Новые немецкие и швейцарские идентификационные карты не так безопасны, как заявлено

Новый продукт XYZ полностью безопасен и защищен от взлома. Вы слышали это раньше от политиков или компаний? Обычно очень скоро выясняется, что претензии ложны и что продукт не так безопасен, как заявлено.

Германия находится на пороге введения новых биометрических идентификационных карт. Эти новые идентификаторы не только заменяют старые карты, но также могут использоваться для идентификации в Интернете, например, для связи с государственными органами.

На бумаге это звучит великолепно. В системе используется концепция, аналогичная широко известному банковскому стандарту HBCI. Пользователи получают чип-ридер вместе с картами для использования в Интернете. Они вставляют чип в карту и в целях безопасности должны вводить PIN-код всякий раз, когда они подписывают заявку или должны идентифицировать себя в Интернете.

Члены Немецкого компьютерного клуба Chaos Computer Club в сотрудничестве со швейцарскими экспертами по безопасности продемонстрировали, что безопасность новых ID-карт не защищена от взлома.

Они выявили несколько слабых мест, в том числе:

  • Атака компьютеров с помощью троянов или атак человека посередине. Это влияет на владельцев карт с базовыми считывателями карт (без физической цифровой клавиатуры для ввода пин-кода). Более продвинутые считыватели карт по-прежнему подвержены другим атакам, в том числе атакам человека в середине. Немецкие власти заказали миллион таких базовых комплектов.
  • Содержимое карты и удостоверения личности можно копировать.
  • Нет стандартов применения для подписания юридических документов. Эксперты продемонстрировали это с помощью содержимого PDF и JavaScript. Содержимое JavaScript не было показано подписывающей стороне контракта, в то время как оно отображалось в программе Adobe PDF Reader. Это означает, что юридически обязывающие контракты могут быть подписаны владельцами удостоверений личности без просмотра всего содержания контрактов.

Что могут сделать пользователи, чтобы защитить свои карты от злоупотреблений? Немцы могут получить старое удостоверение личности до октября этого года. Если новая идентификационная карта — единственный вариант, пользователи должны убедиться, что приобрели более продвинутый кард-ридер с цифровой клавиатурой для защиты от основных форм атак, или сделать чип на карте недействительным.

Несколько недель назад ученики девятого класса продемонстрировали, как это можно сделать. Дивный новый мир, вот и мы …