Контроль доступа в машиносчитываемых проездных документах нового поколения: протокол PACE

Введение.

Настоящая работа является развитием темы, посвященной актуальным проблемам в области машиносчитываемых проездных документов (МСПД), начало которой было положено в [1].

Международная организация гражданской авиации (ИКАО) с 1997 г. ведет работу по внедрению в МСПД дополнительной информации (помимо номера документа, пола, даты рождения, гражданства владельца и пр.), включая биометрические данные. В качестве технического средства, используемого для электронного хранения данных в документе и отвечающего соответствующим требованиям (обеспечение достаточного объема памяти для хранения изображения лица и, возможно, других биометрических данных; удобство использования без необходимости помещать документ в считывающее устройство и др.), выбрана бесконтактная интегральная схема.

МСПД с имплантированной бесконтактной микросхемой получили название МСПД нового поколения (МСПД НП). Как минимум, микросхема МСПД НП должна содержать изображение лица и цифровую копию машиносчитываемой зоны (МСЗ).

Базовый контроля доступа.

Документ ИКАО 9303, представляющий спецификации для машиносчитываемых проездных документов, в качестве факультативного механизма контроля доступа к данным, хранящимся в микросхеме, определяет протокол базового контроля доступа (Basic Access Control, BAC) [2], [3].

Протокол BAC используется для нескольких целей. Во-первых, микросхема, в которой реализован механизм BAC, запрещает доступ к содержимому до тех пор, пока считывающее устройство не докажет, что оно авторизовано. Доказательство выполняется в рамках запросно-ответного протокола, в ходе которого считывающее устройство должно продемонстрировать знание индивидуальных для микросхемы ключей доступа к документу. Эти ключи выводятся из информации МСЗ. Идея в том, что, как предполагается, никто не знает информацию МСЗ до тех пор, пока паспорт не открыт, и открытие паспорта символизирует, что владелец производит авторизацию на считывание.

Во-вторых, в соответствии со спецификациями требуется, чтобы BAC выполнял протокол согласования ключа между считывающим устройством и микросхемой для выведения симметричного сеансового ключа, с помощью которого производится шифрование канала между системой проверки и микросхемой.

Благодаря простоте применяемого подхода BAC оказался весьма успешным протоколом: он реализован почти во всех электронных паспортах. В настоящее время факультативный протокол базового контроля доступа является рекомендованным элементом для защиты конфиденциальности.

Границы безопасности, обеспечиваемой BAC, определяются концепцией протокола. Ключи доступа к документа генерируются из напечатанных в паспорте данных, которые характеризуются очень малой степенью случайности: номер документа, дата рождения, дата окончания срока действия документа. Как следствие, результирующие ключи обладают сравнительно низкой энтропией и являются криптографически слабыми.

Как отмечается в [4], атака прямого перебора в режиме прямого доступа над BAC может быть осуществлена в течение нескольких часов, во время которых считывающее устройство подключается к микросхеме и пытается угадать информацию МСЗ. Пассивное прослушивание коммуникации между авторизованным считывающим устройством и микросхемой делает возможным осуществление атаки прямого перебора в автономном режиме, что может повлечь за собой дешифрование коммуникаций между микросхемой и считывающим устройством.

Протокол PACE как альтернатива базовому контролю доступа.

Распространено мнение, что в условиях текущего состояния криптографии, по-видимому, не существует возможности создания протокола согласования ключа, который мог бы противодействовать пассивным атакам, без использования методов криптографии с открытым ключом [5]. Очевидно, замена BAC некоторым протоколом, основанным на согласовании ключа Диффи-Хеллмана позволила бы защититься от пассивных атак.

В качестве подобной альтернативы Федеральным бюро Германии по защите информации (BSI) предложено использовать протокол установления соединения с парольной аутентификацией PACE [6].

PACE представляет собой протокол согласования ключей Диффи-Хеллмана с парольной аутентификацией, который обеспечивает безопасное соединение и основанную на пароле аутентификацию микросхемы МСПД НП и системы проверки. Схема выполнения протокола PACE представлена на рисунке 1.

Следует отметить, что РАСЕ является скорее инфраструктурой, допускающей различные варианты реализации в части отображений (mappings), алгоритмов, паролей и т. д., чем единым протоколом.

Рисунок 1 - Схема выполнения протокола PACE

К характерным особенностям PACE относятся:

- сильные сеансовые ключи обеспечиваются независимо от силы пароля;

- энтропия пароля, используемого для аутентификации терминала, может быть очень низкой (например, в общем случае достаточно 6 символов).

PACE использует ключи K_π, выведенные из паролей. В [6] определено требование доступности следующего варианта для глобально совместимых МСПД: Kπ = KDFπ (МСЗ), где KDF - некая функция выведения ключа. В этом варианте ключ выводится из информации МСЗ (подобно тому, как это делается в протоколе BAC): номера документа, даты рождения владельца и даты истечения срока действия документа.

Безопасность протокола PACE.

Протокол PACE был разработан сравнительно недавно и, возможно, еще недостаточно широко изучен международным исследовательским сообществом. Например, не известны свидетельства о его надежности при использовании в больших масштабах. Поскольку на настоящий момент времени еще не сформировано общепринятое мнение относительно уровня безопасности, обеспечиваемого протоколом PACE, государства, принципиально поддерживая необходимость разработки альтернативы протоколу BAC, относятся к полномасштабному внедрению PACE с осторожностью. Существует мнение о том, что неразумно сразу начинать эксплуатировать этот протокол в критических приложениях в больших объемах (а в случае паспортов количество исчисляется миллионами экземпляров).

При этом необходимо отметить, что попытки проведения анализа безопасности протокола PACE предпринимаются. Так, в [7] представлен анализ протокола в модели случайного оракула и модели идеального шифра. В результате проведенного в [6] анализа установлено, что PACE предоставляет защиту «действительного-или-случайного» (real-or-random) в смысле [8] в модели случайного оракула и модели идеального шифра. Также установлено, что протокол обладает свойством заблаговременной безопасности (forward security).

В настоящее время рабочей группой ИСО/МЭК JTC1/SC17 разрабатывается технический отчет, который определяет место протокола PACE в системе контроля доступа МСПД НП. Относительно PACE принято решение, которое можно расценивать как компромиссное: PACE рассматривается как механизм контроля доступа, являющийся дополнительным по отношению к BAC. Устанавливается, что если требуется достижение глобальной совместимости документов, государства не должны реализовывать PACE, отказываясь от реализации BAC. В свою очередь, рекомендуется, чтобы системы проверки документов реализовывали PACE и использовали этот протокол в том случае, если его выполнение поддерживается микросхемой МСПД НП.

Таким образом, BAC остается механизмом контроля доступа «по умолчанию» для глобально совместимых МСПД НП до тех пор, пока он обеспечивает достаточную безопасность. Однако оговаривается, что в будущем механизм базового контроля доступа может быть признан не рекомендуемым, и в этом случае именно PACE будет признан механизмом контроля доступа «по умолчанию». Планируется, что данный подход позволит осуществить постепенный переход от BAC к PACE в течение ближайших 10-20 лет.

Литература

1 Лыдин С.С. Аспекты, связанные с оценкой целесообразности участия государств в системе PKD ИКАО // Комплексная защита информации. Материалы XIV международной конференции (19-22 мая 2009 г.). - Мн., 2009. - С. 154--156. [Электронный документ]. - http://www.okbsapr.ru/lydin_2009_1.html. Проверено 27.04.2010 г.

2 ICAO Doc 9303, Machine Readable Travel Documents - Part 1: Machine Readable Passport, Volume 2: Specifications for electronically enabled passports with biometric identification capabilities, 6th Edition, 2006.

3 ICAO Doc 9303, Machine Readable Travel Documents - Part 3: Machine Readable Official Travel Documents, Volume 2: Specifications for electronically enabled official travel documents with biometric identification capabilities, 3rd Edition, 2008.

4 Juels A., Molnar D. and Wagner D. Proc. of the First Int. Conf. on Security and Privacy for Emerging Areas in Communications Networks // SecureComm'05, 2005. - pp. 74-88.

5 Serge Vaudenay And Martin Vuagnoux. About Machine-Readable Travel Documents // ICS'07, 2007.

6 BSI TR-03110, Advanced Security Mechanisms for Machine Readable Travel Documents. Version 2.02, 2009

7 Jens Bender, Marc Fischlin, Dennis Kügler. Security Analysis of the PACE Key-Agreement Protocol // ISC '09: Proceedings of the 12th International Conference on Information Security. - Pisa, Italy, 2009. - pp. 33-48.

8 Michel Abdalla, Pierre-Alain Fouque, and David Pointcheval. Password-based authentificated key exchange in the three-party setting // PKC 2005, Lecture Notes in Computer Science 3386, pp. 65-84. Springer-Verlag, 2005.

Автор: Лыдин С. С.

Дата публикации: 01.01.2010

Библиографическая ссылка: Лыдин С. С. Контроль доступа в машиносчитываемых проездных документах нового поколения: протокол PACE // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010. С. 124–128.