Германская атака на
Mifare Classic. В декабре 2007 года
германские исследователи Карстен Ноль и
Хенрик Плётц в рамках хакерской
конференции 24th Chaos Communication
Congress в Берлине продемонстрировали
свои результаты по обратной инженерной
разработке чипа карты Mifare Classic.
Они применили технически один из самых
сложных методов разрушающего анализа,
удаляя один слой чипа за другим и
восстанавливая схематику по фотоснимкам
слоев, сделанным с помощью микроскопа.
Крайне трудоемкий процесс выделения и
распознавания типовых элементов в схеме
оказалось возможным автоматизировать с
помощью специальной программы, в итоге
удалось найти участок, реализующий
секретный криптоалгоритм Crypto-1, и
восстановить его работу в общих чертах.
В марте 2008-го Карстен Ноль опубликовал
в Сети статью с итогами полного
восстановления схемы Crypto-1 и
первичных результатов ее криптоанализа.
В статье показано, что реализованный в
Mifare Classic шифр имеет серьезнейшие
слабости. Причем очень похоже, что схема
ослаблена искусственно, дабы облегчить
вскрытие тому, кто знает
"секрет".
Атаки университета
Радбоуд. В январе 2008-го Роэль Вердулт,
студент голландского университета
Radboud в Неймегене, вновь
проанализировал на предмет слабостей
модернизированную систему проездных
билетов на основе Mifare Ultralight. И
показал, что может изготовить
портативное устройство клонирования
ценой около 40 евро, с помощью которого
одноразовая карточка позволяет ездить
неограниченное число раз. Два месяца
спустя исследователи того же
университета, работавшие в контакте с
Нолем и Плётцем, с помощью собственных,
неразрушающих методов повторили полное
восстановление криптосхемы Mifare
Classic. При этом наглядно
продемонстрировав, что знание слабостей
шифра позволяет незаметно для владельца
и с минимумом затрат клонировать
карточки-пропуска на охраняемые объекты
или долгосрочные проездные билеты.
Слабости в защите Mifare
Classic
>Рост
>По данным аналитиков
Gartner, бизнес на RFID-чипах
стремительно растет. В 2007 году доходы
здесь составили 917,3 млн. долларов, а в
2008-м должны вырасти до 1,2 млрд., или
более чем на 30%. К 2012 году
прогнозируются доходы в размере 3,5
млрд. долларов.
Голландская
группа Digital Security обнаружила
серьезные дефекты в механизме
аутентификации карт Mifare Classic.
Во-первых, как уже сказано, это
позволило сделать полное обратное
восстановление схемы Crypto-1 и
сконструировать собственную реализацию
криптоалгоритма. Сделано это было с
помощью известных в криптоанализе
методов генерации сбоев. Если атакующая
сторона при аутентификации не в точности
следует правилам обмена, предписываемым
протоколом, то в принципе - по нештатным
реакциям - имеется возможность получать
дополнительную информацию об устройстве
неизвестной схемы. Целенаправленно
манипулируя сигналами на входе и
комбинируя их с ответной информацией,
иногда можно выяснить, как устроен
"черный ящик". Что и было сделано в
данном случае.
Во-вторых, когда
криптоалгоритм стал известен, стало
возможным отыскать нужные секретные
ключи. Например, усовершенствованным
методом лобового вскрытия, то есть
тотального перебора всех возможных
ключевых комбинаций. Ибо длина ключа в
Crypto-1 оказалась всего лишь 48 бит,
так что при наличии подходящего быстрого
вычислителя на полный "тупой" перебор
требуется всего 9–10 часов работы.
Правда, стоит такая техника недешево,
однако голландским исследователям она и
не понадобилась. Ибо Crypto-1, как
выяснилось, имеет не только малую длину
рабочего регистра (ключа), но и слабую
функцию усложнения. Что позволило
довольно легко отыскивать секретный ключ
без лобового вскрытия. Специально
подобранный вид запросов на (заведомо
неудачную) аутентификацию дает в ответах
некоторую информацию о битах секретного
ключа. Если один раз заранее собрать
результаты всех таких ответов в большую
просмотровую таблицу, коль скоро
устройство Crypto-1 уже известно, то
атака на карту с неизвестным ключом
становится быстрой и очень простой. Надо
лишь загрузить ее ложными запросами, по
таблице установить одну часть ключа, а
затем быстрым перебором остальных бит
восстановить недостающую часть и
получить ключ полностью.
