Защищенная цифровая подпись фото Nikon взломана экспертами ElcomSoft
28 апреля 2011 года
Российская софтверная компания ElcomSoft, специализирующаяся на программных продуктах восстановления паролей доступа к данным, продемонстрировала ненадежность технологии подтверждения достоверности фотографий, сделанных камерами Nikon, сообщили в компании.
"Nikon утверждает, что цифровая подпись снимков, сделанных некоторыми ее камерами, может служить доказательством их подлинности для правоохранительных органов, правительственных организаций, средств массовой информации и страховых компаний. Это не так. Утверждая это, Nikon занимается очковтирательством", - говорит гендиректор Elcomsoft Владимир Каталов.
Ряд моделей зеркальных фотоаппаратов Nikon верхнего ценового диапазона, имеющих наиболее богатые функциональные возможности (D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs, D200), могут удостоверять подлинность снимка цифровой подписью. В дальнейшем для проверки подлинности фотографий, заверенных цифровой подписью, используется программный продукт Nikon Image Authentication Software. Он анализирует файл снимка и определяет, вносились ли в него изменения - по замыслу Nikon, это гарантирует обнаружение факта фальсификации.
Специалисты ElcomSoft выявили уязвимость технологии проверки подлинности снимков и сумели извлечь из камеры Nikon секретный ключ, используемый для цифровой подписи. Этот ключ, в свою очередь, дает возможность сделать "подлинным" любое изображение - оно успешно пройдет проверку Nikon Image Authentication Software. Примеры таких изображений ElcomSoft приводит на своем сайте.
Первое письмо, уведомляющее компанию CERT (Computer Emergency Response Team - команда "скорой компьютерной помощи" Института программной инженерии Университета Карнеги-Меллона, эта организация играет роль признанного эксперта по вопросам IT-безопасности) и штаб-квартиру Nikon о проблеме, специалисты ElcomSoft отправили 4 марта. Затем они пытались связаться с представительствами Nikon в США и Европе, но безрезультатно. "Вразумительного ответа не последовало, компания не выразила заинтересованности в сотрудничестве", - сообщили в ElcomSoft.
Руководитель отдела маркетинга российского представительства Nikon Алексей Марченко утверждает, что представители ElcomSoft к ним не обращались.
На одной из ближайших международных конференций по IT-безопасности ElcomSoft намерена сообщить "некоторые технические данные" об уязвимости системы проверки подлинности снимков Nikon, однако от полной публикации сведений об уязвимости воздержится.
Ранее, в ноябре 2010 года, ElcomSoft опубликовала доказательства точно такой уязвимости системы проверки подлинности фотографий, заверенных цифровой подписью Canon. До сих пор эта уязвимость производителем не устранена.
К обнаружению уязвимости в системе защиты цифровых фотографий Nikon непосредственное отношение имеет сотрудник ElcomSoft Дмитрий Скляров, в 2002 году подвергшийся аресту и судебному преследованию в США по иску компании Adobe Systems.
В июле 2002 года после доклада на конференции DefCon, посвященного уязвимости криптографической защиты электронных книг Adobe, Скляров был арестован в Лас-Вегасе агентами ФБР и предстал перед судом Сан-Хосе по обвинению в нарушении DMCA (Digital Millennium Copyright Act - закон США об авторских правах в цифровую эпоху). Чтобы Скляров смог вернуться на родину, роль ответчика взяла на себя компания ElcomSoft, которую впоследствии в окружном суде Сан-Хосе присяжные единогласным решением оправдали по всем пунктам обвинения.