Hatari za Usalama na Uwezo wa Ufisadi katika Vikundi vya Data vya BAC

Pasipoti za kielektroniki, zinazotumia kiwango cha ICAO 9303, zimekuwa msingi wa kusafiri kimataifa katika siku za kisasa. Hata hivyo, usalama unaounganishwa na hati hizi sio kamili. Sehemu muhimu ni mfumo wa BAC (Udhibiti Mkuu wa Upatikanaji), ambao unadhibiti ufikiaji wa data nyeti iliyohifadhiwa kwenye chip. Kuelewa mambo ya ndani ya vikundi vya data vya BAC, udhaifu wao unaowezekana, na jinsi vinaweza kutumika vibaya ni muhimu kwa uthibitishaji wa utambulisho thabiti na uzuiaji wa udanganyifu. Machapisho haya yanachunguzwa kwa undani mambo ya kiufundi ya BAC, yakichunguza udhaifu unaowezekana na tishio linalokua la udanganyifu wa chip iliyovunjwa.

Ujumbe Mkuu 1: BAC inategemea uzalishaji wa nambari za nasibu; udhaifu katika mchakato huu unaweza kuongoza kwa funguo zinazoweza kutabirika na ufikiaji wa data usioidhinishwa.

Ujumbe Mkuu 2: Muundo wa vikundi vya data vya Icao9303 BAC unaanzisha udhaifu, haswa karibu na uwekaji tofauti wa funguo na sera za udhibiti wa ufikiaji.

Ujumbe Mkuu 3: Washambuliaji wanaweza kutumia mwelekeo unaoweza kutabirika katika uzalishaji wa nambari za nasibu kutekeleza msimbo na kudhibiti data kwenye chip.

Ujumbe Mkuu 4: Mifumo imara ya uthibitishaji wa utambulisho lazima iendelee zaidi ya kusoma chip ya msingi, ikijumuisha hatua za usalama za juu ili kugundua majaribio ya ukiukwaji wa data.

Kuelewa BAC na Vikundi vya Data

Kiwango cha Icao9303 kinafafanua jinsi data inavyoundwa ndani ya chip ya pasipoti ya kielektroniki. Mfumo wa BAC unadhibiti ufikiaji wa data hii, ukiigawanya katika 'Vikundi vya Data' tofauti. Kila Kikundi cha Data kina habari maalum, kama vile maelezo ya kibinafsi, data ya kibayometriki, au habari ya usalama. Ufikiaji wa vikundi hivi unadhibitiwa na funguo zinazotokana na Kitumishi cha Usalama wa Hati (SOD). SOD ina funguo zinazotumiwa kusimba na kuthibitisha data. Muhimili, funguo hizi hazitumiwi moja kwa moja kufikia data; badala yake, zinatumika kuzalisha funguo za muda.

BAC inatumia kazi ya utoaji wa funguo ya kiutaratibu. SOD ina funguo ya Mamlaka ya Cheti ya Kusaini Nchi (CSCA) na funguo ya Kusaini Hati (DS). Funguo hizi zinatumika kuzalisha 'Funguo za BAC' kwa kila Kikundi cha Data. Mchakato unategemea sana uzalishaji wa nambari za nasibu. Hapa ndipo uwezekano wa udhaifu unajitokeza. Ikiwa mchanganyiko wa nambari za nasibu unaoweza kutabirika, mshambuliaji anaweza kujenga tena funguo za BAC na kupata ufikiaji usioidhinishwa kwa data ya pasipoti.

Jukumu la Uzalishaji wa Nambari za Nasibu

Usalama wa BAC unategemea ubora wa mchanganyiko wa nambari za nasibu (PRNG) zinazotumiwa kutokana na funguo za BAC. Mchanganyiko wa kweli wa nambari za nasibu sio wa vitendo kwa programu hii kwa sababu ya vizuizi vya utendaji. Badala yake, algorithm ya kiutaratibu hutumiwa, iliyopandikizwa na thamani ya kipekee iliyopatikana kutoka kwa SOD. Ubora wa mbegu hii na nguvu ya algorithm ya PRNG ni muhimu. Kwa bahati mbaya, matoleo ya mapema ya Icao9303 yalitumia PRNGs duni.

Ikiwa mshambuliaji anaweza kutabiri mbegu au pato la PRNG, anaweza kutokana na funguo za BAC na kupitaa utaratibu wa udhibiti wa ufikiaji. Hii sio wasiwasi wa kitaifa; mashambulizi kadhaa yameonyesha uwezekano wa kutabiri funguo za BAC kulingana na udhaifu unaojulikana katika utekelezaji wa PRNG. Utabiri wa funguo hizi unaongezwa na ukweli kwamba mamlaka nyingi za utoaji wa pasipoti hutumia algoriti sawa au sawa za PRNG na mbinu za kupanda mbegu.

Udhaifu katika Muundo wa Kikundi cha Data cha BAC

Zaidi ya PRNG, muundo wa miundo ya data ya BAC yenyewe unaweza kuwasilisha udhaifu. Hasa, mpango wa tofauti wa ufunguo uliotumiwa kuzalisha funguo tofauti kwa kila Kikundi cha Data huenda usiwe na nguvu ya kutosha. Katika utekelezaji mwingine, mchakato wa kutofautisha ni rahisi, unaongoza kwa uhusiano unaoweza kutabirika kati ya funguo. Mshambuliaji ambaye anaweza kubaini funguo moja ya BAC anaweza kuhesabu zingine.

Zaidi ya hayo, sera za udhibiti wa ufikiaji zinaweza kuwa na dosari. Kwa mfano, pasipoti zingine zinaweza kutoa ufikiaji mrefu zaidi kwa Vikundi fulani vya Data kuliko vile kinachohitajika, kuongeza uso wa mashambulizi. Sera zisizo sahihi za udhibiti wa ufikiaji zinaweza kuruhusu mshambuliaji kusoma data nyeti bila uthibitishaji mzuri. Kiwango cha Icao9303 kinatoa uhuru katika udhibiti wa ufikiaji, lakini uhuru huu lazima utekelezwi kwa uangalifu ili kuepuka kuanzisha udhaifu.

Utoaji na Mashambulizi Halisi

Watafiti wameonyesha mashambulizi yanayotumia udhaifu katika utekelezaji wa BAC. Mashambulizi haya kwa kawaida yanahusisha kuchukua SOD kutoka kwa chip (mchakato unaohitaji ufikiaji wa mwili kwa pasipoti) na kisha kutumia udhaifu katika PRNG au mpango wa utofauti wa ufunguo kutokana na funguo za BAC. Mara tu funguo za BAC zinapopatikana, mshambuliaji anaweza kusoma na hata kurekebisha data iliyohifadhiwa kwenye chip, inaweza kuunda hati za uwongo au kubadilisha habari ya utambulisho.

Mashambulizi haya yanakuwa ya kisasa zaidi, yakitumia mbinu za juu kama uchambuzi wa upande ili kuchukua habari kutoka kwa chip. Hii inahusisha ufuatiliaji wa matumizi ya nguvu ya chip au utoaji wa umeme ili kupata habari kuhusu funguo na algoriti zinazotumiwa. Kuibuka kwa zana maalum na nambari za utekelezaji zinazopatikana kwa urahisi kumepunguza kizuizi cha kuingia kwa washambuliaji, ikifanya mashambulizi haya kuwa ya kawaida zaidi. Hatari ya ukiukwaji wa data ni kubwa, haswa kwa kuwa mbinu hizi zinaenea zaidi.

Didit Inasaidiaje

Jukwaa la uthibitishaji wa utambulisho la Didit huenda zaidi ya kusoma chip ya msingi ili kupunguza hatari zinazohusiana na udhaifu wa BAC:

• Usomaji wa Chip Ulioimarishwa: Tunatumia kusoma chip ya msimbaji (uthibitishaji wa NFC) ili kuthibitisha saini ya dijiti ya chip na kuhakikisha uadilifu wa data.
• Utafutaji wa Uhitilafu: Jukwaa letu linatumia algoriti za utaftaji wa hitilafu zilizosafishwa ili kubaini mwelekeo unaoshukiwa katika data iliyosomwa kutoka kwa chip, ikionyesha ukiukwaji wa ufikiaji au udanganyifu unaowezekana.
• Uthibitishaji wa Data: Tunarejelea data iliyochukuliwa kutoka kwa chip na hifidata za nje na vyanzo rasmi vya serikali ili kuthibitisha uhalali wake.
• Utafutaji wa Uhai: Utafutaji wa uhai uliomo kuzuia matumizi ya mashambulizi ya uigaji, kuhakikisha mtu anayewasilisha pasipoti ni mmiliki halali.
• Ujasusi wa Tishio wa Wakati Halisi: Didit huendesha sasisho za kuendelea kwa habari za tishio ili kukaa mbele ya mwelekeo unaoibuka na udhaifu.

Tayari Kuanza?

Linda biashara yako na wateja wako kutoka kwa udanganyifu wa pasipoti ukitumia suluhisho thabiti la uthibitishaji wa utambulisho la Didit. Omba onyesho leo kujifunza jinsi tunaweza kukusaidia kulinda shughuli zako. Chunguza hati zetu za kiufundi kwa uchunguzi wa kina wa uwezo wetu.