Компьютерра, 2006 № 08 (628) - [4]
Чипы-метки радиочастотной идентификации, RFID, уже стоят меньше десятка центов, благодаря чему пусть и не слишком быстро, но неуклонно проникают в самые разные сферы — от оснащения баджей-пропусков и паспортов до помечивания грузовых контейнеров и товаров в магазинах. Но коль скоро радиочастотные метки, в отличие от более привычных штрих-кодов, можно считывать незаметно, то против бесконтрольного внедрения RFID выступают влиятельные группы правозащитников, озабоченных посягательством на тайну личной жизни граждан. Дабы успокоить недовольных и облегчить внедрение новой перспективной технологии, индустрия RFID разработала новые чипы, так называемые Gen 2 («второе поколение»), которые выдают прописанные в них данные лишь в том случае, если ридер отправляет правильный пароль считывания. Кроме того, ридер может передать и другой пароль, «на самоуничтожение», приняв который, метка стирает свое содержимое — например, когда покупатель покидает магазин с оплаченным товаром.
На первый взгляд, новая схема выглядит гораздо привлекательнее, нежели RFID первого поколения, особенно если принять во внимание, что хранимые в чипе и передаваемые в эфир данные защищены шифрованием от перехвата и использования злоумышленниками. Однако при более пристальном изучении Gen 2 выяснилось, что предельная дешевизна чипов-меток сыграла фатальную роль и на самом деле защита новой технологии намного слабее, чем хотелось бы. Именно это продемонстрировал на недавно прошедшем в США форуме по компьютерной безопасности RSA Conference израильский криптограф Ади Шамир (Adi Shamir; если кто не курсе, первая буква его фамилии фигурирует в названии алгоритма RSA).
Выступая на секции, посвященной криптографии, профессор Шамир рассказал, как он и его ученики в Университете Вейцмана закупили партию новых RFID-чипов ведущих производителей, чтобы оценить их стойкость к известным в хакерском сообществе атакам. В частности, стойкость к так называемому дифференциальному анализу питания, с помощью которого в свое время было вскрыто большинство имевшихся на рынке смарт-карт. Как правило, RFID-метки не имеют собственного источника питания, используя энергию излучения прибора-считывателя. Но когда это происходит, то каждая операция вычисления в схеме RFID поневоле видоизменяет электромагнитное поле вокруг чипа. Благодаря чему Шамир и его коллеги с помощью нехитрой направленной антенны могли отслеживать и регистрировать динамику потребления энергии чипом — в частности, различия в побочных сигналах, излучаемых при приеме правильных и неверных битов пароля.
Аналитики, имеющие соответствующий навык, легко выявляли на экране осциллографа пики, соответствующие неверным битам, то есть, каждый раз начиная процедуру заново с небольшой модификацией неправильного бита, удавалось довольно быстро восстановить пароль, инициирующий «самоубийство» чипа. Проанализировав необходимый для подобной операции инструментарий, исследователи пришли к выводу, что в принципе достаточного обычного, особым образом запрограммированного сотового телефона, чтобы автоматически вычислять пароль самоуничтожения и убивать все попавшие в зону облучения RFID. Иначе говоря, полученные Шамиром результаты ставят под очень большое сомнение применимость чипов Gen 2 в их сегодняшнем виде. А значит, индустрии придется опять как следует задуматься об эффективной защите радиочастотных меток. — Б.К.
Интернет-сообщество с замиранием сердца и двойственными чувствами наблюдает за баталиями между Google и правительством США по вопросу пресловутого прайвеси. С одной стороны, знаменитый поисковик в пику своим конкурентам MSN и Yahoo отказался выдать представителям государства данные о запросах, касающихся детской порнографии. А с другой — проигнорировал требования правительства прекратить цензуру Google в отношении китайских пользователей.
По мнению наблюдателей, в спорах подобного уровня давно не было такого разнообразия эвфемизмов в отношении слова «stupid». Именно это прилагательное, ни разу не названное «во плоти», красной нитью проходит через все заявления Google. С лета прошлого года власти США настаивают на передаче им информации о поиске пользователями порноматериалов. Ответчик красноречиво называет эти требования «непросвещенными и абсурдными». По мнению Google, такой шаг не даст правительству ни малейших преимуществ в борьбе с незаконным оборотом детской порнографии и приведет лишь к раскрытию конфиденциальной информации поисковика, его клиентов и пользователей, а также наложит на фирму неоправданные затраты. Несомненно, что в причины отказа необходимо записать и маркетинговую составляющую: ближайшие конкуренты Google согласились на условия властей, и это дает компании возможность создать эффективную отстройку и представить себя в качестве активного поборника Internet privacy независимо от исхода прений.
«Прайвеси прайвесью», но деньги есть деньги. Особенно на таком многообещающем рынке, как Китай. Двуликость «поисковика номер один» обнажила еще один спор с правительством США — о сотрудничестве с местными властями. Заодно с другими гигантами американской ИТ-индустрии, Microsoft, Yahoo и Cisco, Google оказался ответчиком по делу об ущемлении прав китайских пользователей. В частности, отмечается незаконная фильтрация некоторых поисковых запросов, блокирование сайтов, удаление неугодных блогов, раскрытие личной переписки — все по запросу Министерства информационных технологий Китая. Последнее, нисколько не смущаясь, утверждает, что это позволит предотвратить распространение «нездоровых» слухов, которые могут дезориентировать публику.
