Jump to content

Базовый контроль доступа

Базовый контроль доступа (BAC) — это механизм, предназначенный для обеспечения того, чтобы только авторизованные стороны [1] может беспроводным способом считывать личную информацию из паспортов с помощью RFID- чипа. Для согласования сеансового ключа он использует такие данные, как номер паспорта, дату рождения и дату истечения срока действия. Этот ключ затем можно использовать для шифрования связи между чипом паспорта и считывающим устройством. Этот механизм предназначен для того, чтобы владелец паспорта мог решать, кто может читать электронное содержимое паспорта. Этот механизм был впервые введен в немецкий паспорт 1 ноября 2005 г. и в настоящее время также используется во многих других странах (например, в паспортах США с августа 2007 г.). [2]

Внутренняя работа

[ редактировать ]

Данные, используемые для шифрования сообщений BAC, могут быть считаны в электронном виде в нижней части паспорта, называемой машиносчитываемой зоной . Поскольку предполагается, что для ознакомления с этой частью паспорта необходим физический доступ к паспорту, предполагается, что владелец паспорта дал разрешение на чтение паспорта. Оборудование для оптического сканирования этой части паспорта уже широко используется. Он использует систему оптического распознавания символов для чтения текста, который напечатан в стандартизированном формате.

Безопасность

[ редактировать ]

Происходит повторная атака на базовый протокол контроля доступа, который позволяет отследить индивидуальный паспорт. [3] [4] Атака основана на возможности отличить неудачную проверку nonce от неудачной проверки MAC и работает против паспортов со случайными уникальными идентификаторами и трудно угадываемыми ключами.

Базовый механизм контроля доступа подвергся критике за то, что он обеспечивает слишком слабую защиту от несанкционированного перехвата. Исследователи утверждают [5] что, поскольку количество выданных паспортов ограничено, многие теоретически возможные номера паспортов не будут использоваться на практике. Ограниченный диапазон человеческих возрастов еще больше сужает пространство возможностей.

Другими словами, данные, используемые в качестве ключа шифрования, имеют низкую энтропию , а это означает, что угадать сеансовый ключ можно с помощью умеренной атаки методом перебора .

Этот эффект усиливается, когда номера паспортов выдаются последовательно или содержат избыточную контрольную сумму . И то, и другое подтверждается паспортами, выданными Нидерландами . [ нужна ссылка ] . Есть и другие факторы, которые потенциально можно использовать для ускорения атаки методом грубой силы. Дело в том, что даты рождения обычно не распределяются среди населения случайным образом. Даты рождения могут быть распределены еще менее случайно для тех слоев населения, которые проходят, например, стойку регистрации в аэропорту. И то, что паспорта зачастую выдают не во все дни недели и не во все недели года. Поэтому не все теоретически возможные сроки годности могут быть использованы. Кроме того, тот факт, что используются реальные существующие даты, еще больше ограничивает количество возможных комбинаций: месяц составляет две цифры, используемые для генерации ключа. Обычно две цифры означают 100 (00–99) комбинаций в десятичном коде или (36×36=1296) комбинаций в буквенно-цифровом коде. Но так как месяцев всего 12, то и комбинаций всего 12. То же самое и с днем ​​(две цифры и 31 комбинация или меньше, в зависимости от месяца).

Формат серийного номера немецкого паспорта (ранее 10-значный, полностью цифровой, присваиваемый последовательно) был изменен 1 ноября 2007 года в ответ на опасения по поводу низкой энтропии сеансовых ключей BAC. Новый 10-значный серийный номер является буквенно-цифровым и генерируется с помощью специально разработанного блочного шифра , чтобы избежать узнаваемой связи со сроком годности и увеличить энтропию. на основе открытого ключа Кроме того, теперь используется механизм расширенного контроля доступа для защиты любой информации в чипе RFID, которая выходит за рамки минимальных требований ИКАО, в частности изображений отпечатков пальцев.

См. также

[ редактировать ]
  1. ^ «Документ ИКАО 9303, часть 1» (PDF) . Проверено 12 апреля 2023 г.
  2. ^ [1] Архивировано 30 декабря 2007 г., в Wayback Machine.
  3. ^ Гудин, Дэн (26 января 2010 г.). «Дефекты в электронных паспортах позволяют отслеживать их в режиме реального времени, The Register, Дэн Гудин, 26 января 2010 г.» . Thereregister.co.uk . Проверено 15 января 2012 г.
  4. ^ «Атака на отслеживаемость электронных паспортов, Том Чотиа и Виталий Смирнов, 14-я Международная конференция по финансовой криптографии и безопасности данных 2010» (PDF) . Проверено 15 января 2012 г.
  5. ^ Ханке, Герхард (2006). «Практические атаки на системы бесконтактной идентификации (короткий доклад), безопасность и конфиденциальность, симпозиум IEEE 2006 г., Герхард Ханке, 10 апреля 2012 г.» (PDF) . Безопасность и конфиденциальность, Симпозиум IEEE 2006 г., посвященный . Проверено 10 мая 2012 г.

Источники

[ редактировать ]
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: ed0fe4995ad96586f6336c0b7b8bba83__1722692700
URL1:https://arc.ask3.ru/arc/aa/ed/83/ed0fe4995ad96586f6336c0b7b8bba83.html
Заголовок, (Title) документа по адресу, URL1:
Basic access control - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)