close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Mehr als nur ein Passwort: Wie sicher sind Smartcards? - IT

EinbettenHerunterladen
Mehr als nur ein Passwort:
Wie sicher sind Smartcards?
Technologien, Angriffe und Schutzmaßnahmen
David Oswald, Kasper & Oswald GmbH
(C) Kasper & Oswald GmbH
1
Ruhr-Universität Bochum
Lehrstuhl für
Embedded
Security
(C) Kasper & Oswald GmbH
2
Dr.-Ing. Timo Kasper




Dipl.-Ing. David Oswald
Kernkompetenz: Embedded Security
Analyse, Entwicklung, Beratung, Schulung
Langjährige Erfahrung in Forschung und Entwicklung
Zahlreiche internationale Publikationen
(C) Kasper & Oswald GmbH
4
IT-Sicherheit im Überblick
Kryptologie
Angreifen
Kryptographie
Kryptanalyse
Verbessern
(C) Kasper & Oswald GmbH
5
IT-Sicherheit im Überblick
Kryptologie
Angreifen
Kryptographie
Kryptanalyse
Verbessern
(C) Kasper & Oswald GmbH
6
Neue Angriffsmethoden:
Implementierungsangriffe
Einführung:
Authentifizierung
Authentifizierung
Früher: Ein Faktor, z.B. Passwort, PIN, ...
Heute: Zwei Faktoren: Passwort/PIN und zusätzlich
(C) Kasper & Oswald GmbH
10
Beispiel: RSA-Token
 Jede Minute wechselnde
6- bis 8-stellige Zahl
 Zeitstempel wird AES-verschlüsselt
11
(C) Kasper & Oswald GmbH
12
(C) Kasper & Oswald GmbH
13
Sicherheitsprobleme?
15
Beispiel: Yubikey
 Verhält sich wie USB-Tastatur
 Enthält AES-Schlüssel
 Auf Knopfdruck:
Neues One-Time Password wird
erzeugt und „eingetippt“
(C) Kasper & Oswald GmbH
17
(C) Kasper & Oswald GmbH
18
(C) Kasper & Oswald GmbH
19
(C) Kasper & Oswald GmbH
20
Aufbau eines OTP
...
dhbgnhfhjcrl rgukndgttlehvhetuunugglkfetdegjd
dhbgnhfhjcrl trjddibkbugfhnevdebrddvhhhlluhgh
dhbgnhfhjcrl judbdifkcchgjkitgvgvvbinebdigdfd
...
(C) Kasper & Oswald GmbH
21
Live-Demo
“Anything that can go wrong, will go wrong”
Mehr als ein Token:
(Kontaktlose) Smartcards
Beispiel: Smartcards
 Spezielle Karte + PIN
 z.B. für Windows & Linux
24
... Smartcards (1)
 Mikrocontroller mit Standard-Interface (ISO 7816)
 1. Generation: Speicherkarten (z.B. KV-Karte)
 Heute: Kryptographie, z.B.
 Symmetrisch: 3DES / AES
 Asymmetrisch: RSA / Elliptische Kurven
(C) Kasper & Oswald GmbH
25
... Smartcards (2)
 Wichtigste Hersteller
 Infineon
 NXP
 Samsung
 Programmierung
 C / Assembler: Nur bei hohen
Stückzahlen & NDA
 .NET (...)
 Java (...)
 Oft (auch) kontaktlos
(C) Kasper & Oswald GmbH
26
Kontaktlos …
 Radio Frequency IDentification
 Kontaktlose Energieversorgung und Kommunikation
Reader
Unique ID?
Tag
Unique ID = 123
(C) Kasper & Oswald GmbH
27
Kontaktlose Smartcards
 Kontaktlose Smartcard = RFID + Kryptographie:
Geheimer Schlüssel auf Karte
 Anwendungsgebiete





(Micro-)Payment
ePass und ePA
Nahverkehr
Login
Zugangskontrolle
Sources: Wikipedia,
cutviews.com
28
Kontaktlose Smartcards:
Ein Blick in die Geschichte...
Kontaktlose Smartcards: Geschichte
1. Generation beliebt für
Zugangskontrolle und Ticketing
1990s
1. Generation:
Mifare Classic, TI DST,
Hitag, Legic Prime
Seitenkanal-Angriffe
auf Mifare DESFire
MF3ICD40
2007/2008
2002
Mifare
DESFire
MF3ICD40
Reverseengineering
von Mifare
Classic
(C) Kasper & Oswald GmbH
2009
2011
Die meisten
Systeme der
1. Gen.
geknackt
30
Agenda
 Zugangskontroll-System
 Fallstudie: Kontaktloses Bezahlsystem
 Seitenkanal-Angriffe in Theorie
 Seitenkanal in Realität: Mifare DESFire MF3ICD40
 Java-Cards
 Zertifizierung und Gegenmaßnahmen
(C) Kasper & Oswald GmbH
31
Ein einführendes Beispiel:
Zugangskontrolle
Zugangskontroll-System
Mifare Classic 1K Karten sichern Türen und Fahrstühle
 Geheime Schlüssel auf Standardwert
0xA0A1A2A3A4A5
 Identifizierung über UID und
Klartextdaten auf Karte
 UID normalerweise nicht
änderbar
(C) Kasper & Oswald GmbH
33
Zugangskontroll-System:
Klon auf leere Karte nicht akzeptiert
(falsche UID)
(C) Kasper & Oswald GmbH
34
Exkursion:
RFID-Emulator
Emulator für
Kontaktlose Smartcards
Atmel
ATXmega
(5 €)
 Mifare Classic: Crypto1 Stromchiffre
 Mifare DESFire MF3ICD40: (3)DES
 Mifare DESFire EV1: AES-128, (3)DES
Open-source Projekt: http://sourceforge.net/projects/chameleon14443/
(C) Kasper & Oswald GmbH
36
Neue Mini-Version
Open-source Projekt: http://sourceforge.net/projects/chameleon14443/
(C) Kasper & Oswald GmbH
37
Zugangskontroll-System
Mifare Classic 1K Karten sichern Türen und Fahrstühle
 Geheime Schlüssel auf Standardwert
0xA0A1A2A3A4A5
 Identifizierung über UID und
Klartextdaten auf Karte
 UID normalerweise nicht
änderbar
1. UID echter Karte lesen
2. UID in
einstellen
 Sesam, öffne dich!
(C) Kasper & Oswald GmbH
38
erfolgreich
(C) Kasper & Oswald GmbH
39
Live-Demo
“Anything that can go wrong, will go wrong”
Fallstudie:
Ein kontaktloses Bezahlsystem
Fallstudie: Ein kontaktloses
Bezahlsystem
 Kontaktloser Mitarbeiterausweis
 Zahlung (max. 150 €), Zugangskontrolle, …
 Mehr als 1 Mio. ähnliche Karten im Feld
 Mifare Classic (1K) Chip wird verwendet
(C) Kasper & Oswald GmbH
42
NXPs Mifare Classic (1K / 4K)
 1994: Produkteinführung
 Alle Details proprietär und geheim
 Mifare Classic verbreitet sich
 1996: Nahverkehr (Seoul)
 2003: Nahverkehr (Oyster Card, London)
 Ca. 1 Milliarde Karten und 7 Millionen Reader
 2007/2008: Reverse-Engineering (Nohl et. al.)
und Angriffe (Garcia et. al., Courtois)
Mifare Classic Karten vollständig „geknackt“
(C) Kasper & Oswald GmbH
43
Mifare Classic (1K / 4K)
 Speicher (z.B. 1 kB in 16 Sektoren)
 Jede Karte hat nicht änderbaren Unique Identifier (UID) (4 byte)
 Jeder Sektor mit zwei kryptographischen Schüsseln gesichert
 Authentifizierung / Verschlüsselung mit CRYPTO1-Chiffre
UID
Key A, Sektor 0
Key B, Sektor 0
Key A, Sektor 15
Key B, Sektor 15
(C) Kasper & Oswald GmbH
44
Sicherheit von Mifare Classic:
1. Schwache Chiffre & Protokoll
 Proprietäre Stromchiffre CRYPTO1 geheim bis 2007
 Reverse-Engineering
 Chiffre im Internet (CRAPTO1)
 Forscher finden gravierende Schwächen:
nur 48 Bit, mathematisches Design fehlerhaft
(C) Kasper & Oswald GmbH
45
Sicherheit von Mifare Classic:
2. Schwacher Zufallsgenerator
 32-bit Zufallszahlen für Authentifizierung
 Entropie: nur 16 von 32 möglichen Bit
 „Zufall“ hängt nur von abgelaufener Zeit seit Power-Up ab!
(C) Kasper & Oswald GmbH
46
Gravierende Schwächen:
Angriffe möglich
Werkzeug: Spezieller Reader
• Unterstützt alle ISO 14443kompatiblen Karten
• Materialkosten < 40 €
• Frei programmierbar
Open-source Projekt: http://sourceforge.net/projects/reader14443/
Implementierung der key-recovery Angriffe:
 16 Schlüssel von Mifare 1K Karte in < 10 Min
(C) Kasper & Oswald GmbH
49
Live-Demo
“Anything that can go wrong, will go wrong”
Analyse der ID-Card 1/2
Schlüssel auslesen
 Key-recovery auf eine ID-Card
 Alle geheimen Schlüssel
 Zweite ID-Card
 Enthält identische Schlüssel
 Dritte ID-Card
 Enthält identische Schlüssel
...
 Überraschendes Ergebnis:
Alle ID-Cards haben identische Schlüssel
51
(C) Kasper & Oswald GmbH
Analyse der ID-Card 1/2
Reverse-Engineering
Karteninhalt (wiederholtes Bezahlen und Vergleichen)
• Geldbetrag: € als ungeschützter Zahlenwert
• Andere Daten: Kartennummer, Ausgabedatum …
Mit diesem Wissen:
• Kontaktlose Manipulation jeder Karte im System
• Reichweite: ca. 10..25 cm
• Dauer: 20 ms pro Sektor (!)
(C) Kasper & Oswald GmbH
52
Mögliche Angriffe
 Klonen von ID-Cards (auf leere Karte kopieren)
 Geklonte Karten akzeptiert?

 Modifikation des Geldbetrages
 Zahlung mit “Falschgeld” möglich?


 Produktion “neuer” Karten (neue Nummer)
 “Neue” Karten akzeptiert?
Keine effektiven Gegenmaßnahmen im Backend!
(C) Kasper & Oswald GmbH
53
Zusammenfassung
1. Unsichere Hardware (Mifare Classic):
Angriff in < 10 min for < 50 €
2. Keine „key diversification“:
Schlüssel einmalig ermittelt: Angriff in < 1 s
3. Daten auf Karte nicht zusätzlich geschützt:
Geldbetrag und Kartennummer manipulierbar
4. Keine automatischen Prüfungen im Backend:
Angriffe wurden fast nie
erkannt
(C) Kasper & Oswald GmbH
55
Zurück zur
Live-Demo
“Anything that can go wrong, will go wrong”
Seitenkanal-Angriffe:
Krypto und Tresorknacken
Seitenkanal-Angriffe auf
einen Blick
 Unabhängig von mathematischer Sicherheit
 Angriff auf die Implementierung
 Messung von physikalischen Größen




Ausführungszeit (Timing)
Stromverbrauch (Power Analysis)
EM-Abstrahlung (EM Analysis)
...
(C) Kasper & Oswald GmbH
61
Typischer Ablauf
1. Smartcard verschlüsselt
2. Messung
3. Wiederholen (oft)
4. Auswerten
Messung
Statistik
(C) Kasper & Oswald GmbH
62
Seitenkanal in Realität:
Mifare DESFire MF3ICD40
Mifare DESFire MF3ICD40
 Ca. 2002 von Philips (heute NXP)
 3DES mit 112-bit Schlüssel für Authentifizierung und
Daten-Verschlüsselung
 4 kB Speicher
 28 Applikationen mit je max. 16 Dateien
 14 Schlüssel pro Appl. + Masterschlüssel
 Zugriffsrechte auf Datei-Ebene
 (Einige) Gegenmaßnahmen gegen
Seitenkanal-Angriffe
(C) Kasper & Oswald GmbH
Sources: utro.cz
64
Chip-Foto
(C) Kasper & Oswald GmbH
66
Chip-Foto
(C) Kasper & Oswald GmbH
67
…. ein paar Monate später ….
(C) Kasper & Oswald GmbH
68
Messaufbau
(C) Kasper & Oswald GmbH
69
Messaufbau
Data Acquisition
(C) Kasper & Oswald GmbH
70
EM-Abstrahlung (ohne Filter)
(C) Kasper & Oswald GmbH
71
EM-Abstrahlung (ohne Filter)
?
(C) Kasper & Oswald GmbH
72
Filtern der EM-Abstrahlung
Messung des EM-Felds mit
analogem Demodulator
(C) Kasper & Oswald GmbH
73
…. ein paar Monate später ….
(C) Kasper & Oswald GmbH
74
Profilierung
 Schritt 1: Details der Smartcard ermitteln
 Schritt 2: 3DES-Schlüssel mit „Differential Power
Analysis“ (DPA) auslesen
Plaintext B1 3DES(B1) Ciphertext C1
B2
(C) Kasper & Oswald GmbH
3DES(B2)
C2
75
…. ein paar Monate später ….
(C) Kasper & Oswald GmbH
76
Zusammenfassung
 Gesamten Schlüssel der DESFire MF3ICD40 mit
ca. 250.000 Messungen (ca. 7 Stunden)
 Kosten für Equipment ca. 2000 EUR
 Nicht invasiv = keine forensischen Spuren
 Angriffe könnten weiter optimiert werden
 Hohes Bedrohungspotenzial
 Nachfolger DESFire EV1 nicht betroffen
(C) Kasper & Oswald GmbH
77
Nur DESFire?
Ein Blick auf Java-Cards
Samsung S3CC9P9
 Javacard 2.2.1
 Ca. 2007 von Samsung
 160 KB ROM, 32 KB EEPROM
 In Java programmierbar
 Zusätzliche Hardware für
 (3)DES
 SHA-1 / MD5
 RSA (1024 bit)
(C) Kasper & Oswald GmbH
79
Typisches Javacard-Applet
import javacardx.crypto.Cipher;
import javacard.security.*;
import javacard.framework.*;
public class myApp extends Applet
{
byte[] plainT;
...
// register the applet once
public static void install(...) {
new myApp().register(...);
}
...
}
(C) Kasper & Oswald GmbH
80
Typisches Javacard-Applet
...
public void process(APDU apdu)
{
byte buffer[] = apdu.getBuffer();
apdu.setIncomingAndReceive();
Util.arrayCopy(buffer, ... , plainT,
(short) 0x00, (short) plainT.length);
}
...
(C) Kasper & Oswald GmbH
81
Java-Code sicher gegen
Seitenkanal-Angriffe?
Messaufbau
(C) Kasper & Oswald GmbH
84
Nur Smartcards?
Weitere Seitenkanal-Angriffe
 Funktioniert für alle
gängigen Mikrocontroller
 KeeLoq-Türöffner (2008) und andere
Zugangskontroll-Systeme (2013)
 Atmel CryptoMemory (Balasch et al., 2012)
 FPGA-Bitstream Encryption (2011 – 2012)
 USB-Token (2013)
 Authentifizierungs-Chips (2013)
(C) Kasper & Oswald GmbH
87
Was tun?
Gegenmaßnahmen
Standards und Zertifikate
 USA: FIPS 140 – Security Requirements for
Cryptographic Modules
 Payment-Bereich: EMVCo
 Global Platform
 Common Criteria
(C) Kasper & Oswald GmbH
90
Zertifizierungen
Common Criteria (CC) (ISO/IEC 15408)
 Standard zur Sicherheitsbewertung von IT-Systemen
 Untersuchung durch unabhängige Prüflabore
(z.B. T-Systems, TÜV-IT, ...)
 Stark formalisiert – Begrifflichkeiten:





Target of Evaluation (TOE): Untersuchtes System
Protection Profile (PP): Sicherheitsanforderungen
Security Target (ST): Sicherheitseigenschaften des TOE
Security Functional Requirement (SFR): Einzelne Funktion
Evaluation Assurance Level (EAL): 1 (min.) bis 7 (max.)
(C) Kasper & Oswald GmbH
91
Vorsicht auch bei CC
(C) Kasper & Oswald GmbH
92
Gegenmaßnahmen generell
 Natürlich: Standard-Krypto verwenden
 Physikalische Angriffe dennoch möglich
 Verwendung von zertifizierter Hardware
 Forschungsergebnisse berücksichtigen
 Lernkurve des Angreifer berücksichtigen
 Gegenmaßnahmen auf Systemebene
 Sichere “key diversification”
 Single point-of-failure vermeiden
 Expect the unexpected ...
(C) Kasper & Oswald GmbH
93
Vielen Dank!
Fragen? Anmerkungen?
Kontakt: info@kasper-oswald.de
Kasper & Oswald GmbH, Bochum
www.kasper-oswald.de
(C) Kasper & Oswald GmbH
94
Document
Kategorie
Technik
Seitenansichten
10
Dateigröße
4 432 KB
Tags
1/--Seiten
melden