Базовый контроль доступа - Basic access control

Базовый контроль доступа (BAC) - это механизм, предназначенный для обеспечения только авторизованных сторон[1] может без проводов читать личную информацию из паспорта с RFID чип. Для согласования сеансового ключа он использует такие данные, как номер паспорта, дату рождения и срок действия. Затем этот ключ можно использовать для шифрования связи между чипом паспортов и считывающим устройством. Этот механизм предназначен для обеспечения того, чтобы владелец паспорта мог решать, кто может читать электронное содержимое паспорта. Этот механизм был впервые введен в немецкий паспорт 1 ноября 2005 г. и теперь также используется во многих других странах (например, Паспорта США с августа 2007 г.).[2]

Внутренние работы

Данные, используемые для шифрования связи BAC, можно прочитать в электронном виде из нижней части паспорта, называемой машиночитаемая зона. Поскольку предполагается, что для ознакомления с этой частью паспорта необходим физический доступ к паспорту, предполагается, что владелец паспорта дал разрешение прочитать паспорт. Оборудование для оптического сканирования этой части паспорта уже широко используется. Он использует OCR система для чтения текста, который печатается в стандартизированном формате.

Безопасность

Существует повторная атака против основного протокола управления доступом, которая позволяет отслеживать индивидуальный паспорт.[3][4] Атака основана на способности отличить неудачную проверку одноразового номера от неудачной проверки MAC и работает с паспортами со случайными уникальными идентификаторами и трудно угадываемыми ключами.

Базовый механизм контроля доступа подвергался критике за слишком слабую защиту от несанкционированного перехвата. Исследователи утверждают [5] что, поскольку количество выданных паспортов ограничено, многие теоретически возможные номера паспортов не будут использоваться на практике. Ограниченный диапазон человеческих возрастов еще больше сужает пространство возможностей.

Другими словами, данные, используемые в качестве ключа шифрования, имеют низкий энтропия, что означает, что угадать ключ сеанса можно с помощью скромного атака грубой силой.

Этот эффект усиливается, когда номера паспортов выдаются последовательно или содержат повторяющиеся номера. контрольная сумма. И то, и другое доказано в паспортах, выданных Нидерланды[нужна цитата ]. Есть и другие факторы, которые потенциально могут быть использованы для ускорения атаки методом грубой силы. Дело в том, что даты рождения обычно не распределяются случайным образом в популяциях. Даты рождения могут распределяться еще менее случайным образом для слоев населения, которые проходят, например, стойку регистрации в аэропорту. И то, что паспорта часто выдаются не во все дни недели и в течение всех недель в году. Поэтому не все теоретически возможные сроки годности могут быть использованы. Кроме того, тот факт, что используются реальные существующие даты, еще больше ограничивает количество возможных комбинаций: месяц составляет две цифры, используемые для генерации ключа. Обычно две цифры означают 100 (00-99) комбинаций в десятичном коде или (36 × 36 = 1296) комбинаций в буквенно-цифровом коде. Но так как всего 12 месяцев, то комбинаций всего 12. То же самое и с днем ​​(две цифры и 31 комбинация или меньше, в зависимости от месяца).

В Немецкий паспорт Формат серийного номера (ранее 10-значный, полностью числовой, последовательно назначаемый) был изменен 1 ноября 2007 г. в ответ на озабоченность по поводу низкой энтропии сеансовых ключей BAC. Новый 10-значный серийный номер является буквенно-цифровым и генерируется с помощью специально разработанного блочный шифр, чтобы избежать заметной связи со сроком годности и увеличения энтропии. Кроме того, на основе открытого ключа расширенный контроль доступа Механизм теперь используется для защиты любой информации в чипе RFID, которая выходит за рамки минимальных требований ICAO, в частности изображений отпечатков пальцев.

Смотрите также

Рекомендации

  1. ^ «Документ ИКАО 9303, часть 1, том 2 (электронные паспорта)» (PDF). Получено 2012-01-15.[мертвая ссылка ]
  2. ^ [1] В архиве 30 декабря 2007 г. Wayback Machine
  3. ^ Гудин, Дэн (26 января 2010 г.). «Дефекты в электронных паспортах позволяют отслеживать в реальном времени, The Register, Дэн Гудин, 26 января 2010 г.». Theregister.co.uk. Получено 2012-01-15.
  4. ^ «Атака отслеживания электронных паспортов, Том Чотия и Виталий Смирнов, 14-я Международная конференция по финансовой криптографии и безопасности данных, 2010 г.» (PDF). Получено 2012-01-15.
  5. ^ Ханке, Герхард (2006). «Практические атаки на системы идентификации близости (краткая статья), безопасность и конфиденциальность, Симпозиум IEEE 2006 г., Герхард Ханке, 10 апреля 2012 г.» (PDF). Безопасность и конфиденциальность, Симпозиум IEEE 2006 г.. Получено 2012-05-10.

Источники

внешняя ссылка