BFIT-Home Alle News Verschlüsselung RFID Mifare
Verschlüsselung RFID Mifare Drucken E-Mail

Verschlüsselung von RFID-Chips geknackt - allerdings nur von Mifare-Karten, die von uns nicht verwendet werden


Zugangskontrollsysteme für Firmen oder miltärische Einrichtungen sowie Bezahlkarten haben ein gravierendes Sicherheitsproblem
Die RFID-Chips eines weit verbreiteten Kartensystems lassen sich auslesen und kopieren. Zugangskontrollsysteme für Firmen oder miltärische Einrichtungen sowie Bezahlkarten für Bahntickets in den Niederlanden und London haben ein gravierendes Sicherheitsproblem. Das berichtet das Computermagazin c't vorab am Freitag.



Die Chips sind auf dem technischen Stand von 1995 

Eigentlich geht es nur um ein Produkt eines einzigen Herstellers. Doch die funkenden RFID-Chips "Mifare Classic" sind die weltweit wohl meistverbreiteten ihrer Art und nach Herstellerangaben milliardenfach im Einsatz. Das Problem: Die Chips sind auf dem technischen Stand von 1995.

Nagellackentferner, eine Poliermaschine, ein Mikroskop, ...

Mitglieder des Chaos Computer Clubs haben jetzt in Zusammenarbeit mit der University of Virginia gezeigt, wie sich die Chips unbefugt auslesen lassen. Als Hilfsmittel verwendeten sie Nagellackentferner, eine Poliermaschine, ein Mikroskop mit Digitalkamera und einige Computerprogramme. Schicht für Schicht haben sie den Chip abgetragen, aus den Bildern den Schaltplan ausgelesen und daraus den Verschlüsselungs-Algorithmus hergeleitet. "Dabei hat sich gezeigt, dass der Verschlüsselungs-Algorithmus sehr schwach ist", berichtet c't-Redakteurin Christiane Rütten. "Damit lassen sich leicht die Zugangsschlüssel herausfinden, und dem Missbrauch der Karten sind Tür und Tor geöffnet."

Vertrauliche Daten

Je nach Anwendungsgebiet enthält die Karte vertrauliche Daten wie Kundennummer, Name und Anschrift des Inhabers oder auch eine Liste von Orten, an denen die Karte benutzt wurde. Als Teil eines Bezahlsystems ist es unter Umständen nicht nur möglich, auf Kosten anderer Bahn zu fahren oder in einer Mensa zu speisen, sondern auch, ein beliebiges Guthaben auf die Karte zu buchen.

Versuche

RFID-Systeme mit einer besseren Verschlüsselung gibt es durchaus, doch sind sie deutlich teurer. Unternehmen, die das System einsetzen, winken daher ab: Umstellen wollen sie erst, wenn nachweisbare Betrugsversuche bekannt sind.

Quellen: Computermagazin c't / Chaos Computer Club /derStandard.at