Журнал «Компьютерра» N 8 от 27 февраля 2007 года (Компьютерра - 676)
Шрифт:
ОКНО ДИАЛОГА: Восход Европы: Электронные паспорта в России
Авторы: Владимир Гуриев, Родион Насакин, Константин Курбатов
Стремление любого государства к учету и контролю объяснимо. Так же понятно стремление любого гражданина этого учета и контроля избежать. Электронным удостоверениям без году неделя, а пресса — и наш журнал не исключение — заполнена невеселыми размышлениями на тему, что будет, когда государство научится использовать ИТ по полной программе, отслеживая перемещения граждан, сводя воедино разрозненные базы данных и получая, таким образом, полный электронный
Формальным поводом для нашего разговора стал прошлогодний взлом электронных паспортов в Великобритании. Вслед за голландскими и германскими умельцами британские «хакеры» научились читать данные, записанные на встроенный чип. Никакой новой информации там не содержится — все данные, записанные на чипе, можно найти в «бумажной» составляющей паспорта, однако легкость, с которой потенциальный злоумышленник способен просмотреть содержимое чипа и даже клонировать его (но не изменить — этого пока не умеют), настораживает.
В Великобритании выдано больше 3 млн. новых паспортов. В России — 5 тысяч.
Криптография
Американский стиль
Во многом появление общего стандарта для паспортных чипов обусловлено требованиями США, которые с самого начала настаивали на том, чтобы в 27 странах, с которыми у Америки установлен безвизовый режим, использовали аналогичные RFID-метки. Между тем Великобритания поначалу хотела интегрировать в паспорта своих граждан отличающиеся от американцев микросхемы. Министр национальной безопасности США тогда заявил, что несовместимость может привести к «войне стандартов», сопоставимой с противостоянием видеоформатов VHS и Betamax.
— Новые документы внешне мало чем отличаются от прежних, — говорит Леонид Юхневич, — разве что добавилась пластиковая страница с зашитым чипом. В нем дублируются печатные данные: двухмерная фотография, фамилия, имя, отчество, дата рождения, пол, дата выдачи документа. Отечественный паспорт соответствует международным стандартам защиты информации в электронных удостоверениях личности. Предъявляемые ими требования к криптографическим средствам одинаковы для всех стран. Если требования будут выше — появятся проблемы из-за того, что по каким-то причинам эта информация может не считаться на пропускном пункте определенного государства. Если ниже, может возникнуть ситуация с несанкционированным доступом к данным, как случилось в Великобритании.
Стандарты безопасности принимает Международная организация гражданской авиации (ICAO). Их вполне достаточно для надежной защиты. Разумеется, это не значит, что какая-то другая структура или частные лица, ознакомившись со стандартами (они, кстати, находятся в открытом доступе) и приобретя соответствующее оборудование, не смогут разработать ПО для считывания. Но это нельзя расценивать как угрозу. Считать данные закрытого паспорта, находясь в нескольких метрах от его обладателя, невозможно. Для этого нужно еще выкрасть паспорт и приложить чип к «самопальному» сканеру. Ну а потерянные или украденные паспорта в соответствии с законодательными нормами объявляются недействительными.
«Считать данные закрытого паспорта, находясь в нескольких метрах от его обладателя», действительно невозможно, однако нидерландские экспериментаторы сумели
Паспорта made by «Восход» четко соответствуют международным стандартам, однако сами процессы изготовления, оформления, выдачи и пограничного контроля осуществляются силами государственной информационной системы, к которой предъявляются дополнительные требования.
— Информация о выданных паспортах будет храниться в центрах обработки данных, — говорит Юхневич, — что позволит более целостно ее контролировать. Понятно, что все передается по защищенным каналам с использованием систем, сертифицированных соответствующими органами. Так что на международные стандарты накладываются еще и наши российские требования, которые, поверьте мне, сегодня очень жесткие. И если говорить о паспортной системе, то требования по безопасности к ней не имеют равных среди аналогичных систем, кроме систем специального применения.
Специализированное ПО — документооборот, использование ЭЦП, считывание данных, а в перспективе дактилоскопия и создание 3D-фотографий — в основном пишется в России. И по большей части — в самом «Восходе». А вот основа ИТ-составляющей реализована на зарубежных технологиях. Операционные системы, СУБД, продукты передачи данных — все от мировых производителей: Microsoft, IBM, Oracle.
Пресловутая «закрытость» кода от Microsoft Юхневича не смущает. Уже несколько лет Microsoft дает «посмотреть», что напрограммировали ее сотрудники, если речь идет о государственных или просто крупных заказах.
— Мы, разумеется, исследовали их системы, прежде чем принимать решение об использовании той или иной технологической платформы в проекте. Помимо Microsoft, есть так называемая доверенная операционная система, которая построена на базе Linux и имеет соответствующий сертификат требуемого класса. Она и ложится в основу выбранного технологического решения. Такие решения мы применяем при автоматизации паспортно-визовых отделов.
Но так ли хороши сами стандарты, если информацию, помещенную в чип, столь легко прочитать и расшифровать? По мнению Леонида Юхневича, сегодняшняя версия стандарта не окончательная, хотя выданные паспорта действительны в течение пяти лет (как и их неэлектронные аналоги). Одной из причин возможного изменения стандарта Юхневич считает расширение данных, которые будут храниться в электронном чипе.
— Например, все говорят о биометрических паспортах, но очевидно, что на сегодняшний день никакой биометрии там нет. Биометрия может появиться тогда, когда появится информация об отпечатках пальцев и, возможно, трехмерный портрет владельца. Думаю, уже в нынешнем году будет принят стандарт с 3D. Ну и безусловно будут совершенствоваться международные стандарты в области криптографии.
Биометрия
Опыт клонировани
Специалист по информационной безопасности Лукас Грюнвальд одним из первых продемонстрировал технологию клонирования е-паспортов летом прошлого года на конференции в Лас-Вегасе. С помощью программы RFID Golden Reader Tool (находящейся в свободном доступе) он получил данные со своего паспорта. Затем, достав припасенный паспортный бланк с чипом, Грюнвальд скопировал на RFID-метку извлеченную информацию с помощью собственной программы RFDump. Дополнительного оборудования для этого не понадобилось, т. к. RFID-ридеры могут и записывать данные.