Linux за българи: Форуми

http://www.strategy.bg/PublicConsultations/View.aspx?lang=bg-BG&Id=2045

http://openprojectsfoundation.org/?q=en/node/43

Не е ясно какви данни ще предава чипът, но със сигурност биометрията ще е едно от нещата. Това означава, че всеки с RFID скенер, приближил се до вас, може да получи личните ви данни и това да остане неизвестно за вас, независимо дали чипът предава активно (с батерия) или само когато бъде сканиран (тоест се захранва от мощността на предавателя на скенера).

Това е откровено безумие, също като безконтактните банкови карти, където ако някой им сканира RFID-то, може да си плаща на POS терминали със суми от 30-50 лева без PIN.

Желателно е да изразите мнение срещу проектозакона в коментарите.

Прегледах набързо законопроекта и не открих никъде конкретно споменаване на безконтактна връзка. Данните, които ще съдържа документа, според законопроекта:

§ 4. В чл. 20а се правят следните изменения и допълнения:
1. В ал. 2, след думите “Електронният носител на информация” се добавят
думите “по ал. 1”.
2. Създава се нова ал.4
(4) В личната карта се съдържа електронен носител на информация, в който
се записват:
1. данните по чл. 20, ал. 2 и снимка на лицето, като те не могат да бъдат четени
без осигуряване на достъп от негова страна. Данните се защитават от
Министерството на вътрешните работи с електронен печат по смисъла на
Регламент (ЕС) No 910/2014.
2. удостоверение за електронна идентичност и съответните му криптографски
ключове, освен ако в заявлението за издаване лицето е заявило, че не желае да
ползва личната карта като носител на такова удостоверение.
3. удостоверение за квалифициран електронен подпис и съответните му
криптографски ключове, ако в заявлението за издаване лицето е заявило, че желае
да ползва личната карта като носител на такова удостоверение.”
4. други данни, включително биометрични данни, в отделен защитен сегмент
на носителя, съгласно препоръките на Международната организация по гражданско
въздухоплаване (ICAO) DOC 9303, ако в заявлението за издаване лицето е заявило
желание по чл.18 ал.6 т.3 .

Данните от т.1 според настоящият закон:

Чл. 20. (1) (Изм. - ДВ, бр. 82 от 2009 г.) Българските лични документи са машинночитаеми.
(2) (Изм. - ДВ, бр. 82 от 2009 г.) Машинночитаемата зона на българските лични документи съдържа следните данни:
1. вид на документа;
2. органа, издал документа;
3. фамилия и други имена на притежателя на документа;
4. номер на документа;
5. гражданство на притежателя на документа;
6. дата на раждане на притежателя на документа;
7. пол на притежателя на документа;
8. дата на изтичане на валидността на документа;
9. (доп. - ДВ, бр. 82 от 2009 г.) единен граждански номер, личен номер или личен номер на чужденец;
10. контролни цифри на данните по горните точки.

И от мотивите към законопроекта:

Записаните на електронния носител данни от машинно-четимата зона ще позволят
и използване на личната карта за идентификация по електронен път присъствено
(например при регистрация в лечебни заведения, градски транспорт и др.).
Четенето на тези данни обаче изисква изрично осигуряване на достъп от страна на
лицето (например поставяне в четец), като така се изключва възможността за
пасивно четене, което би нарушило личната неприкосновеност на гражданите.

Аз лично, нямам проблем с така разписаният законопроект. Никъде не се споменава, да не говорим за изискване, данните да се предават безконтактно. Тъкно напротив.

Все пак, добре е, че се отбелязват проблемите с изтичане на данни, защото едни закони се предлагат, други се приемат...

Даже ако прочетете по-внимателно горното ще видите, че по желание на гражданина личната карта може да бъде обикнвенна. Т.е. без електроника :)

Ама докога ли ? Рано или късно ще нахакат всякакви електронни акенца.

Да слагат! Моя го хвърлям веднага в микровълновата и е до там.
А може да пусна и бизнес със подходящи портфейлчета, дето да пазят чипа от сканиране. Още през 2005 беше показан скенер, който е способен от 21 метра да чете RFID чипове. Мноооого забава ще падне  ;D

(https://pbs.twimg.com/media/CZMvbsKWwAEg1PZ.jpg)

Това малкото е сигнала от MIFARE карта изчетена на разстояние около 5 метра, обаче не знам дали има достатъчно висок SNR, за да се декодира до нещо смислено, нямам и време да си играя. И да стане, няма да е много практично, тя антената е доста обемна и сигурно дори няма да ме пуснат в някое летище с нея :)

С dedicate-ната за целта приемна система сигурно може да се направи далеч по-ефективно. Макар че пасивното изчитане е едно, да го накараш да предава е друго.

В международните паспорти с биометрия отдавна има чип. Само че изчитането на повечето данни не е възможно без наличие на декодиращ ключ. А той не е публичен, така че няма от какво толкова да се страхувате. И се чете на разстояние не повече от 1 см - това е фактор, по отношение на който имах притеснения докато не го пробвах.
В банковите карти с безконтактна опция също има подобен чип. И в двата случая най-вероятно се ползва NFC, защото се засичат с устройства поддържащи тази технология.

Проблемът е че криптографията на тези неща когато я има обикновено е слаба - като например поточен шифър с 48-битов ключ, а ограниченията идват от консумацията на енергия, те не че не могат да направят по-"умни" тагове иначе. Вероятно това ще се подобрява с времето де.

Видеото на което споменах, че един си сглоби устройство, което четеше чипове до към метър, метър и половина мисля беше, едва ли ще го намеря, но беше много подробно. Антената наистина беше най-голямото парче хардуер. Но всичко можеше да се сложи в раница за лаптоп спокойно.
На DEFCON 2005, ако си спомням точно годината, беше показано устройство, което четеше също.
Доколкото съм запознат с технологията, тези чипове нямат собствен енергиен източник, затова енергията, която ги кара да излъчат информацията в тях е индукционна. Така че всичко зависи от силата на електромагнитното поле, което мине през чипа. Предполагам, че с достатъчно мощен импулс, ще се генерира достатъчно силен ответен такъв и чипа ще се разчете без проблем. Сигурно на теория, всеки импулс, който не изпължи чипа, ще породи в него енергия, която може да накара сигналът му да стигне доста далеч. Относно криптографията също съм притеснен защото, ако някой се добере до ключа, ще може сигурно да изчита всичко. Само трябва да си мълчи, че му е в ръцете

Оказа се още по-лошо от това. Малко се поразтърсих и се оказа, че разбира се всичко зависи от това, какъв е чипа, дължината на антената му, материалите, но и по какъв начин ще го четеш. Та дистанцията се увиличи до сто метра.

Някой хардуерен човек трябва да се изкаже по този въпрос, но доколкото знам, колкото и силно да облъчваш тага, той еднакво силно ще си излъчи каквото има да излъчва. Но пък "зареждането" от "по-далеч" изисква мощността на "зареждащия предавател" да нараства на квадрат спрямо разстоянието и от няколко сантиметра до примерно 10 метра спокойно може да се окаже че ти трябва доста обемна и енергоемка железария, за да "светнеш тага". А може и да не е така, знам ли.

Има и друг фактор - поне тези тагове дето оперират на КВ обхвата (които май са масовите по разни карти за градски транспорт и за контрол на достъпа в момента) - условията при които можеш да четеш отдалеч варират ужасно много. Всичките домакински електроуреди имат навика малко или много да серат там, някои неща (монитора и захранването на лаптопа на жена ми примерно) - създават брутален шум - трябваше да взема един screenshot когато са включени да видиш разлика (предполагам на "водопада" сигнала от тага щеше да е тотално удавен в шум). Примерно на едно летище е пълно с дисплеи, компютри, всякаква техника и ще е доста по-сложно да четеш отдалеч.

Не зная. Слабата мощност на електрониката колко пък надалеч може да прати шум...
А и може да се пробва това, което правят в НАСА и другите такива пичове. Да се използват няколко по-малки антени, за да се получи по-голяма площ. Обаче как става?! Сигурно не е толкова просто и това. Но, ако е осъществимо от неразбирачи, колко му на едно разстояние от десетина метра да се раредят така по-прикрито три-пет такива приемателя и например на изхода на метрото или на уживена пешеходна зона да засичат четат де каквото мине

Неведоми са пътищата на шумящите гадове, те сами по себе си може да не са силни източници, но да си имат подходяща "антена" с която да пръскат боклук - кабелите навързани към тях. Етернет кабелите примерно или пък захранващите кабели от някой импулсен адаптер и накрая става така че самият "генератор" на шум може сам по себе си да е далече, но "антената" му да е доста по-близо.

Недейте да бъркате предаването на енергия за захранване на чипчето с излъчването-отговора на чипчето.

На каква честота работи захранването му? Не мисля че може да се захрани на повече от 1-2 см. но може и да стигне максимум до 10-20см. в зависимост колко е голяма излъчващата бобина.
http://www.gov.scot/Publications/2008/07/24102700/8

Не съм навътре с такива RFID, но общият случай Захранването му представлява две намотки - една излъчваща и е една приемна. приемната може да е например и 10-тина печатни навивки.

Т.е. това прилича на обикновен трансформатор с въздушна междина - и се предава само магнитно поле - никакви антени и радио вълни в случая не играят.

Неправилно наричат намотките 'антени' и от там идва объркването, но по съществото си това са бобини/намотки на трасформатор и енергията се предава чрез взаимната им магнитна индукция.

Ако например честотата(на захранването) е 135kHz това прави дължина на вълната 2220м. За да насочиш такова електромагнитно поле, пък и да го получиш ще ти трябва антена с размери поне 10км. :o :o :o
ако ли пък са на 13Mhz това прави дължина на вълната 23метра.

като цяло обаче считам че такива безконтактни чипове са голям секюрити риск. Някой просто може да се доближи до тебе в градският транспорт, да е скрил някъде една по-голяма бобина и да изчете данните. И понеже енергията се предава с магнитно поле,  а и честотата е ниска, прост фарадеев кафез от само алумиениво фолио няма да свърши работа. Трябва да си сложиш картата и в магнитен екран - от меко желязо. например в консервена кутия ;D

Споко, хора.
Ще се учудите като напишете в гугъл "RFID Blocking Wallets" , колко оферти ще ви излезнат :)

Споко, хора.
Ще се учудите като напишете в гугъл "RFID Blocking Wallets" , колко оферти ще ви излезнат :)

А бе имам от дядо ми една табакера за 10-тина цигари, метална, здрава, дебела. Смятам че ще свърши идеална работа. Инкрустирана е красиво в стил началото на века.... Прекрасна изработка......Само дето хич няма да съм фешън с нея.... и ще ми се смеят... :'(  Кво да се прави няма идеални неща... сигурността преди всичко.

Табакерата няма да помогне ако някой слухти близо до мястото където по принцип трябва да ти я четат, на мен примерно това в блъсканицата да ходя да чета чужди карти ми се вижда сложна идея, къде по-добре е да седна да си пия кафето достатъчно близо примерно до чекина на терминала с железарията за целта скатана в раницата. Поне звучи по-законспирирано.

Значи остава микровълновата  ;D
Впрочем, медна ламаринка няма ли да свърши работа? Може да се поръчат от китайците някакви такива "портфейлчета". Някъде към 5 милиона броя. Ще стане бизнеса, усещам  :D

По-добре е държавата да ги раздава в подходящите калъфи.

Значи трябва да измислят специални стаички за четене на карти - и да се влиза само по един!!! - Ето на пропуск в закона.

Много зависи как точно е направена картата. Колкото е по-ниска честотата - толкова по добре. Например както е в оная статия с говедата. ТаМ бобината е 'крокодилска' навита на ферит. Съответно на ниска честота много по трудно ще се захрани от по-далечно разтояние, а пък и на ниска честота няма да има паразитни RF-излъчвания (например от хармоници). но 10-тина mhz е горният максимум.

Освен това може картата така да е направена че да се задейства(да се захрани) на твърде високо магнитно поле. След приемната бобина има и изправителен диод - от него ще падне захранването с още 0.2v и ако чипчето иска захранване поне 2-3v картата става много сигурна - и ще може да се захрани само на 1-2см.

Това е многo различно от една обикновенна приемна радио антена там индуцираното напрежение е в порядъка на микро волти - къде е 100микро волта къде е 3v. Това е 30000 пъти по голямо. Тъй че споко измислени са да са сигурни. и всякави теории и конспираци за насочени антени са абсолютни глупости.


Екрана според мен трябва да е композитен - слой алуминий и слой меко желязо. алуминий-я е ще обере високите честоти а пък желязото ще спре постоянните и бавните магнитни полета. На Хардовете отгоре има залепен подобен екран. Метален е а пък корпуса под него е алуминий.


-------------
ПС: Чак сега зацепих какво имаше в предвид Гейта. Значи докато е захранена и се чете на някой check point, някой наоколо може да слухти. А това вече е огромен секюрити риск. Картата неминуемо ще излъчва и паразитни радио вълни. Било то на основната честота , било то на някой висок хармоник. Значи трябва така да са направени, че да нямат паразитно RF излъчване и да нямат хармоници. Мерси не ги ща!!!!

Ще измислят те - всякакви тъпни за тия документи.

Аз забравих че един пич беше споделил неговите опити отпреди години:

https://twitter.com/nono2357/status/690085162986643456

Има и презентация (на френски) и твърди че е разчитал от 15 метра RFID смарткарта. За жалост, не разбирам френски :(

Гейт, какво е наименованието на програмката, дето ви визулизира сигналите? И на линка на франкото я има и ти пусна тук един шот..., а и на други места съм виждал шотки от това нещо

Това е waterfall картинка, софтуер всякакъв има дето го прави това. Дори на питон можеш да си го напишеш, аз съм си играл навремето - требе ти само някоя хубава FFT библиотека за да докараш входните данни от времевия в честотния домейн, както и някаква библиотека да чертае по екрана. Другото вече са някакви разкрасявания, за да изглежда по-красиво. Иначе мисля че с gqrx съм го правил, аз съм му фен отдавна.