RFID: Passwortraten leicht gemacht

Adi Shamir, Miterfinder des RSA-Verschlüsselungsverfahrens, hat eine Methode vorgestellt, den Passwortschutz gängiger RFID-Transponder per Antenne und Oszilloskop zu knacken. Auf der RSA-Conference in San Jose hat der Professor des israelischen Weizmann Instituts der Wissenschaften im Rahmen einer Podiumsdiskussion vorgetragen, dass RFID-Tags "der wichtigsten Marke" mit der Verschlüsselung ihrer Speicherinhalte nur wenig Schutz bieten.

Normalerweise kommuniziert das Lesegerät mit einem passiven RFID-Transponder, indem es eine Trägerwelle ausstrahlt, in deren Seitenband ein Passwort-Challenge kodiert ist. Die Trägerwelle dient dabei in erster Linie als Energielieferant für den RFID-Chip. Dort lädt sie unter anderem einen kleinen Kondensator auf, aus dem der Chip Leistung für seine Rechenoperationen bezieht. Nachdem der Challenge übertragen ist, sendet das Lesegerät nur noch die Trägerwelle, übermittelt aber seinerseits keine Information mehr. Stattdessen kann der Transponder, nachdem er sich seine Antwort zurechtgelegt hat, pulsweise seine Antenne verstimmen und mehr oder weniger viel Feldstärke der Trägerwelle absorbieren. Die so entstehende Modulation wertet das Lesegerät aus.

Der von Shamir beschriebene Versuchsaufbau lauscht bereits, während das Lesegerät noch mit dem Senden des Passworts beschäftigt ist, und kann dabei unbeabsichtigte Modulationen der Trägerwelle aufschnappen. Diese kommen zu Stande, weil die untersuchten Transponder offenbar die einzelnen Bits eines Passworts schon während deren Übertragung prüfen, anstatt sie erst, wie das kryptografisch sinnvoll wäre, komplett zwischenzuspeichern. In der Konsequenz verbraucht der Chip nach jedem Bit viel oder etwas weniger Energie, je nachdem, ob er mit dem empfangenen Bit "glücklich oder unglücklich" ist, wie Shamir das formuliert hat. Stellt sich heraus, dass das x-te Bit falsch war, scheint der Chip eine Sonderroutine abzuarbeiten und verbraucht dafür zeitweilig etwas mehr Energie. Dieser Energieverbrauch führt kurzzeitig zu einem verminderten Ladezustand des Kondensators im Tag und zu einer etwas stärkeren, im Oszilloskop sichtbaren Amplitudenabschwächung der Trägerwelle.

"Ein normales Handy enthält alle Bausteine, die man braucht, um alle RFID-Tags der näheren Umgebung zu kompromittieren", erklärte Shamir. Er habe zwar nicht alle Typen von Transpondern untersucht, sondern nur die der weitestverbreiteten Marke, und die seien völlig ungeschützt. Die gefundenen Schwachstellen führt er aber weniger auf diesen speziellen, ungenannten Hersteller zurück als auf den Zwang, die Produktionskosten für RFID-Transponder um jeden Preis herunter zu drücken. Das habe die Entwickler gezwungen, alle Sicherheitsanforderungen über Bord zu werfen. (hps)