Security Professionals - ipfw add deny all from eindgebruikers to any

Mifare DESFire gekraakt

11-10-2011, 21:43 door Erik van Straten, 2 reacties

Gisteren hebben Duitse wetenschappers en artikel gepubliceerd waarin ze melden de MIFARE DESFire MF3ICD40 chip te hebben gekraakt, zie [url]http://www.emsec.rub.de/media/crypto/veroeffentlichungen/2011/10/10/desfire_2011_extended_1.pdf[/url]. Dit is dezelfde onderzoeksgroep die 3 jaar geleden de Mifare Classic kraakte die o.a. op de OV chipkaart wordt toegepast.

Het lukt de wetenschappers om een contactloze (RF maar niet echt RFID) smartcard met DESFire chip, zonder deze te beschadigen, te kraken door gedurende ca. 7 uur elektromagnetische velden te meten die de chip produceert tijdens het uitvoeren van cryptografische berekeningen. M.a.w. een aanvaller die de kaart gedurende 7 uur in zijn bezit heeft, kan deze klonen zonder sporen achter te laten. Er zou voor ca. 3000 US$ aan appartuur voor nodig zijn. Deze aanval zou niet werken op andere Mifare kaarten, waaronder de EV1 versie.

Of en in welke kwantiteiten kaarten met de Mifare DESFire MF3ICD40 chip in Nederland wordt ingezet weet ik niet.

De wetenschappers hebben dit eerder aan Mifare gemeld zodat zij gebruikers van die chip konden waarschuwen, zie [url]http://mifare.net/links/news/update-on-mifare-desfire-mf3icd40/[/url]. Overigens stelt Mifare dat deze chip eind dit jaar "discontinued" is.

Bronnen en meer info: [url]http://www.theregister.co.uk/2011/10/10/mifare_desfire_smartcard_broken/[/url] en [url]http://www.heise.de/security/meldung/Deutsche-Forscher-knacken-RFID-Karten-1358760.html[/url].
Zie ook: [url]http://en.wikipedia.org/wiki/Mifare#MIFARE_DESFire[/url].

Reacties (2)
14-10-2011, 09:38 door Anoniem
Het wordt tijd dat deze topwetenschappers hun talent gingen aanwenden om een onkraakbare pas te ontwikkelen. Dat is nog nuttiger dan passen kraken.
14-10-2011, 22:06 door Erik van Straten
Door Anoniem: Het wordt tijd dat deze topwetenschappers hun talent gingen aanwenden om een onkraakbare pas te ontwikkelen. Dat is nog nuttiger dan passen kraken.
Onkraakbaar bestaat niet, veel belangrijker is hoe lucratief het is voor criminelen om een bepaald type beveiliging te kraken. En natuurlijk of er sprake is van security by obscurity, in de zin van dat als je 1 chip gekraakt hebt, je veel minder moeite hoeft te doen bij elke volgende. Daar is in dit geval overigens geen sprake van (de investering in apparatuur is welliswaar eenmalig, maar elke individuele chip die je wilt kraken kost je ca. 7 uur). Afhankelijk van de toepassing is deze chip dus niet per definitie slecht.

Betere passen ontwikkelen kunnen en willen wetenschappers wel, maar als wetenschapper moet je je onderzoeksresultaten publiceren en dat is nou net iets dat commerciële bedrijven zelden prettig vinden. Bedrijven kunnen dergelijke wetenschappers na hun afstuderen/promoveren (of voortijdig tegen voldoende salaris) natuurlijk ook in dienst nemen, maar het uiteindelijke probleem is niet dat bedrijven geen betere producten willen maken, maar dat hun klanten er niet voor willen betalen en/of op wachten (kijk maar naar WEP in de eerste generatie WiFi routers). Kwaliteit is slechts één van de parameters in de vergelijking - en zelden de belangrijkste.

Onderzoeken en publiceren hoe slecht een specifieke beveiliging is, heeft uiteindelijk ook zin. Immers het oefent druk uit op kopers om betere spullen te eisen en dus op producenten om betere spullen te produceren. Helaas lijkt dit consumentenbond-achtige middel het enige om sommige markten te bewegen kwaliteitsverbeteringen door te voeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure