Читать «Журнал "Компьютерра" №728» онлайн - страница 40
Компьютерра
Атаки университета Радбоуд. В январе 2008-го Роэль Вердулт, студент голландского университета Radboud в Неймегене, вновь проанализировал на предмет слабостей модернизированную систему проездных билетов на основе Mifare Ultralight. И показал, что может изготовить портативное устройство клонирования ценой около 40 евро, с помощью которого одноразовая карточка позволяет ездить неограниченное число раз. Два месяца спустя исследователи того же университета, работавшие в контакте с Нолем и Плётцем, с помощью собственных, неразрушающих методов повторили полное восстановление криптосхемы Mifare Classic. При этом наглядно продемонстрировав, что знание слабостей шифра позволяет незаметно для владельца и с минимумом затрат клонировать карточки-пропуска на охраняемые объекты или долгосрочные проездные билеты.
Рост
По данным аналитиков Gartner, бизнес на RFID-чипах стремительно растет. В 2007 году доходы здесь составили 917,3 млн. долларов, а в 2008-м должны вырасти до 1,2 млрд., или более чем на 30%. К 2012 году прогнозируются доходы в размере 3,5 млрд. долларов.
Голландская группа Digital Security обнаружила серьезные дефекты в механизме аутентификации карт Mifare Classic. Во-первых, как уже сказано, это позволило сделать полное обратное восстановление схемы Crypto-1 и сконструировать собственную реализацию криптоалгоритма. Сделано это было с помощью известных в криптоанализе методов генерации сбоев. Если атакующая сторона при аутентификации не в точности следует правилам обмена, предписываемым протоколом, то в принципе - по нештатным реакциям - имеется возможность получать дополнительную информацию об устройстве неизвестной схемы. Целенаправленно манипулируя сигналами на входе и комбинируя их с ответной информацией, иногда можно выяснить, как устроен "черный ящик". Что и было сделано в данном случае.
Во-вторых, когда криптоалгоритм стал известен, стало возможным отыскать нужные секретные ключи. Например, усовершенствованным методом лобового вскрытия, то есть тотального перебора всех возможных ключевых комбинаций. Ибо длина ключа в Crypto-1 оказалась всего лишь 48 бит, так что при наличии подходящего быстрого вычислителя на полный "тупой" перебор требуется всего 9–10 часов работы. Правда, стоит такая техника недешево, однако голландским исследователям она и не понадобилась. Ибо Crypto-1, как выяснилось, имеет не только малую длину рабочего регистра (ключа), но и слабую функцию усложнения. Что позволило довольно легко отыскивать секретный ключ без лобового вскрытия. Специально подобранный вид запросов на (заведомо неудачную) аутентификацию дает в ответах некоторую информацию о битах секретного ключа. Если один раз заранее собрать результаты всех таких ответов в большую просмотровую таблицу, коль скоро устройство Crypto-1 уже известно, то атака на карту с неизвестным ключом становится быстрой и очень простой. Надо лишь загрузить ее ложными запросами, по таблице установить одну часть ключа, а затем быстрым перебором остальных бит восстановить недостающую часть и получить ключ полностью.
