04.07 // Обоснования приватности "умных" автомобилей оказались ошибочными
Департамент транспорта США длительное время развивает технологию Intellidrive (в настоящее время она переименована в Vehicle Infrastructure Integration (VII) — инфраструктура интеграции движущихся средств и фигурирует под обеими названиями). В проект включены транспортные агентства местных уровней и уровней штатов, а также крупные производители автомобилей разных стран мира, такие как BMW, Chrysler, Ford, Honda, Mercedes-Benz и др.
Суть программы заключается в том, что бортовые компьютеры будущих транспортных средств (персональных, грузового, общественного транспорта) смогут передавать сообщения друг другу, дорожному оборудованию (например светофорам) и центральным серверам управления дорожным движением. Передаваемые параметры будут включать географические координаты, скорость, ускорение, угол наклона, габариты, массу транспортного средства и многое другое.
Передача данных будет осуществляться по беспроводной сети ближнего радиуса действия, а для связи с центральным сервером — путём обмена данными через придорожное оборудование. Для этого разрабатывается протокол V2X (Vehicle-to-X).
Целями проекта в частности являются:
- Значительное сокращения числа аварий за счёт подачи сигналов бортовым комьютерам автомобилей.
- Оптимизация пропускной сособности движения.
- Уменьшение расхода горючего и выброса парниковых газов.
- Предоставление водителям информации об оптимальных маршрутах.
- Динамический расчёт и отображение предполагаемого времени прибытия транспортных средств к пунктам назначения.
- Увеличения порядка на дорогах.
Перед разработчиками протокола V2X встали две основные проблемы. Первая — это обеспечение безопасности. Если кто-либо сможет посылать произвольные сообщения, то это может привести к критическим последствиям с созданием аварийных ситуаций на дороге. Для защиты от этого каждому автомобилю будет присвоен цифровой сертификат для аутентификации сообщений. Вторая проблема — соблюдение прав граждан на приватность посредством анонимности. Частные пользователи не захотят мириться с полной подконтрольностью своих перемещений. Для этого был разработан ряд схем сочетания ответственности с анонимизацией. В одном из вариантов анонимно выданные или совместно используемые сертификаты динамически менялись, но в случае нарушений, пользователь не мог получать новый сертификат. При этом провайдер дорожной сети не мог бы отслеживать его перемещения.
Исследователи Carmela Troncoso, Enrique Costa-Montenegro, Claudia Diaz, Stefan Schiffner из Католического Университета Лёвен (Бельгия) и с кафедры телематики Университета Vigo (Испания) показали, что практически никакой из предложенных вариантов протокола не обеспечивает требуемого уровня анонимности. В частности, используя широкоизвестный факт, что человека можно вычислить даже в крупном городе по примерному району проживания и работы (а человек паркует автомобили поблизости от этих мест) им удалось показать, что нарушать приватность пользователя может не только провайдер этой системы, но и злоумышленник, занимающийся пассивным перехватом сигналов в ограниченном районе (не являющийся глобальным наблюдателем). Методы вычисления включают статистическую обработку, построение графов и позволяют деанонимизировать транспортные средства даже в больших потоках.
Исследователю приходят к выводу о том, что эти атаки в очередной раз доказывают сложность создания протокола, гарантирующего приватность географической локализации пользователя при условии необходимости сбора такой информации.
Источник: Кафедра компьютерной безопасности и промышленной криптографии Католического Университета Лёвен