Деннис Фишер

Группа исследователей фирмы RSA Security придумала метод, который, по их мнению, устранит проблемы охраны частных тайн, возникающие при использовании тегов радиочастотной идентификации (RFID), что позволит предприятиям и частным лицам более свободно применять RFID-технологии.

RSA предложила способ "обманывать" считывающие RFID-устройства, с тем чтобы они воспринимали мнимый факт присутствия всех возможных тегов. По мнению экспертов по безопасности, это технологически изящное и недорогое решение снимет ряд претензий, предъявлявшихся к RFID-технологии защитниками коммерческих и личных секретов.

Джуэлс из RSA Labs: "Блокирующие

теги обеспечивает простое решение проблемы"

RFID-теги находят применение в быстро расширяющемся спектре промышленных и корпоративных приложений, прежде всего в управлении и контроле за перемещением материальных ценностей, обеспечении безопасности и контроле персонального доступа.

Тег представляет собой крошечную интегральную схему с антенной. В памяти каждого тега запрограммирован уникальный идентификационный номер, который по запросу посылается на считывающую систему. Теги можно встраивать куда угодно: в одежду, потребительские товары, деньги и кредитные карточки. Например, через пару лет теги будут заделываться в крупные банкноты евро.

Вопросы сохранности личных тайн возникли из-за того, что любой считыватель может прочесть номер на любом теге. Скажем, считывающее устройство в универмаге сможет не только увидеть товары в тележке покупателя, но и распознать вещи, приобретенные тем же покупателем в конкурирующих торговых точках, определить количество денег в его бумажнике и находящиеся при нем кредитные карточки.

Предлагаемая RSA Labs технология предоставит производителям, поставщикам и потребителям достаточно простое средство, помогающее решать, когда и какие из тегов должны быть доступны тем или иным считывающим системам. В нем используется так называемый блокирующий тег, имитирующий одновременное наличие всех возможных серийных номеров. Из-за этого считыватель не сможет обнаружить присутствие конкретного тега.

По словам Ари Джуэлса, главного научного исследователя RSA Labs (Бедфорд, шт. Массачусетс) и соавтора статьи по блокирующим тегам, "концептуальный базис решения достаточно прост, и блокирующие теги будут стоит не дороже пары обычных тегов". Типичная стоимость RFID-тегов составляет около пяти центов за штуку.

RFID-считыватель единовременно может воспринимать информацию только от одного тега; поэтому, если на запрос откликается сразу несколько тегов, считыватель обнаруживает коллизию и, чтобы обеспечить поочередное взаимодействие с каждым отдельным тегом, обращается к так называемому протоколу "сингуляции". Он использует схему двоичного дерева и "просит" теги отвечать по порядку, сначала по старшему, затем по следующему разряду их идентификаторов и далее до разрешения коллизии. Однако блокирующий тег всякий раз генерирует оба значения бита - нуль и единицу. Это вынуждает считыватель производить опрос до исчерпания всего дерева.

Можно запрограммировать, чтобы такой тег блокировал только некоторый диапазон серийных номеров RFID, что даст определенный простор в использовании RFID-тегов, но позволит людям или компаниям контролировать их читаемость.

"Блестящая идея. Я бы прикрепил один из таких блокирующих тегов к своему бумажнику или автомобильным ключам и заблокировал свои RFID-номера, - сказал Ави Рубин, адъюнкт-профессор и технический директор Института информационной безопасности при Университете Джона Гопкинса (Балтимор), занимавшийся ранее исследованиями некоторых последствий применения RFID-тегов для сохранности персональных секретов. - Этот вопрос становится все более важным, так как теги в скором времени будут заделывать в одежду и другие личные вещи".

В RSA активно обсуждаются вопросы разработки блокирующих тегов с производителями RFID-систем.

"Здесь, по-видимому, необходим целый спектр решений", - говорит Джуэлс. Он, его соавтор Рон Ривест (один из основателей RSA) и сотрудник RSA Labs Майкл Шидло планируют в октябре выступить с докладом о блокирующих тегах на конференции по компьютерной и коммуникационной безопасности, организуемой Ассоциацией вычислительной техники.