Kort nieuws

Ook Nijmeegse universiteit kraakt Mifare

Pieter Edelman
Leestijd: 2 minuten

De soap rondom Mifare Classic houdt maar niet op. Gisteren demonstreerde de Digital Security-groep van de Radboud Universiteit Nijmegen dat de beveiliging van Mifare-gebaseerde systemen van chipmaker NXP eenvoudig en in korte tijd te kraken is. Ze tonen zelfs aan dat ze op betrekkelijk eenvoudige manier een kopie kunnen maken van toegangspassen. Hóe ze het voor elkaar hebben gekregen, willen de onderzoekers uit veiligheidsoverwegingen nog niet zeggen. De RFID-chips zijn populair voor authenticatie-doeleinden. Ze worden bijvoorbeeld veel gebruikt bij gebouwbeveiliging en openbaar-vervoertoepassingen. Onder meer de Nederlandse ov-chipkaart gebruikt Mifare Classic.

De Mifare Classic-chips gebruiken een bedrijfseigen algoritme om geheime sleutels om te zetten in gecodeerde boodschappen. Daarmee bewijzen de chips in kaarten en toegangspoortjes hun identiteit. De Nijmegenaren hebben nu ontdekt hoe dit Crypto-1-algoritme werkt. Daarmee hebben ze nog niet de sleutels in handen. Het algoritme bevat echter een aantal zwakheden die de onderzoekers kunnen uitbuiten om die geheime codes te achterhalen.

Voor hun kraak peuteren de Nijmegenaren de sleutel uit een toegangspoortje. Ze stellen eerst eenmalig een grote tabel op met mogelijke output van het algoritme door Crypto-1 met een verschillende invoerwaarden te draaien. Vervolgens kunnen ze een aanval uitvoeren op individuele poortjes. Dat doen ze door met een eigen zender willekeurige authenticatiepogingen te sturen. Die mislukken, maar de antwoorden leveren wel statistische data op. Daarmee is uiteindelijk de sleutel te achterhalen via de tabel. Een brute-force-aanval is dus niet nodig. Het verzamelen van de data duurt enkele uren. De onderzoekers speculeren dat dit kan door een antenne te verstoppen vlakbij het toegangspoortje.

This article is exclusively available to premium members of Bits&Chips. Already a premium member? Please log in. Not yet a premium member? Become one and enjoy all the benefits.

Login

Related content