Жаңа зерттеулер RFID Smart Card қауіпсіздігінің маңызды кемшіліктерін ашады

Іргелі зерттеу кеңінен қолданылатын RFID смарт карталарындағы осалдықтарды көрсетеді

Технион университетінің Киберқауіпсіздік институтының жаңа кешенді зерттеуі қолжетімділікті бақылауда, төлем жүйелерінде және қоғамдық көлікте кең таралған RFID (радио жиілікті сәйкестендіру) смарт-карталарының қауіпсіздігіне қатысты маңызды дабыл қағады.

«Қазіргі заманғы RFID енгізулерінің деңгейлі сенімсіздігі» деп аталатын зерттеу қазіргі уақытта орналастырылған RFID смарт-карталарының айтарлықтай бөлігі ескірген немесе нашар енгізілген шифрлау протоколдарына негізделгенін көрсетеді. Зерттеушілер қол жетімді, дайын жабдықты пайдалана отырып, клондау, тыңдау және кейбір жағдайларда бірнеше қарапайым карта үлгілерінің қауіпсіздігін толығымен айналып өту мүмкіндігіне ие болды.

«Көптеген ұйымдар мен тұтынушылар бұл карталарды табиғи түрде қауіпсіз деп санайды», - деп түсіндірді жетекші зерттеуші доктор Елена Вэнс. "Біздің зерттеулеріміз жалған қауіпсіздік сезімі кең таралғанын көрсетеді. Біз карталар мен оқырмандар арасындағы байланысты қашықтықтан сәтті ұстап, бірегей идентификаторларды жинадық және функционалды көшірмелерді жасау үшін криптографиялық әлсіздіктерді пайдаландық".

Осалдықтар бірнеше факторлардан туындайды: MIFARE Classic сияқты ескі хаттамаларды пайдалануды жалғастыру, өндірушілер мен түпкі пайдаланушылардың кілттерді басқарудың нашар тәжірибесі және сымсыз байланыстың физикалық табиғаты, ол табиғи түрде сканерлеуге және релелік шабуылдарға бейім. Зерттеу жоғары қауіпсіздікті карталар (мысалы, қазіргі заманғы AES шифрлауын пайдаланатындар) бар болғанымен, шығындарды азайту көбінесе төмен технологияны қолдануға әкелетінін көрсетеді.

Салдары ауыр. Ғимаратқа рұқсатсыз кіру, алаяқтық төлемдер, жеке куәліктерді ұрлау және жеке тұлғалардың қозғалысын қадағалау" зиянкестер үшін мүмкін болады. Тек осы осал карталарға тәуелді маңызды инфрақұрылымдар, корпоративтік кеңселер және қонақүй бөлмелерінің құлыптары әсіресе тәуекелге ұшырайды.

Қорытындыларға жауап ретінде киберқауіпсіздік сарапшылары қауіпсіздікке көп деңгейлі көзқарасты талап етеді. Ұсыныстарға мыналар жатады:

• Шығару заманауи, криптографиялық тұрғыдан күшті баламалардың пайдасына бұрынғы RFID карталары.

• Іске асыру екі факторлы аутентификация (мысалы, карта плюс PIN немесе биометрика).

• Тұрақты қауіпсіздік аудиттері және физикалық қол жеткізу жүйелерінің ену сынағы.

• Пайдаланушының хабардарлығы қоғамдық орындарда карталарды сүзу тәуекелдері туралы.

Негізгі карта өндірушілері бұл есепті мойындады, олардың кейбіреулері ескі технология желілерінің шығуын тездетуге міндеттенді. Стандарттау органдары да сертификаттау процестерін қатаңдату үшін қысымға ұшырайды.

«RFID смарт-картасының қауіпсіздігі статикалық мүмкіндік емес, бұл - жалғасып жатқан қарулану жарысы», - деп қорытындылады доктор Вэнс. «Бұл зерттеу – бұл ескерту. Біз бұл технологияларды күнделікті өмірімізге және маңызды жүйелерге тереңірек кіріктіретін болсақ, біз цифрлық желілеріміздегідей жеделдікпен олардың тұрақтылығына инвестициялауымыз керек».

Толық техникалық есеп алдағы халықаралық криптографиялық жабдық және енгізілген жүйелер (CHES) конференциясында ұсынылатын болады.