Vilma
-7 °C
4 °C

Biztonsági rés a smart kártyákban

2002.05.20. 10:20
Brit komputerbiztonsági kutatók azt állítják, hogy egy vaku és egy mikroszkóp segítségével titkos információkat lehet leolvasni a széleskörűen használt smart kártyákról. A mikrochippel felszerelt műanyag lapokat több országban személyi igazolványként használják, vannak ilyen hitelkártyák, sőt a Pentagon is "smart" azonosító kártyákkal szerelte fel az amerikai katonákat.
A Cambridge-i egyetem komputerbiztonsági kutatói, Sergei Skorobogatov és Ross Anderson hétfőn ismertettek egy módszert, melynek segítségével hozzá lehet jutni a smart kártyákon tárolt titkos információkhoz - írta a New York Times. Az Oaklandben, mérnökök számára rendezett konferencián bemutatott eljáráshoz csak egy vaku és egy mikroszkóp kell, ezért így egyszerűen, ráadásul költséghatékonyan lehet adatokat lopni a kártyákról.

Retinaképet is tárolhat a kártya

A smart card-okat számos helyen használják, vannak például ilyen hitelkártyák, és alkalmazzák őket azonosító- és titkosító rendszerekben is. A kártyák egy mikrochipet és némi memóriát tartalmaznak. Ez rögzíti az adatokat, például titkosító kódokat, esetleg digitalizált retina- vagy ujjnyomat-képet. Néhány európai országban a személyi igazolvány is ilyen típusú kártya, és nemrégiben szóba került, hogy a repülőterek biztonsági ellenőrzését felgyorsítandó ott is használatba veszik a smart card-okat.

A Pentagon a katonákat is ilyen igazolvánnyal szerelte fel, amivel a hálózati azonosítás problémáját is egycsapásra megoldották. Az Egyesült Államokban vannak "smart" hitelkártyák is, az American Express Blue kártyája és a Providian Smart Visa kártyája. Ezek egyszerű és biztonságos módját kínálják az online fizetésnek, bár a lehetőségek egyelőre még korlátozottak. Itthon a Kereskedelmi és Hitelbank tervezi hasonló kártya kibocsátását.

Adatlopás vakuval

Minden kártyán van egy ún. digitális biztonsági hitelesítő kulcs, mely csak a párjával együtt érvényes, és ennek segítségével lehet az információkat kódolni és dekódolni. Ha ezt a kulcsot feltörik, a rendszer biztonsága veszélybe kerül.

A brit kutatók akkor kezdtek el foglakozni a jelenséggel, amikor Skorobogatov észrevette, hogy egy vaku segítségével befolyásolni tudja a smart card mikroprocesszorának működését. Magához a processzorhoz úgy fértek hozzá, hogy lekaparták róla a külső védőréteget. A kutatók később a fényt a chip egyes tranzisztoraira is képesek voltak ráirányítani úgy, hogy a vakut egy Wentworth Labs MP-901 típusú laboratóriumi mikroszkóp videoportjára erősítették, szigetelőszalaggal. Az egyes tranzisztorok megvilágítási értékeit változtatgatva képesek voltak visszafejteni a memória címzési térképét, és így ki tudták nyerni a kártyán tárolt titkos információkat.

Skorobogatov egyébként orosz emigráns, aki korábban a Szovjetunió nukleáris fegyverkezési programjában vett részt. Mr. Anderson ismert számítógépes biztonsági szakember, akinek munkáját széles körben elismerik a komputerbiztonság és a kriptográfia területén is.

A kártyát csak összezavarni lehet

Köntös Zoltán, a biztonságtechnikai kérdésekkel is foglalkozó nEext Consulting szakértője szerint azonban nem lehetséges ilyen módon az adatokat leolvasni a smart card-okról. Az eljárás ugyanis azt a fizikai törvényszerűséget használja ki, hogy a vékony, sokszor csak néhány 10 mikron vastagságú rétegek tartalma nagy energiájú fénnyel roncsolható. A szakértő szerint tehát a processzorban fizikailag tárolt adatsort így nem lehet módosítani vagy leolvasni, csupán összezavarni.