Генеральный директор нидерландского благотворительного фонда NLnet Валер Мисенко (Valer Mischenko) заявил, что организация выделит 150 тысяч евро университету Радбау, который расположен в городе Неймеген, на проект по разработке свободного ПО для смарт-карт. Запуск проекта обусловлен потребностью в надёжном ПО, обострившейся в связи с обнаруженными на сегодняшний день уязвимостями в системах защиты существующего ПО для смарт-карт, которые используются в США, Великобритании и Нидерландах. Проект запланирован до 2010 года.
По словам Валера Мищенко, вся информация о ходе проекта и исходные коды ПО будут выложены в публичный доступ для проведения экспертной оценки. Таким образом, учёные рассчитывают получить более надёжную модель механизма защиты, чем при использовании недокументированных, проприетарных разработок, которые доминируют на рынке смарт-карт. Компании смогут использовать ПО в других продуктах, так как оно будет выпущено на условиях GNU General Public License.
Необходимость в более надёжном ПО не вызывает сомнений. Только в прошлом году исследователи обнаружили уязвимости защиты в чипе Mifare Classic RFID, который используется в 2 миллиардах смарт-карт контроля доступа в заданиях и цифровых проездных на общественный транспорт по всему миру.
Профессор информационной безопасности университета Радбау Барт Якобс (Bart Jacobs) сообщил о том, что в ходе исследования, удалось вычислить механизм работы алгоритма кодирования Mifare Classic и получить 48-битовые ключи шифрования смарт-карт, с помощью которых можно создать клоны карт или увеличивать сумму на счете транспортного проездного.
По мнению Барта Якобса, карты Mifare морально устарели. Они были созданы в девяностые годы прошлого столетия, когда компьютерные технологии только начинали активно развиваться.
Барт Якобс подчеркнул, что использование более сложных алгоритмов кодирования требует больших вычислительных мощностей, что в теории означает увеличение времени, которое клиенту придётся простоять у терминала, пока идёт передача данных. Одной из целей нового исследования является повышение надёжности шифрования при сохранении времени передачи данных, равном одной секунде и менее.
Другая цель проекта – усиление защиты персональной информации. Транспортная служба Лондона (Transport for London, TfL) использует чипы Mifare в бесконтактной системе оплаты проезда Oyster. Пассажирам предоставляется выбор: либо зарегистрировать карту на сайте Службы и получить ряд преимуществ, например, бесплатную замену карты в случае потери, либо купить незарегистрированную карту.
Если карта зарегистрирована, то часть личной информации клиента хранится в базе данных Службы. Именно эта информация подвергается опасности ненадлежащего использования. Проект направлен на разработку ПО, которое позволит свести функции карты к функциям бумажного билета, то есть вместо личной информации карта будет передавать в базу данных данные о праве проезда.
Исследование под руководством Барта Якобса и Ваутера Тепе (Wouter Teepe) начнётся в июле в университетской группе цифровой безопасности. В течение шести месяцев учёные должны будут прийти к заключению о технической возможности реализации и практичности использования более надёжного алгоритма.
Источник: [Network World]
Новости
Об открытых стандартах
О свободном ПО
