Radboud demonstreert kraak Mifare-chip
Sleutels achterhaald zonder brute rekenkracht
13 maart 2008 | Janneke Scheepers
Er is geen houden meer aan de ondermijning van de Mifare Classic RFID-chip, die onder meer in de OV-chipkaart wordt gebruikt. Deze week bleek dat de Radboud Universiteit Nijmegen toegangspasjes met de chip redelijk gemakkelijk heeft gekloond. De verantwoordelijke onderzoeksgroep van de universiteit licht toe hoe ze dit heeft aangepakt.
Studenten en onderzoekers van de 25 man sterke 'Digital Security Group' hebben lekken in het authenticatiemechanisme van de Mifare Classic-chip gevonden. Door die fouten te benutten konden ze de werking van het geheime Crypto1-algoritme tot in detail achterhalen en een eigen implementatie maken. Ze hebben voortgebouwd op het werk dat de Duitse hackers Karsten Nohl en Henryk Plötz al hebben verricht.
Brute force
Daarnaast hebben de Nijmeegse onderzoekers een betrekkelijk eenvoudige manier gevonden om de benodigde cryptografische sleutels te achterhalen. Dure apparatuur om met brute force alle mogelijkheden door te rekenen, is hiervoor niet nodig, stelt de universiteit. In het TNO-rapport van eind februari stond dat er een uur of negen voor nodig is om met geavanceerde computers de cryptografische sleutels met een lengte van 48 bits te achterhalen.
In plaats daarvan hebben de onderzoekers opnieuw fouten in het authenticatieprotocol uitgebuit. De universiteit omschrijft haar methode om sleutels te ontcijferen als volgt: "Men doet eerst een flink aantal authenticatiepogingen die falen, maar wél enige informatie opleveren. Door de resultaten op te zoeken in een heel grote tabel, kan men een hit vinden en daarbij de sleutel achterhalen."
Op deze manier wisten de onderzoekers uiteindelijk met succes een Mifare Classic-toegangspas te dupliceren. "In deze setting is een praktische aanval aangetoond, waarbij een kaart van bijvoorbeeld een werknemer gekloond kan worden door simpelweg met een draagbare kaartlezer tegen die persoon op te botsen. De persoon van wie op deze manier de identiteit gestolen wordt, hoeft dat op dat moment niet eens te merken", aldus de universiteit. De onderzoeksgroep heeft een demonstratie van deze aanval op YouTube gezet.
Lees verder op ZDNet »
Externe links »
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
