Ученые придумали способ взлома кодировки, используемой для защиты смарткарт,
применяемых для ограничения доступа в корпоративные и правительственные офисы и
осуществления платежей в системах общественного транспорта. Они смогли
разработать систему, при помощи которой можно создавать совершенные копии
электронных ключей и перехватывать или изменять их данные.
Атака, разработанная исследователями из Рурского университета в Германии,
занимает 7 часов, это время, за которое восстанавливается секретный код,
защищающий Mifare DESFire MF3ICD40. Она не оставляет после себя никаких следов и
для осуществления атаки применяется оборудование стоимостью в $3000.
Безконтактная карта, которую многие начали использовать после
взлома Mifare Classic в
2008 году, широко применяется транспортными агентствами в Сан-Франциско,
Австралии и Чехии. В 2004 году ее стали использовать NASA, однако, неизвестно,
производили они ее апгрейд с тех пор или нет.
Экспериментальные данные, полученные исследователями Дэвидом Освальдом и
Кристофом Паром, пошатнули представление о защищенности электронных устройств,
которым так много людей доверяют свои дома, офисы и платежные счета мобильных
телефонов. В дополнение к атаке на Mifare Сlassic, команда ученых, включая и
Пара, взломали кодировку системы безопасности Keeloq, применяемую в
автоиндустрии, для защиты доступа в гаражи и других устройств.
Как и две предыдущие атаки, новая восстанавливает секретный код карты,
позволяя злоумышленнику считывать цифровые данные аутентификации пользователей.
"Это готовый рецепт для перехвата данных секретного ключа без особого
вмешательства, путем направления электронного радиопередатчика на карту и
контроля его действий во время того как он производит операции", - говорит
криптограф Найт Лоусон, директор Root Labs, подготовивший доклад. "Все это легко
осуществимо при наличии нескольких тысяч долларов и небольшого количества
времени".
Атака Освальда и Пара основывается на анализе сторонних каналов, технике,
которая позволяет записывать электромагнитное излучение или другие физические
характеристики устройства, чтобы получить важные данные об особенностях его
шифрования. Дифференциальный анализ позволяет восстановить 112-битный секретный
код, который защищает информацию карты DESFire.
Для атаки используется электронный датчик, подключенный к осциллографу,
который записывает данные об электронном излучении в то время, как карта
считывается RFID-ридером.
Для успешного перехвата данных хакеру прежде всего необходимо обзавестись
картой DESFire и потратить несколько месяцев на наблюдение за ее внутренними
характеристиками. Исследователям понадобилось около года для того, чтобы
выяснить параметры их карты, однако Освальд заявил о том, что опытный инженер
смог бы сократить это время вдвое. С руководством исследователей в руках,
хакеру, возможно, понадобится еще меньше времени для осуществления подобной
атаки.
Если эта задача успешно решена, то все, что нужно для успешного взлома карты
– это всего лишь иметь физический доступ к ней в течение семи часов. Затем хакер
получает доступ к секретному ключу для создания дубликата карты или изменения ее
данных. Атака не оставляет после себя следов.
В обращении к клиентам DESFire, представители компании Mifare заявляют о том,
что атака работает только на версии карты MF3ICD40, эту версию они обещают снять
с продажи к концу этого года. Они призывают пользователей обновить уязвимые
карты до версии EV1, защищенной от этой атаки.
Они также заявили о том, что их клиенты, пользующиеся уязвимой версией, могут
снизить вероятность атаки, установив уникальный код для каждой карты, которой
они пользуются. Утерянные или украденные карты будут занесены в черный список
системами, которые занимаются мониторингом кард-ридеров и устройств отмены
действия ключа.
Недостаток MF3ICD40 заключается в том, что в этой версии практически
полностью отсутствуют методы защиты от дифференциального анализа. Метод, когда
карта пропускает несколько произвольных тактовых циклов для того, чтобы не дать
хакеру "прочитать" себя, оказывается неэффективным, если используется сам по
себе.
В 2002 году отделение компании Philips сочло обеспечение карты системой
дополнительной защиты непомерно дорогой задачей. Несмотря на все увеличивающееся
количество атак, которые используют данную технику, компания, которая в конце
концов стала голландской NXP Semiconductors, продолжила выпуск карты.
Компания NXP не дает никаких точных цифр о количестве уязвимых карт,
выпущенных за эти годы, однако, в начале года они говорили о продаже 3,5
миллиардов смарткарт.
NXP утверждают, что обновление карт до EV1 должно пройти относительно
безболезненно, т.к. эта версия полностью совместима с предыдущими версиями
своего уязвимого предшественника. Однако, криптограф Лоусон говорит о том, что
выпуск десятков тысяч или даже, миллионов новых карт, а также обновление
серверных систем, может оказаться не такой уж простой задачей.
При условии того, что миллиарды карт являются потенциально уязвимыми, в
скором времени магазины, все еще работающими с этими картами, могут отказаться
от их использования. В интересах компании начать обновление карт как можно
скорее.