Manipulacje wskazaniami zegarów

W zegarach elektronicznych, będących istotnym elementem wszystkich systemów informatycznych, ustawienie stanu początkowego zegara poza nielicznymi wyjątkami pozostaje w gestii operatora pełniącego funkcje administracyjne danego systemu. Tak jest w komputerach: bankowych systemów księgujących, autoryzujących transakcje kartowe, prowadzących rozliczenia międzybankowe, biur maklerskich czy komputerach billingujących w centralach telekomunikacyjnych i wielu innych urządzeniach elektronicznych. Pole do nadużyć jest bardzo szerokie.

Weźmy taki przykład: taksówkarz łatwo może wieczorem przyspieszyć moment zmiany w taksometrze taryfy dziennej na nocną lub rano opóźnić zmianę odwrotną w celu zwiększenia swoich zysków. Klient zaś może się bronić, porównując czas wskazywany przez zegar taksometru ze wskazaniami własnego zegarka. Dla uniknięcia dyskusji taksówkarze z reguły w krytycznych porach mają włączone radia i obie strony czas podawany przez spikera uznają za czas wzorcowy, nie podlegający kwestionowaniu.

Na podobnej zasadzie administrator systemu billingowego może "opóźnić" licznik zegara urządzenia, wg którego będzie dokonana zmiana taryfy z droższej na tańszą, aby zwiększyć zyski operatora (lub dokonując manipulacji odwrotnej, złośliwie zmniejszyć zyski swego pracodawcy). W przeciwieństwie do pasażera taksówki klient operatora telekomunikacyjnego nie ma łatwej możliwości bronienia się przed taką manipulacją. Na podobnej zasadzie administrator systemu bankowego może za pomocą przestawień zegara manipulować np. mechanizmem naliczania odsetek.

Niedawno Sejm zmienił zapis ustawy - Prawo o miarach, m.in. usuwając z niego wyrazy "lub usług", co w praktyce doprowadziło do ograniczenia konieczności legalizacji "przyrządów pomiarowych stosowanych w obrocie publicznym do wyznaczania ilości albo jakości rzeczy w celu uzyskania prawidłowej podstawy do rozliczeń" (art. 10, ust. 1 pkt 1 ustawy z dnia 3 kwietnia 1993 r.). Zmiana weszła w życie 30 marca br. i od tego dnia oprzyrządowanie do naliczania czasu świadczenia usług, np. telekomunikacyjnych, nie wymaga żadnej legalizacji. Tym samym problem legalizacji pomiaru czasu został "wylany z kąpielą" i głośna w 1999 r. awantura o legalizację warszawskich parkometrów dziś nie miałaby podstaw prawnych.

Przeciwdziałanie manipulacjom

Działalność banków opiera się na zaufaniu klientów. Nie można dopuszczać do jakichkolwiek manipulacji, a wszystkie czynności powinno dać się skontrolować. W przypadku pojawienia się jakichkolwiek wątpliwości ustalenie czasu, w którym były wykonywane poszczególne czynności, może pozwolić na ocenę ich legalności. Potencjalni manipulatorzy często starają się tak dokonywać zmian, by zacierać ślady swojej działalności. Dlatego tak istotne jest uniemożliwienie manipulacji zapisem czasu wykonania rejestrowanych czynności, np. poprzez takie prowadzenie logu czynności administracyjnych, aby manipulacji na zegarze systemowym nie można było ukryć.

W systemach transakcji kartowych do jednego centrum autoryzacji i rozliczeń są podłączone tysiące bankomatów i terminali POS. Każde z nich ma autonomiczny zegar indywidualnie ustawiany przez operatora. Ze względu na możliwość dokonywania różnych fałszerstw lub ukrywania faktu manipulacji urządzenia te po "zalogowaniu się" do systemu autoryzacji automatycznie przestawiają zegar lokalny wg ustawień zegara komputera centralnego. Ewentualnie manipulacyjne ustawienie zegara w np. bankomacie zostaje skasowane na rzecz ustawień wzorcowych dla danej sieci.

Urzędy certyfikujące

Legalny pomiar czasu na terenie Rzeczypospolitej Polskiej wyznacza zegar wzorcowy w Laboratorium Czasu i Częstotliwości Głównego Urzędu Miar w Warszawie. Codziennie Program I Polskiego Radia podaje sygnał czasu oznaczający punkt czasowy 12:00:00 danego dnia. Ze względu na opóźnienia wprowadzane przez urządzenia techniczne służące do propagacji informacji przyjmuje się, że dokładność sygnału czasu wynosi ok. 0,5 s.

Innymi precyzyjnymi źródłami wzorca do wyznaczania punktu czasowego mogą być sygnały pochodzące z satelitarnego systemu globalnego określania pozycji - GPS lub z niemieckiej stacji radiowej DCF-77, znajdującej się ok. 24 km na wschód od Frankfurtu n. Menem, nadającej na fali 77,5 kHz. Oba te źródła sygnałów czasowych mają tę zaletę, że na ich podstawie można automatycznie - a więc bez arbitralnego udziału człowieka - łatwo inicjować i okresowo uzgadniać ustawienia zegarów elektronicznych. Wadą jest to, że pochodzące z nich sygnały wzorcowe nie mają umocowania prawnego w Polsce. Ponadto (przynajmniej teoretycznie) w przypadku konfliktu interesów państwowych nie można wykluczyć manipulacji tymi sygnałami. Zasięg nadajnika DCF-77 wynosi nie więcej niż ok. 1500 km, co w zależności od chwilowych warunków propagacji może nie obejmować zasięgiem wschodnich krańców Polski.

Urzędy certyfikacyjne, opatrujące dokumenty elektroniczne znacznikiem czasu oraz weryfikujące takie oznaczenia, powinny mieć technicznie i prawnie uregulowany sposób zapewnienia zgodności wskazań zegara w systemie teleinformatycznym, używanym do generowania i weryfikowania certyfikatów ze znacznikiem czasu, ze wskazaniami oficjalnego zegara wzorcowego. Ręczne ustawianie tego zegara w arbitralny sposób przez administratora systemu nie jest sprawą właściwą i tworzy lukę podważającą zaufanie do systemu funkcjonowania podpisu elektronicznego.

--------------------------------------------------------------------------------

Krzysztof M. Święcicki jest głównym spec-jalistą w Departamencie Organizacji i Bezpieczeństwa Banku w Banku Gospodarki Żywnościowej SA w Warszawie oraz członkiem Normalizacyjnej Komisji Problemowej nr 182 ds. Zabezpieczenia Systemów i Ochrony Danych w Polskim Komitecie Normalizacyjnym. Artykuł powstał na bazie referatu "Problem manipulacji lokalnym czasem", wygłoszonego na V Krajowej Konferencji Zastosowań Kryptografii, ENIGMA 2001 w Warszawie.

(1) DzU z 1993 r. Nr 55, poz. 248, ze zmianami: w 1997 r. DzU Nr 43, poz. 272, Nr 121, poz. 770; w 2000 r. DzU Nr 43, poz. 489, DzU Nr 120, poz. 1268