и квантовые компьютеры
- Техническое описание TLS: обновление 2022
- Реплика: гарантированные "маловероятные ошибки" в ML-KEM
- Постквантовая "гибридизация" криптосистем и перспективы стойкости
- Маскирование криптографических ключей в памяти
- Смартфон-шпион: восемь лет спустя
- Криптографическая библиотека для Arduino: дополнение для новых IDE
Комментарии читателей блога: 5
1 <t> // 28th January 2010, 12:10 // Читатель sarin написал:
чехлы для паспорта будут делать металлизированные :))
вообще по мне так если что-то где-то написано то значит это кто-то может прочитать. а раз кто-то один может, то и кто-то другой тоже. какую опасность может представлять для человека дистанционное установление того, чей паспорт лежит у него в кармане?
2 <t> // 28th January 2010, 14:13 // Читатель jno написал:
> какую опасность может представлять для человека
> дистанционное установление того, чей паспорт лежит
> у него в кармане?
да хоть квартиру вашу обчистить!
ставим прибор в аэропорту и смотрим кто свалил из страны…
3 <t> // 28th January 2010, 16:04 // Читатель sarin написал:
сколько нужно обворовать квартир чтобы окупить такую операцию?
4 <t> // 29th January 2010, 17:18 // Александр Венедюхин:
Опасность в том, что могут быть созданы какие-то зловредные устройства, срабатывающие строго на конкретные паспорта.
5 <t> // 30th January 2010, 09:48 // Читатель wolf550e написал:
А под bluetooth бомбу настроить нельзя?