Pagina:Kwetsbaarheden mifare classic chips in toegangspassen.pdf/2

Deze pagina is proefgelezen

Kwetsbaarheden in de beveiliging
Eind 2007 hebben Duitse onderzoekers bekend gemaakt dat zij de werking van het geheime Crypto-1 encryptie-algoritme van de Mifare Classic hebben ontrafeld^[1]. Daarbij hebben zij, naast het al bekende gebruik van korte 48-bit sleutels, enkele zwakheden ontdekt in het algoritme en de wijze waarop het authenticatieprotocol is geïmplementeerd op de chip.^[2]

In navolging van de Duitse onderzoekers hebben onderzoekers van de Radboud Universiteit in Nijmegen op 12 maart 2008 bekend gemaakt dat zij daadwerkelijk in staat zijn om Mifare Classic chips te kraken en te kopiëren^[3]. Met hun methode is het mogelijk de chips in enkele seconden te kraken met gangbare apparatuur. De resultaten zijn door de AIVD gevalideerd. Ook heeft het kabinet de Tweede Kamer geïnformeerd^[4].

Op 6 oktober 2008 hebben de Radboud-onderzoekers de volledige details van hun onderzoek gepubliceerd^[5]. Daarbij zijn geen nieuwe kwetsbaarheden bekend geworden, maar zijn wel de cryptografische details bekend gemaakt die ten grondslag liggen aan het kraken van de chips. Hierdoor kregen derden ook de mogelijkheid om programmatuur en hardware te ontwikkelen om de chips te kraken. 23 oktober 2008 is al de eerste programmatuur beschikbaar gekomen waarmee daadwerkelijk chips kunnen worden gekraakt^[6]. Om deze programmatuur te kunnen gebruiken, moet deze worden gecombineerd met speciale RFID-apparatuur (bijvoorbeeld Proxmark of OpenPCD).

De gepubliceerde kwetsbaarheden hebben alleen betrekking op de Mifare Classic 1K, 4K en Mini chips en op het Mifare Classic gedeelte van kaarten die Mifare Classic emulatie aan boord hebben. Op het moment van schrijven zijn de typen Mifare ‘Desfire’ en ‘Desfire8’ niet kwetsbaar voor de ontwikkelde aanvalstechnieken. De Desfire chip gebruikt een publiekelijk bekend encryptie-algoritme (triple DES of AES) met een lange sleutel.. De beveiliging van de Mifare Desfire MF3ICD40 is in 2011 inmiddels ook gekraakt maar door een ander type aanval^[7]. Van de Mifare Desfire (nu bekend als Desfire EV1) zijn op het moment van schrijven nog geen beveiligingsproblemen bekend.

Verschillende typen Mifare chips
Type	Kwetsbaar?
* Mifare Ultralight	Ja^[8]
* Mifare Classic 1K/4K/Mini	Ja
* Mifare Desfire / Desfire8	Nee^[9]

In de media is ook aandacht besteed aan Mifare Ultralight chips, die gebruikt worden in dagkaarten van de OV-chipkaart. Deze chips zijn nauwelijks beveiligd en eenvoudig te kopiëren^[10]. Dit is dus een andere chip dan de Mifare Classic. Deze chip wordt over het algemeen niet gebruikt om fysieke toegang tot gebouwen te beveiligen.

Het doorbreken van de beveiliging
Het doel van het kraken van Mifare Classic chips in toegangssystemen is om ongeautoriseerd toegang tot beveiligde omgevingen te krijgen. Dit is het meest eenvoudig wanneer de toegangsbeveiliging van een omgeving alleen is gebaseerd op het unieke nummer van een Mifare Classic chip, het UID. Dit UID wordt namelijk onversleuteld uitgewisseld tussen een pas en een paslezer. Dit betekent dat het mogelijk is de communicatie tussen een pas en een paslezer af te luisteren, het UID vast te stellen en vervolgens dit UID op een nieuwe pas te zetten. Met deze kopie-pas kan toegang tot de beveiligde omgeving worden gekregen. Toegangsverlening op basis van alleen UID wordt veelal toegepast in

ruimte met een lage gevoeligheid, zoals parkeergarages. Een veiligere vorm van toegangsbeveiliging met de Mifare Classic chip is via identificatiegegevens die versleuteld op de chip worden opgeslagen. Om een pas uit te lezen en te kopiëren moet deze versleuteling worden doorbroken. Dit kan door het afluisteren van de communicatie tussen een pas en een paslezer. Door het analyseren van deze communicatie kan de gebruikte sleutel worden

↑ Zie http://events.ccc.de/congress/2007/Fahrplan/events/2378.en.html
↑ De zwakheden betreffen o.a. te grote lineariteit in de versleuteling en zwakheden in de random number generator.
↑ Zie http://www.sos.cs.ru.nl/applications/rfid/persverklaring.pdf
↑ Zie http://www.minbzk.nl/contents/pages/91905/briefaantweedekameroverchiptechnologietoegangs-passen.pdf
↑ http://www.sos.cs.ru.nl/applications/rfid/2008-esorics.pdf
↑ Zie https://web.archive.org/web/20150119173823/http://code.google.com/p/crapto1/
↑ Zie http://mifare.net/links/news/update-on-mifare-desfire-mf3icd40
↑ De mifare Ultralight bevat minder beveiliging dan de Mifare Classic en was daardoor al eerder op eenvoudige wijze te kopiëren.
↑ De Mifare DESfire MF3ICD40 is inmiddels kwetsbaar gebleken voor een andersoortige aanvals techniek.
↑ Zie https://web.archive.org/web/20190430083736/https://ovchip.cs.ru.nl/images/1/15/Ru-report.pdf

[1] Zie http://events.ccc.de/congress/2007/Fahrplan/events/2378.en.html

[2] De zwakheden betreffen o.a. te grote lineariteit in de versleuteling en zwakheden in de random number generator.

[3] Zie http://www.sos.cs.ru.nl/applications/rfid/persverklaring.pdf

[4] Zie http://www.minbzk.nl/contents/pages/91905/briefaantweedekameroverchiptechnologietoegangs-passen.pdf

[5] ttp://www.sos.cs.ru.nl/applications/rfid/2008-esorics.pdf

[6] Zie https://web.archive.org/web/20150119173823/http://code.google.com/p/crapto1/

[7] Zie http://mifare.net/links/news/update-on-mifare-desfire-mf3icd40

[8] De mifare Ultralight bevat minder beveiliging dan de Mifare Classic en was daardoor al eerder op eenvoudige wijze te kopiëren.

[9] De Mifare DESfire MF3ICD40 is inmiddels kwetsbaar gebleken voor een andersoortige aanvals techniek.

[10] Zie https://web.archive.org/web/20190430083736/https://ovchip.cs.ru.nl/images/1/15/Ru-report.pdf

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]