Атаки на смарт-карты

Андрей Межутков

Спецвыпуск: Хакер, номер #061, стр. 061-090-4

Один из главных недостатков смарт-карты заключается в том, что она не может самостоятельно связаться с "внешним миром" и вынуждена делать это через специальное оборудование (терминал). Шнайер и Шостак (Schneier and Shostack) рекомендуют объединить владельца карты и владельца данных в одно лицо. Часто cardholder и data owner и являются одним лицом, но карточные приложения не всегда принимают этот факт и разделяют доступ – это самый простой и дешевый способ защититься от определенного вида атак, которые являются чумой для многих систем, основанных на смарт-картах. Альтернативный и более дорогой способ уменьшить проблемы разделения полномочий - введение в карту устройства ввода данных и экрана.

И, наконец, чтобы улучшить защиту, необходимо позволять независимым экспертам участвовать в разработке и тестировании подобных систем (так сделано в гражданской криптографии). Этот подход уже показал себя с лучшей стороны в повышении устойчивости защиты на многих системах. В проекте Mondex, например, система позволяет пользователям проверять некоторые параметры, независимые от торгового терминала. Методы защиты такого рода противостоят самым разным атакам: если используются "открытый код" (то есть исходные тексты и математические модели, доступные для анализа и обсуждения еще до их внедрения) и открытые ясные спецификации, то станет ли разработчик этих приложения осуществлять атаки?

Заключение

Если бы от меня потребовали назвать преимущество смарт-карт одним словом, то я сказал бы "удобство". Многофункциональные смарт-карты универсальны и удобны, но они наиболее уязвимы разным атакам. Основная проблема сейчас - это неэффективная защищенность смарт-карт перед дешевым способом физической атаки, при которой мошенник изменяет внешность обратившись к пластической хирургии.

Смарт-карты – не панацея от всех бед защиты данных, они всего лишь сочетание (уникальное сочетание - других способов не существует) дешевизны, малых размеров, портативности и повышающейся универсальности. Скорость вычислений и криптографические возможности карт повышаются с каждым годом. Если эта тенденция сохранится в дальнейшем, то смарт-карты найдут и займут такие прикладные ниши, о которых сейчас мы даже не можем предположить.

Смарт-карты используют даже для оплаты покупок через интернет.

Атаки на смарт-карты делят на агрессивные и неагрессивные (пассивные).

Самая простая атака - блокирование доступа к одному из контактов на карте.

Один из приемов защиты от агрессивной атаки - установка емкостного датчика, который обнаруживает изменение объема или сопротивления среды.

Карты с разделением полномочий безопасности потенциально уязвимы нападениям.

Основная проблема смарт-карт - беззащитность перед физической атакой, при которой злоумышленник изменяет внешность с помощью пластической хирургии.