Смарт-карты Голландии будут работать под управлением свободного ПО

Голландский фонд NLnet финансирует проект по свободному ПО, основной задачей которого является создание программных продуктов, позволяющих управлять смарт-картами. Реализация данного проекта позволит усилить защиту персональных данных при использовании смарт-карт. На текущий момент с проблемой незащищённости данных сталкиваются пользователи смарт-карт в США, Великобритании и Голландии.

В рамках реализации проекта фонд NLnet выделил 150 000 евро университету Radboud в Неймегене для разработки свободных программных продуктов. По данным представителей Фонда срок действия проекта закончится в 2010 году.

Для проведения независимой оценки разрабатываемого ПО в ближайшем будущем будут опубликованы результаты исследований и исходные коды разработанных приложений. Созданная на основе свободного ПО модель защиты данных будет более действенной по сравнению с проприетарными решениями, не предоставляющими документации. К сожалению, на рынке смарт-карт преобладают именно такие закрытые системы. Разработанное сотрудниками университета ПО будет в дальнейшем использоваться и в других проектах. Это связано с тем, что данное ПО создаётся на основе общедоступной лицензии GPL.

Потребность в создании более надёжных и безопасных систем очевидна. Проведённые в прошлом году исследования показали уязвимость безопасности микросхемы Mifare Classic RFID (идентификация по сигналам радиопередатчика персональной карточки), которая вмонтирована более чем в 2 миллиарда смарт-карт, используется для обеспечения доступа к системе общественного транспорта во всём мире.

В процессе исследований выяснилось, что алгоритм шифрования микросхемы Mifare Classic позволяет получить 48-битовые ключи кодирования используемых смарт-карт. Имея на руках такую информацию, можно создать копию смарт-карты или, в некоторых случаях, пополнить счёт карточки для пользования системами общественной транспорта.

Микросхемы Mifare Classic RFID появились в 90-х годах прошлого столетия. На тот момент не требовалось большой вычислительной мощности используемых микросхем.

Применение более сложных алгоритмов кодирования предполагает использование более высокой вычислительной мощности. Для пользователя смарт-карт это может означать, что ему понадобится затратить чуть больше времени на процесс транзакции. Одной из целей проекта является усиление системы шифрования при сохранении секундного интервала на процесс транзакции.

Другой целью проекта является повышение условий безопасности. Бесконтактная платёжная система под названием Oyster card транспортного агентства Лондона (TFL) работает на основе Mifare. Клиентам предлагают на выбор несколько вариантов при получении карты. Им предоставляется возможность зарегистрировать карту в агентстве TFL и получить дубликат при потере или купить новую незарегистрированную карту.

Если пользователь зарегистрировал карту, то часть информации о передвижениях человека хранится в базе данных агентства TFL. В данном случае существует риск использования персональных данных некорректным образом. Посредством реализации проекта будет создан такой тип карт, которые смогут предложить пользователям специфические персональные выгоды, и, при этом, лишняя информация относительно передвижений не будет храниться в централизованной базе данных. Таким образом, пользователи получат выгоды от применения смарт-карт, не жертвуя при этом безопасностью информации.

Принцип действия разработанной сотрудниками университета Radboud смарт-карты больше похож на предъявление в общественном транспорте бумажного проездного билета. Смарт-карта предоставляет возможность совершить ту или иную поездку и скрывает при этом все персональные данные её владельца. То есть такая смарт-карта является электронным аналогом проездного билета.

По прогнозам руководства проекта, сотрудники университета в течение ближайших шести месяцев создадут усовершенствованный алгоритм действия смарт-карт, который впоследствии будет опробован в действии.