MIFARE系列7——安全性

飞利浦的MIFARE卡由于它的高安全性在市场上得到广泛应用,比如我们乘车用的公交卡,学校和企业食堂的饭卡等等.它每个扇区有独立的密匙(6个字节的密码),在通信过程中首先要验证密匙才能读写数据.它的关键技术在于密匙的验证采用三重加密的DES算法,(即:读写器与卡之间传送的密匙是通过随机数加密的),不象早期的EMID卡和atmel的T557卡都是明码传输,所以在开始一度认为是最安全的卡,被广泛的当做电子钱包使用.

自从08年有人成功破解了M1卡,曾一度造成恐慌.2008年,互联网上公布了破解Mifare Classic IC芯片(即M1芯片)密码的方法;德国研究员亨里克·普洛茨(HenrykPlotz)和弗吉尼亚大学计算机科学在读博士卡尔斯滕·诺尔(KarstenNoh1)成功地破解了恩智浦半导体的Mirare经典芯片的安全算法;德国Virginia大学和荷兰Radboud大学两个独立研究小组分别证实了Mi-fare芯片的易受攻击性,并发表了破解芯片加密算法的论文<<“Wirelessly
Pickpocketing a Mifare Classic Card”(无线窃取M1卡)>>以及演示了实际操作芯片的破解过程。阐明了M1卡在报文产生奇偶位和所谓嵌套认证两个方面的漏洞;利用此漏洞,攻击者可以通过工具仅仅研究该工具与M1卡之间通讯数据便可以成功破解该卡的所有密钥,从而克隆这张卡.

文章认为:M1在产生奇偶校验位时将数据链路层和安全通信层本该分层处理的协议混为一谈,先校验后加密,并且重复使用了加密校验位的密码。这是不符合安全原则的并确实可被利用。

1. MIFARE破解方法

1)  暴力破解

即使是暴力破解,也需要先得到确切的明文和对应的码流。这大约要进行1536次认证过程,用时在一秒钟之内。不过还要进行离线暴力破解,估计在36分钟可完成。但是需要专用的硬件设备。

2)  以读卡器的挑战值做变量

这里说的读卡器实际上指的是用来模拟读卡器的攻击工具,下个攻击亦如此。这种攻击又可称选择密文攻击,想法用工具控制被攻击的卡每次在认证时产生同一挑战值,而读卡端则回应不同值。这种攻击需要大约28500次的认证过程,用时约15分钟,然后计算密钥,用时约一分钟。

3)  卡的挑战值做变量

这种攻击与攻击2类似,但需要使自己的工具的挑战值为常数,而令卡的挑战值数不断变化。需要预制一个384 GB的状态表。要进行4096次认证。大约用时2分钟。

4)  嵌套认证攻击

这种攻击假设攻击者已知了至少一个扇区的密钥,他可以根据漏洞得到其它密钥的32位,然后对其它16位进行穷举攻击。只需3次认证(时间可以忽略不计)。离线攻击计算时间约为一秒。M1卡嵌套认证的漏洞使得攻击者在得知一个扇区的密钥后可较容易的再破解其它任何扇区的密钥从而做到对该卡的全面破解。这在以前的攻击中并不容易做到,因为一个应用系统的读卡器不一定能产生其系统中所有卡的所有扇区的密钥,如果设计系统时就没有考虑使用所有扇区的话。

2. Mifare破解对公交卡系统造成的影响

现有国内公交卡普遍采用的基于PSAM/ISAM卡的密钥管理系统。通常采用的做法是使用一个Value Block作为钱包,KeyA负责消费,KeyB负责充值(包括消费)。KeyA的分散密钥放在PSAM中,KeyB的分散密钥放在ISAM中(如果采用充值联机则KeyB可联机获得)。PSAM和ISAM提供了密钥的外部存储方式,通过特定的分散算法得出M1的密钥,计算过程发生在终端或后台系统中。

而目前破解机制直接对M1卡发生作用,完全绕过、无视了PSAM等安全机制。同样,一卡一密通过采用不同卡片不同密钥的做法增加破解难度,但面对高效率的破解算法也形同虚设。必须重视的是,现有公交卡系统高度依赖密钥管理系统、一卡一密等安全机制,采用的数据结构基本是统一的、公开的状态,这就意味着一旦破解密钥就几乎处于不设防状态,即使数据结构不公开也不能寄予希望。

公交卡系统虽然也采用了黑名单等系统审计监控机制,但与银行卡系统的黑名单机制存在非常大的区别:公交卡采用脱机黑名单,容量受到终端设备的限制,而且属于滞后处理(通常生效和处理周期不小于T+1天);银行卡采用联机黑名单,容量基本不受限制,而且属于实时处理(即时生效和处理)。

3. MIFARE卡系统可能面临的攻击分析

MIFARE卡被破解问题的严重性是不容置疑的,首先,Crypto1攻击的源代码已经公开发布(http://code.google.com/p/crapto1/),属于开源项目,可任意从网上免费下载;其次,配套的几款读卡器(ProxMark,OPENPCD)也可公开从网上订购;再加上攻击算法效率的提高,实际上恶意用户破解M1密钥的成本(还包括时间成本)已经降到了非常低的水平,已经达到大规模扩散所需要的条件。

公交卡系统将面临的攻击方式包括以下两种:

1)克隆:恶意用户通过破解现有合法卡的密钥并读取全部数据后,复制到多张空白IC卡上。

2)篡改:恶意用户通过破解现有合法卡的密钥后,直接篡改该卡的钱包余额等关键数据。

从攻击效果来看,克隆能够在一张合法卡的基础上制作多张伪卡,而篡改只能在合法卡本身的基础上制作伪卡。

由于现有M1卡采用了全球唯一的、不可篡改的uid物理卡号,而公交卡系统的密钥基本使用物理卡号进行分散计算获得,如果要实施克隆攻击,必须具备复制uid的能力,即具备M1卡的生产制造能力。而目前能够生产兼容M1卡的是非常有限的几个厂家,基本不可能自己做出非法克隆的事情,也不可能应恶意用户的要求进行订单生产。虽然通过硬件配合软件能够成功模拟M1卡并且能够与读卡器进行正常通讯,但离产品化还有较大距离。

有种观点认为,只要是采用了一卡一密、实时在线系统,或非接触逻辑加密卡的ID号,就能避免密钥被解密。其实,非接触逻辑加密卡被解密就意味着M1卡可以被复制,使用在线系统尽管可以避免被非法充值,但是不能保证非法消费,即复制一张一样ID号的M1卡,就可以进行非法消费。现在的技术使用FPGA就可以完全复制。基于这个原理,Mifare的门禁卡也是不安全的。

其实最重要的是,安全是一个系统级别的概念,安全的系统是有一系列的安全措施来保证的,比如密钥多级分散、比如用PSAM卡而不是终端自身软件计算密钥、比如卡片内保存密文而不是明文等等一系列的措施来增加最终破解的难度,并保证被破解后的损失降低到最低。安全不是只靠单一的卡片来保证的。另外大家可以注意的是,最终破解卡片的其实都不是软件暴力破解的,而是剖片等硬件手段起到了至关重要的作用,这其实是对半导体厂商提出了更高的要求,如何让逆向工程的难度更大。所以不是说CPU卡就一定比M1卡安全,如果芯片自身的安全级别不够,通过剖片、甚至简单的黑客手段都能容易的获知卡片的密码,那么是不是CPU卡其实都毫无意义,而且CPU卡用的公开算法只会让其安全性比M1还不如(算法破解都免了)。这就是为什么半导体厂商一直很强调自己的芯片过了EAL5+认证,而国产芯片在这部分其实还存在相当的差距。

MIFARE系列7——安全性,布布扣,bubuko.com

时间: 2024-10-11 21:13:22

MIFARE系列7——安全性的相关文章

Mifare系列1-简介(转)

文章转自 文/闫鑫原创转载请注明出处http://blog.csdn.net/yxstars/article/details/38079827 感谢原创作者的辛勤,对您再次表达感谢! 随着社会的发展,智能卡在很多领域得到了广泛的应用.特别是非接触卡,由于使用方便以及功能强大的特点,在管理.公交.工作证.身份识别等领域得到了快速的普及和推广. 非接触卡已经逐步发展成为一个独立的跨学科的专业领域.它将大量来自完全不同专业领域的技术综合到一起:如高频技术.电磁兼容性技术.半导体技术.数据保护和密码学.

Mifare系列6-射频卡与读写器的通信(转)

文/闫鑫原创转载请注明出处http://blog.csdn.net/yxstars/article/details/38085415 1. 复位应答(Answer to request) 读写器呼叫磁场内的卡片,卡片对呼叫做出应答.对刚进入磁场得到电复位处于休闲状态的卡片,卡请求(REQA,0x26):对于已进行过读写操作并进入 休眠状态的卡片,卡唤醒(WAKE-UP,0x52).其中卡请求(REQA)只能呼叫处于休闲(Idle)状态的卡片,卡唤醒(WAKE-UP)可以呼 叫所有卡片,包括处于休

MIFARE系列6——射频卡与读写器的通讯

1. 复位应答(Answer to request) 读写器呼叫磁场内的卡片,卡片对呼叫做出应答.对刚进入磁场得到电复位处于休闲状态的卡片,卡请求(REQA,0x26):对于已进行过读写操作并进入休眠状态的卡片,卡唤醒(WAKE-UP,0x52).其中卡请求(REQA)只能呼叫处于休闲(Idle)状态的卡片,卡唤醒(WAKE-UP)可以呼叫所有卡片,包括处于休眠(Halt)和休闲状态的卡片. 收到卡呼叫命令后,卡片将对命令做出应答(AnswerTo Request,ATQA), 读写器以特定的协

射频识别技术漫谈(11)——Mifare系列卡的共性

Mifare是NXP公司生产的一系列遵守ISO14443A标准的射频卡,包Mifare S50.Mifare S70.Mifare UltraLight.Mifare Pro.Mifare Desfire等,由于Mifare的巨大影响力,业内有时把其它公司生产的遵守ISO14443A标准的射频卡也称为"Mifare",尤其是Mifare S50卡片,几乎就是ISO14443A标准的代言人. 至于"Mifare"这个名字的由来,据说1998年Philips收购了瑞士的

MIFARE系列1——MIFARE简介

随着社会的发展,智能卡在很多领域得到了广泛的应用.特别是非接触卡,由于使用方便以及功能强大的特点,在管理.公交.工作证.身份识别等领域得到了快速的普及和推广. 非接触卡已经逐步发展成为一个独立的跨学科的专业领域.它将大量来自完全不同专业领域的技术综合到一起:如高频技术.电磁兼容性技术.半导体技术.数据保护和密码学.电信.制造技术和许多专业应用技术等. Mifare是NXP公司生产的一系列遵守ISO14443A标准的射频卡,包括Mifare S50.Mifare S70.Mifare UltraL

MIFARE系列8——D8M1.exe

软件名:D8M1.exe 更新时间:2014.06.28 操作系统:windowAll 外部设备:D8读卡器 D8M1可以对MIFARE块读写操作,支持1K,4K.检验KEY后返回SAK,QTAQ,UID.基于D8读卡器提供的dcrf32.dll开发. D8型IC卡读写器是开发IC卡相关产品及系统集成必备的前端处理设备,可读写双界面射频智能卡或单独的非接触式射频卡,通过RS232串行接口或USB口实现同PC机及相关设备的连接,USB采用无驱技术,可方便用户的安装使用,它对多卡的支持可用于安全发卡

MIFARE系列5——存储结构

Mifare S50把1K字节的容量分为16个扇区(Sector0-Sector15),每个扇区包括4个数据块(Block0-Block3),我们也将16个扇区的64个块按绝对地址编号为0~63,每个数据块包含16个字节(Byte0-Byte15),64*16=1024. Mifare S70把4K字节的容量分为40个扇区(Sector0-Sector39),其中前32个扇区(Sector0-Sector31)的结构和Mifare S50完全一样,每个扇区包括4个数据块(Block0-Block

Mifare系列7-安全性(转)

文/闫鑫原创转载请注明出处http://blog.csdn.net/yxstars/article/details/38087245 飞利浦的MIFARE卡 由于它的高安全性在市场上得到广泛应用,比如我们乘车用的公交卡,学校和企业食堂的饭卡等等.它每个扇区有独立的密匙(6个字节的密码),在通信过程中首 先要验证密匙才能读写数据.它的关键技术在于密匙的验证采用三重加密的DES算法,(即:读写器与卡之间传送的密匙是通过随机数加密的),不象早期的 EMID卡和atmel的T557卡都是明码传输,所以在

Mifare系列4-组成(转)

文/闫鑫原创转载请注明出处http://blog.csdn.net/yxstars/article/details/38081241 MIFARE集成电路芯片内含EEPROM.RF接口和数字控制单元. 1. RF射频接口 在RF射频接口电路中,主要包括有波形转换模块.它可将卡片读写器上的13.56MHZ的无线电调制频率接收,一方面送调制/解调模块,另一方面进行波形 转换,将正弦波转换为方波,然后对其整流滤波,由电压调节模块对电压进行进一步的处理,包括稳压等,最终输出供给卡片上的各电路.POR模块