211service.com
RFID drošības problēma
Sākot ar šo vasaru, amerikāņiem būs nepieciešamas pases, lai ceļotu uz Kanādu, Meksiku, Bermudu salām un Karību jūras reģiona valstīm, ja vien viņiem nebūs pases kartes vai kāda no uzlabotajām autovadītāja apliecībām, ko Vašingtonas un Ņujorkas štati ir sākuši izdot.
Šie jaunie identifikācijas veidi ir piemēroti tikai ceļojumiem pa sauszemi un jūru, un tie ir ērta, lēta iespēja cilvēkiem, kuriem nav jāceļo ar lidmašīnu. ASV pasu kartes, kas tika ieviestas jūlijā, maksā apmēram uz pusi mazāk nekā pilna pase, un papildu izmaksas, iegūstot uzlabotu vadītāja apliecību, nevis parasto, ir vēl zemākas. Uzlabotās licences ir pieejamas Vašingtonā kopš 2008. gada janvāra un Ņujorkā kopš septembra; citi pierobežas štati, tostarp Mičigana, Vērmonta un Arizona, plāno tos piedāvāt arī.
Šis stāsts bija daļa no mūsu 2009. gada janvāra numura
- Skatiet pārējo izdevuma daļu
- Abonēt
Taču ne visi ir pārliecināti, ka jaunie ID ir laba ideja. Pases karte un uzlabotās licences satur radiofrekvences identifikācijas (RFID) atzīmes, kas ir mikroshēmas, kas aprīkotas ar antenām. RFID lasītājs var nosūtīt marķējuma vaicājumu, liekot tai atgriezt tajā ietvertos datus — šajā gadījumā identifikācijas numuru, kas ļauj muitas aģentiem izgūt informāciju par kartes turētāju no valdības datu bāzes. Ideja ir tāda, ka tūlītēja piekļuve biogrāfiskajiem datiem, fotoattēlam un teroristu un noziedznieku pagātnes pārbaužu rezultātiem palīdzēs aģentiem efektīvi pārvietot cilvēkus cauri robežai. Tomēr RFID tehnoloģija ir radījusi bažas par privātumu, kopš tā tika ieviesta produktu etiķetēs 2000. gadu sākumā.
Tikmēr, lai gan eksperti saka, ka dažas RFID tehnoloģijas ir diezgan drošas, Virdžīnijas Universitātes drošības pētnieka NXP Mifare Classic analīzi. (skatiet Hack , 2008. gada novembris/decembris) RFID mikroshēma, ko izmanto Bostonas, Londonas un citu pilsētu sabiedriskā transporta sistēmu tarifu kartēs, ir parādījusi, ka viedkaršu drošību nevar uzskatīt par pašsaprotamu. Es domāju, ka mēs esam pieaugšanas sāpju fāzē, saka Džona Hopkinsa universitātes datorzinātņu profesors Avi Rubins, drošības un privātuma pētnieks. Tas notiek ar daudzām tehnoloģijām, kad tās pirmo reizi tiek izstrādātas.
Ņujorkas uzlabotā autovadītāja apliecība
Maksa 30 USD, kas tiek pievienota vadītāja apliecības izmaksām
www.nydmv.state.ny.us/edl-main.htm
Vašingtonas štata uzlabotā autovadītāja apliecība
Maksa 15 USD, kas tiek pievienota vadītāja apliecības izmaksām
www.dol.wa.gov/about/news/priorities/edl.html
ASV pasu kartes
45 $
travel.state.gov/passport/ppt_card/ppt_card_ 3926.html
Robežas drošība
Pirmajā no jaunajām ID kartēm, kas tiks ieviestas, federālajās pasu kartēs un Vašingtonas autovadītāja apliecībās tiek izmantota līdzīga tehnoloģija, kuru ir pārskatījis un apstiprinājis ASV Iekšzemes drošības departaments. Karšu RFID ierīces, ko sauc par elektroniskā produkta koda (EPC) tagiem, ir līdzīgas svītrkodiem. Atzīmes ir lētas, un ideālos apstākļos tās var nolasīt no aptuveni 150 pēdu attāluma — tas ir RFID neparasti liels diapazons, saka Ari Juels, direktors un galvenais zinātnieks no RSA laboratorijas Bedfordā, MA, kas sadarbojās ar pētniekiem no RFID. Vašingtonai izvērtēt abas kārtis.
Lai gan kartēs netiek glabāta personiskā informācija, pētnieki secināja, ka pat unikāla numura saglabāšana rada zināmas bažas par privātumu. Ja padomājat par sociālās apdrošināšanas numuru, kādā brīdī varēja būt arguments, ka tas ir tikai skaitlis, nevis personiska informācija, saka Vašingtonas Universitātes datorzinātņu docents Tadajoši Kohno, kurš piedalījās pētījumā. Taču skaitļi laika gaitā mainās, un lietojumi laika gaitā attīstās, un galu galā šīs lietas var atklāt vairāk informācijas, nekā mēs sākotnēji gaidījām. Turklāt salīdzinoši izplatītie RFID lasītāji, piemēram, tie, ko izmanto krājumu kontrolei, dažos gadījumos var nolasīt karšu numurus no diezgan liela attāluma. Pētnieki uzskatīja, ka pastāv risks, ka kartes var izmantot, lai izsekotu cilvēkus, tāpat kā daži iepirkšanās centri Lielbritānijā ir izmantojuši signālus no mobilajiem tālruņiem, lai izsekotu klientu iepirkšanās paradumiem un uzraudzītu, cik ilgi viņi uzturas veikalos. Lai gan cilvēkiem ir citas kartes un ierīces, ko varētu izmantot arī izsekošanai, pētnieki atzīmē, ka identifikācijas kartes var nolasīt lielākā attālumā nekā daudzas citas RFID birkas un ka cilvēki, visticamāk, nēsās tās vienmēr, kamēr viņi varētu doties prom. teiksim, viņu mobilie tālruņi mājās. Un parastajās ASV pasēs, kurās ir arī RFID mikroshēmas, tiek izmantota tehnoloģija, kas samazina privātuma problēmu iespējamību. Pases, atšķirībā no pasu kartēm, ir jālasa no tuvuma, un tajās ir izveidota drošības sistēma, kas prasa, lai amatpersona optiski noskenētu no dokumenta rakstzīmes, lai piekļūtu mikroshēmā glabātajiem personas datiem.
Vašingtonas štata Licencēšanas departamenta pārstāvis Gigi Zenk saka, ka Vašingtona ir padarījusi nelikumīgu trešo personu RFID tagu datu izmantošanu bez tagu īpašnieku piekrišanas. Viņa un citas amatpersonas piebilst, ka ikviens, kam rūp privātums, var izmantot kartēm pievienotās privātuma uzmavas, kas paredzētas radiosignālu bloķēšanai, lai kartes būtu grūtāk slēpti nolasāmas. Taču Vašingtonas pētījums parādīja, ka piedurknes ne vienmēr darbojās: piemēram, tās nebloķēja radio signālus, kad tās bija saburzītas. Pētnieki arī apgalvoja, ka lielākā daļa cilvēku, visticamāk, neizmantos piedurknes. Pat daži privātuma pētnieki, ar kuriem Juels konsultējās, atzinās, ka ir tos pazaudējuši, viņš saka.
Un privātums šeit nav vienīgais jautājums: pētnieki saka, ka neatļauta lasīšana apdraud arī robežu drošību. Ja no kartēm ir viegli iegūt identifikācijas numuru, tad tās ir salīdzinoši viegli viltot, vienkārši ievietojot nozagtu ID numuru tukšā, jau nopērkamā mikroshēmā. Ja katrai RFID mikroshēmai būtu arī unikāls, ar vadu savienots sērijas numurs, kuram būtu jāatbilst saglabātajam ID numuram, to būtu grūtāk viltot. Bet ne Vašingtonas licencēm, ne pasu kartēm nav šīs papildu drošības funkcijas.
Vašingtonas kartes ir atvērtas vienam papildu uzbrukuma veidam: EPC tagus var atspējot, kad lasītājs izdod nogalināšanas komandu. Lai gan katra atzīme ir izstrādāta tā, lai to aizsargātu ar PIN kodu, kas ļauj tikai pilnvarotiem lietotājiem izdot komandu, valsts nekad nav iestatījusi PIN kodu kartēm, kuras tā izplatīja, ļaujot ikvienam, kam ir RFID lasītājs, to iestatīt un sākt karšu nogalināšanu. Ja pie robežas šķērsošanas tiktu savākts liels skaits Vašingtonas iedzīvotāju ar uzlabotām licencēm, kāds varētu izraisīt traucējumus, nogalinot lielu skaitu karšu. Uzbrucējs var arī izmantot šo taktiku, lai uzmāktos konkrētām personām, jo nogalinātā kārts, visticamāk, radīs aizdomas.
Juels ātri atzīmē, ka kārtis nebūs vienīgais, kas aizsargās robežu. Ja robežkontroles darbinieki dara visu, kas viņiem ir jādara [tostarp, piemēram, datubāzē saglabāto fotogrāfiju salīdzināšanu ar tām, kas uzdrukātas uz identifikācijas dokumenta], viņiem vajadzētu būt iespējai atklāt viltojumus, viņš saka. Tomēr viņš piebilst, ka cilvēka dabā ir būt mazāk modram, ja ir tehnoloģijas, uz kurām balstīties.
Kad es jautāju Iekšzemes drošības departamentam par šīm bažām, preses sekretāre Laura Kīnere atbildēja ar paziņojumu, kurā daļēji teikts: Lai gan Vašingtonas Universitātes/RSA dokumentā aprakstītie riski var būt tehniski iespējami, mēs uzskatām, ka daudzi no tiem ir maz ticami. un pat tad, ja tas tiktu realizēts, tam būtu neliela ietekme, izņemot nelielas neērtības individuālam ceļotājam uz robežas. … Tā kā mēs noteiksim papildu mazināšanas stratēģijas, mēs turpināsim pastiprināt prasības … pārrobežu ceļošanas dokumentiem, lai uzlabotu robežu drošību un dokumenta turētāja privātumu.
Ņujorkas licence un tālāk
Neviens neatkarīgs pētnieks vēl nav publicējis Ņujorkas uzlabotās autovadītāja apliecības novērtējumu, taču karte novērš dažas no bažām par federālajām un Vašingtonas kartēm. Ņujorkas licenču mikroshēmām ir sērijas numuri, lai aizsargātu tās pret viltošanu, un to atmiņas bankas ir bloķētas, lai aizsargātu tās pret neatļautu komandu izmantošanu. Tas ir apbrīnojami, ka Tēvzemes drošība un valstis, ar kurām tā sadarbojas, vēlas izmantot labākas tehnoloģijas, nekā izvēlējās sākumā. Bet nav skaidrs, vai šie centieni būs pietiekami tālu.
Ņujorkas licences rada tādas pašas privātuma problēmas, kā citas kartes, un, kā liecina Kīnera komentāri, ierēdņiem ir tendence noraidīt šādas bažas, kas varētu nozīmēt, ka nekas netiks darīts ar tām. Tomēr noteikti ir iespējams aizsargāt karšu īpašnieku privātumu, neprasot viņiem sekot līdzi privātuma piedurknēm. Piemēram, saka Avi Rubins, katra karte varētu būt aprīkota ar pogu, kas ļauj lietotājam kontrolēt, kad nosūtīt informāciju. Ja vien poga netiek nospiesta, ID neatbildēs uz vaicājumiem. Šādas kartes maksātu nedaudz vairāk, taču tās varētu piedāvāt lielāku drošību, kā arī lielāku privātumu.
Kamēr atlikušās problēmas tiek ignorētas, maz ticams, ka tehnoloģija kļūs pietiekami laba, lai aizsargātu starptautiskās robežas, neapdraudot tūkstošiem vai miljonu cilvēku privātumu. Tadayoshi Kohno, piemēram, saka, ka šobrīd viņš nav pārliecināts, ka RFID pat piedāvā drošības priekšrocības salīdzinājumā ar vecajiem ID. Tehnoloģijai, kas tiek izmantota šādā mērogā un tik svarīgajiem mērķiem, ir nepārprotami jābūt labākai par to, ko tā aizstāj: ASV pieredze ar elektroniskajām balsošanas sistēmām parāda, kas var notikt, ja tā nav. Ja amatpersonas turpinās aizstāvēt tādus pārsējus kā privātuma uzmavas, nevis strādās, lai pilnībā atrisinātu kritiķu bažas, tās galu galā iedragās pašu tehnoloģiju, ko viņi cer veicināt. Lai gan šķiet, ka jaunā ID tehnoloģija saglabāsies, tā var kļūt par fiasko, ja amatpersonas nepievērsīs uzmanību hakeru un drošības pētnieku darbam. Šie cilvēki cenšas atklāt vājās vietas, pirms tās var ļaunprātīgi izmantot. Ir daudz mazāk sāpīgi norīt ziņas no viņiem, nekā gaidīt, līdz problēma kļūst apkaunojoša vai postoša.
Ērika Naone ir a Tehnoloģiju apskats redaktora palīgs.
