Wissenschaftler knacken RFID-Chips
Forschern der Ruhr-Universität Bochum ist es gelungen den Sicherheitsmechanismus einer weltweit genutzten Chipkartentechnik auszuhebeln. Mithilfe der sogenannten Seitenkanalanalyse konnten die Wissenschafter RFID-Chipkarten klonen.
Wissenschaftler der Ruhr-Universität Bochum knackten den Sicherheitsmechanismus von RFID-Chipkarten (Radio Frequency Identification) vom Typ DESFire MF3ICD40. Die von NXP, der im Jahr 2006 ausgegliederten Halbleiter-Sparte von Philips Electronics, hergestellten Karten sind mittels Triple-DES gesichert. Dies ist eine aus mathematischer Sicht unknackbare Sicherung. Mit der Seitenkanalanalyse konnten die Wissenschaftler vom Lehrstuhl für Eingebettete Sicherheit die Karten jedoch klonen.
Schlüssel vollständig ausgelesen
DESFire-Karten kommen weltweit zum Einsatz, zum Beispiel als elektronische Fahrkarten in den Verkehrsbetrieben von Melbourne, San Francisco und Prag. Indem Passagiere, Mitarbeiter oder Kunden ihre Chipkarten kurz an ein Lesegerät halten, weisen sie sich aus. Für die notwendige Sicherheit soll der Schlüssel im Inneren des integrierten Funkchips sorgen. Doch ebenso wie der Schliessmechanismus am Banktresor nicht lautlos funktioniert, hinterlasse auch dieses Verfahren deutliche Spuren. "Wir haben den Stromverbrauch der Chips beim Ver- und Entschlüsseln mit einer kleinen Sonde gemessen", erklärt David Oswald, Mitglied des Forscherteams. Die Veränderungen im Magnetfeld seien so aufschlussreich, dass die Wissenschaftler den 112-Bit Schlüssel vollständig auslesen konnten.
Sieben Stunden Arbeit für beliebige Kopien
Mit dem Schlüssel sollen sich unerkannt beliebig viele Kopien einer Karte erstellen lassen. Der Aufwand dazu sei nicht gross: "Für unsere Messungen brauchten wir eine entsprechende RFID-Karte, ein Lesegerät, die Sonde und ein Oszilloskop, mit dem wir den Stromverbrauch beobachten können", so Oswald. Der reine Materialpreis für das Equipment betrage nur wenige Tausend Euro. Und bei detailliertem Vorwissen zu Aufbau und Charakteristika der Karte liege der Zeitaufwand für einen solchen Angriff bei rund sieben Stunden. Der Hersteller NXP hat die Lücke inzwischen bestätigt und empfiehlt seinen Kunden den Umstieg auf ein neueres Modell.
Bereits vor einigen Jahren konnten Forscher der Ruhr-Universität mit der Seitenkanalanalyse vermeintlich sichere RFID-Lösungen aushebeln. Die damals zum Einsatz kommende KeeLoq RFID-Technologie erwies sich laut den Forschern als unzureichend gesichert.
![(Source: DC Studio/Freepik.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)
Angreifer nehmen kritische Infrastrukturen ins Visier
![(Source: Kasia Derenda / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![(Source: Micha Brändli / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![(Source: Pawina / stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/proton_wallet_2024.jpeg?itok=cfViQUYL)
Proton startet mit Kryptowallet
![(Source: OrsiO / Pixabay.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![G.V. Shivashankar entwickelt derzeit am PSI verschiedene Verfahren zur Diagnose und Prognose von Krebs. (Source: Paul Scherrer Institut PSI/Markus Fischer)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/web20231116_shivashankar_0048.jpg?itok=zfzwJ7s8)
KI-Bildanalyse kann Brustkrebs-Stadium besser identifizieren
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)
Atos ernennt nächsten CEO
![(Source: freshidea - stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/02/adobestock_416609395.jpeg?itok=lzCTG-o-)
Erfolgreiche Co-Creation im Digital Banking dank Design Thinking
![(Source: NOAA / Unsplash)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)