Brit komputerbiztonsági kutatók azt állítják, hogy egy vaku és egy mikroszkóp segítségével titkos információkat lehet leolvasni a széleskörűen használt smart kártyákról. A mikrochippel felszerelt műanyag lapokat több országban személyi igazolványként használják, vannak ilyen hitelkártyák, sőt a Pentagon is “smart” azonosító kártyákkal szerelte fel az amerikai katonákat.
A Cambridge-i egyetem komputerbiztonsági kutatói, Sergei Skorobogatov és Ross Anderson hétfőn ismertettek egy módszert, melynek segítségével hozzá lehet jutni a smart kártyákon tárolt titkos információkhoz – írta a New York Times. Az Oaklandben, mérnökök számára rendezett konferencián bemutatott eljáráshoz csak egy vaku és egy mikroszkóp kell, ezért így egyszerűen, ráadásul költséghatékonyan lehet adatokat lopni a kártyákról.
A smart card-okat számos helyen használják, vannak például ilyen hitelkártyák, és alkalmazzák őket azonosító- és titkosító rendszerekben is. A kártyák egy mikrochipet és némi memóriát tartalmaznak. Ez rögzíti az adatokat, például titkosító kódokat, esetleg digitalizált retina- vagy ujjnyomat-képet. Néhány európai országban a személyi igazolvány is ilyen típusú kártya, és nemrégiben szóba került, hogy a repülőterek biztonsági ellenőrzését felgyorsítandó ott is használatba veszik a smart card-okat. A Pentagon a katonákat is ilyen igazolvánnyal szerelte fel, amivel a hálózati azonosítás problémáját is egycsapásra megoldották. Az Egyesült Államokban vannak “smart” hitelkártyák is, az American Express Blue kártyája és a Providian Smart Visa kártyája. Ezek egyszerű és biztonságos módját kínálják az online fizetésnek, bár a lehetőségek egyelőre még korlátozottak. Itthon a Kereskedelmi és Hitelbank tervezi hasonló kártya kibocsátását.
Minden kártyán van egy ún. digitális biztonsági hitelesítő kulcs, mely csak a párjával együtt érvényes, és ennek segítségével lehet az információkat kódolni és dekódolni. Ha ezt a kulcsot feltörik, a rendszer biztonsága veszélybe kerül. A brit kutatók akkor kezdtek el foglakozni a jelenséggel, amikor Skorobogatov észrevette, hogy egy vaku segítségével befolyásolni tudja a smart card mikroprocesszorának működését. Magához a processzorhoz úgy fértek hozzá, hogy lekaparták róla a külső védőréteget. A kutatók később a fényt a chip egyes tranzisztoraira is képesek voltak ráirányítani úgy, hogy a vakut egy Wentworth Labs MP-901 típusú laboratóriumi mikroszkóp videoportjára erősítették, szigetelőszalaggal. Az egyes tranzisztorok megvilágítási értékeit változtatgatva képesek voltak visszafejteni a memória címzési térképét, és így ki tudták nyerni a kártyán tárolt titkos információkat. Skorobogatov egyébként orosz emigráns, aki korábban a Szovjetunió nukleáris fegyverkezési programjában vett részt. Mr. Anderson ismert számítógépes biztonsági szakember, akinek munkáját széles körben elismerik a komputerbiztonság és a kriptográfia területén is.
Köntös Zoltán, a biztonságtechnikai kérdésekkel is foglalkozó nEext Consulting szakértője szerint azonban nem lehetséges ilyen módon az adatokat leolvasni a smart card-okról. Az eljárás ugyanis azt a fizikai törvényszerűséget használja ki, hogy a vékony, sokszor csak néhány 10 mikron vastagságú rétegek tartalma nagy energiájú fénnyel roncsolható. A szakértő szerint tehát a processzorban fizikailag tárolt adatsort így nem lehet módosítani vagy leolvasni, csupán összezavarni.
