Базовый контроль доступа - Basic access control

Базовый контроль доступа (BAC) - это механизм, предназначенный для обеспечения только авторизованных сторон^[1] может без проводов читать личную информацию из паспорта с RFID чип. Для согласования сеансового ключа он использует такие данные, как номер паспорта, дату рождения и срок действия. Затем этот ключ можно использовать для шифрования связи между чипом паспортов и считывающим устройством. Этот механизм предназначен для обеспечения того, чтобы владелец паспорта мог решать, кто может читать электронное содержимое паспорта. Этот механизм был впервые введен в немецкий паспорт 1 ноября 2005 г. и теперь также используется во многих других странах (например, Паспорта США с августа 2007 г.).^[2]

Внутренние работы

Данные, используемые для шифрования связи BAC, можно прочитать в электронном виде из нижней части паспорта, называемой машиночитаемая зона. Поскольку предполагается, что для ознакомления с этой частью паспорта необходим физический доступ к паспорту, предполагается, что владелец паспорта дал разрешение прочитать паспорт. Оборудование для оптического сканирования этой части паспорта уже широко используется. Он использует OCR система для чтения текста, который печатается в стандартизированном формате.

Безопасность

Существует повторная атака против основного протокола управления доступом, которая позволяет отслеживать индивидуальный паспорт.^[3]^[4] Атака основана на способности отличить неудачную проверку одноразового номера от неудачной проверки MAC и работает с паспортами со случайными уникальными идентификаторами и трудно угадываемыми ключами.

Базовый механизм контроля доступа подвергался критике за слишком слабую защиту от несанкционированного перехвата. Исследователи утверждают ^[5] что, поскольку количество выданных паспортов ограничено, многие теоретически возможные номера паспортов не будут использоваться на практике. Ограниченный диапазон человеческих возрастов еще больше сужает пространство возможностей.

Другими словами, данные, используемые в качестве ключа шифрования, имеют низкий энтропия, что означает, что угадать ключ сеанса можно с помощью скромного атака грубой силой.

Этот эффект усиливается, когда номера паспортов выдаются последовательно или содержат повторяющиеся номера. контрольная сумма. И то, и другое доказано в паспортах, выданных Нидерланды^{[нужна цитата ]}. Есть и другие факторы, которые потенциально могут быть использованы для ускорения атаки методом грубой силы. Дело в том, что даты рождения обычно не распределяются случайным образом в популяциях. Даты рождения могут распределяться еще менее случайным образом для слоев населения, которые проходят, например, стойку регистрации в аэропорту. И то, что паспорта часто выдаются не во все дни недели и в течение всех недель в году. Поэтому не все теоретически возможные сроки годности могут быть использованы. Кроме того, тот факт, что используются реальные существующие даты, еще больше ограничивает количество возможных комбинаций: месяц составляет две цифры, используемые для генерации ключа. Обычно две цифры означают 100 (00-99) комбинаций в десятичном коде или (36 × 36 = 1296) комбинаций в буквенно-цифровом коде. Но так как всего 12 месяцев, то комбинаций всего 12. То же самое и с днем (две цифры и 31 комбинация или меньше, в зависимости от месяца).

В Немецкий паспорт Формат серийного номера (ранее 10-значный, полностью числовой, последовательно назначаемый) был изменен 1 ноября 2007 г. в ответ на озабоченность по поводу низкой энтропии сеансовых ключей BAC. Новый 10-значный серийный номер является буквенно-цифровым и генерируется с помощью специально разработанного блочный шифр, чтобы избежать заметной связи со сроком годности и увеличения энтропии. Кроме того, на основе открытого ключа расширенный контроль доступа Механизм теперь используется для защиты любой информации в чипе RFID, которая выходит за рамки минимальных требований ICAO, в частности изображений отпечатков пальцев.

Смотрите также

Предсказуемая атака серийного номера

Источники

«Вопросы безопасности и конфиденциальности в электронных паспортах» Ари Джуэлс, Дэвид Мольнар и Дэвид Вагнер, получено 15 марта 2006 г.
«Проверка безопасности биометрического паспорта» Барт Джейкобс, получено 15 марта 2006 г. (слайды презентации)
Механизмы защиты биометрически усовершенствованного паспорта (ЕС) Деннис Кюглер, Федеральное управление информационной безопасности, Германия (слайды презентации 2-й Международной конференции по безопасности в распространенных вычислениях 2005-04-07)

внешняя ссылка

2 человека уволены из-за нарушения паспорта Обамы NBC 20 марта 2008 г.

[1] «Документ ИКАО 9303, часть 1, том 2 (электронные паспорта)» (PDF). Получено 2012-01-15.^{[мертвая ссылка ]}

[2] [1] В архиве 30 декабря 2007 г. Wayback Machine

[3] Гудин, Дэн (26 января 2010 г.). «Дефекты в электронных паспортах позволяют отслеживать в реальном времени, The Register, Дэн Гудин, 26 января 2010 г.». Theregister.co.uk. Получено 2012-01-15.

[4] «Атака отслеживания электронных паспортов, Том Чотия и Виталий Смирнов, 14-я Международная конференция по финансовой криптографии и безопасности данных, 2010 г.» (PDF). Получено 2012-01-15.

[5] Ханке, Герхард (2006). «Практические атаки на системы идентификации близости (краткая статья), безопасность и конфиденциальность, Симпозиум IEEE 2006 г., Герхард Ханке, 10 апреля 2012 г.» (PDF). Безопасность и конфиденциальность, Симпозиум IEEE 2006 г.. Получено 2012-05-10.

[1]

[2]

[3]

[4]

[5]