(Ноябрь 2012)
На криптографической конференции CHES 2012, в сентябре этого года проходившей в г. Лувен, Бельгия, была представлена работа о серьезных слабостях, выявленных учеными-исследователями в системе банковских платежных карт EMV, в народе более известных как «Чип-и-ПИН».
На CHES 2012 (название конференции можно расшифровать как «Криптографические встроенные системы и аппаратура») доклад об очередной компрометации EMV сделал Стивен Мердок – как представитель целой исследовательской команды из Компьютерной лаборатории Кембриджского университета.
Эту знаменитую в кругах инфобезопасности лабораторию с середины 1990-х годов возглавляет профессор Росс Андерсон – не только очень авторитетный криптограф-практик вообще, но и неустанный критик, в частности, банковских систем защиты информации. Выявлением всевозможных слабостей в этих системах (плюс конструктивными предложениями по их усилению, естественно) Андерсон и его соратники занимаются вот уже около четверти века.
Новейшая их аналитическая работа, посвященная очередным уязвимостям в системе платежных чип-карт EMV, сфокусирована на таких мошеннических манипуляциях с техникой, которые по своему итоговому эффекту эквивалентны клонированию. Имеет смысл этот момент подчеркнуть: речь идет не о физическом изготовлении клона карты, а о махинациях, оставляющих в лог-файлах платежных систем такие следы, которые оставляет за собой либо полный клон карты, либо вообще оригинал.
Принимая во внимание тот факт, что технология EMV была специально разработана в конце 1990-х годов для того, чтобы эффективно противостоять клонированию традиционных банковских карт с магнитной полоской, можно представить, сколь серьезного внимания общества должны заслуживать нынешние открытия кембриджских ученых.
kiwi arXiv 