УЭК: Все яйца в одной корзине

(Апрель 2011)

Универсальная чип-карта, которой государство в ближайшие годы намерено одарить каждого россиянина, это не только удобно, но и чревато.

uec

В первых числах апреля (2011) на одной из текущих конференций по защите информации («Семинар по протоколам безопасности» в Кембридже) был представлен интересный доклад, имеющий непосредственное отношение к так называемой УЭК.

Если кто вдруг еще не в курсе, то такой аббревиатурой наши власти обозначили очень скоро грядущую для всех граждан России «универсальную электронную карту».

Автором доклада является видный английский криптограф Росс Андерсон, возглавляющий Лабораторию компьютерной безопасности в Кембридже и регулярно приглашаемый для консультирования правительств и корпораций в качестве независимого эксперта.

Представленная на форуме работа Андерсона стала одним из итогов его недавнего сотрудничества с компанией Google и посвящена, конечно же, не конкретно российской системе, а всеобщей тенденции, четко отмечаемой ныне во множестве самых разных государств.

Тенденция эта такова, что современный уровень инфотехнологий уже вполне позволяет в одном миниатюрном компьютерном устройстве собрать практически все идентифицирующие документы и платежные инструменты, используемые человеком в его повседневной жизни.

Иначе говоря, и удостоверение-пропуск, и водительские права, и карту соцстрахования с медкнижкой, и кошелек с цифровыми наличными плюс всевозможными платежными карточками (включая кредитные, дебетовые, скидочные и любые прочие) – все это в совокупности можно в принципе заменить одним-единственным устройством на микрочипе.

И запаять это устройство в нечто такое, что человеку удобно постоянно носить с собой – в брелок, пластиковую карту или в мобильный телефон.

По вполне объяснимым причинам многие государства, внедряющие ныне такого рода системы, иногда именуемые системами «объединенной аутентификации», в качестве основы обычно выбирают пластиковую ID-карту.

Однако уже вполне отчетливо проявляются и другие варианты, более привлекательные для влиятельных корпораций. Так, конкретной моделью исследования в докладе Росса Андерсона выбрана схема, энергично продвигаемая ныне компанией Apple, где очень хотели бы видеть в качестве универсального чудо-прибора для «объединенной аутентификации» свой смартфон iPhone.

Но какой бы ни была конечная реализация идеи, несложно понять, что с точки зрения защиты информации перед любой схемой объединенной аутентификации стоят одни и те же очень серьезные проблемы, потенциально способные сделать систему не только малоэффективной, но и очень опасной для ее пользователей. Читать «УЭК: Все яйца в одной корзине» далее