Schwächen des RFID-Systems Mifare Classic bestätigt

Der Betreiber des landesweiten Bezahlsystems für den Niederländischen Nahverkehr, Trans Link Systems (TLS), hat Auszüge einer zuvor geheim gehaltenen Sicherheitsanalyse des drahtlosen Bezahlsystems Mifare Classic veröffentlicht. Darin kommen die Analysten der niederländischen TNO zu dem Ergebnis, dass sowohl die Ende vergangenen Jahres bekannt gewordenen Schwachstellen als auch die beschriebenen Angriffe nachvollziehbar seien. Mifare Classic ist das derzeit wohl am weitesten verbreitete RFID-Bezahlsystem. Insbesondere in Mensen und als berührungslose Fahr- und Zugangskarten sind die Chips nach Schätzungen weltweit bereits milliardenfach im Einsatz.

Die TLS stellt derzeit ihr Bezahlsystem mit der OV-Chipkaart auf Mifare Classic um. Bislang ist sie in den Niederlanden jedoch nur in einigen Ballungsräumen wie Rotterdam und Amsterdam großflächig im Einsatz. Die TNO-Analysten sehen jedoch noch keinen akuten Handlungsbedarf, auf ein sichereres System umzusteigen. Ihren Empfehlungen zufolge soll die TLS das Mifare-System wie geplant im Laufe des Jahres flächendeckend einführen. Erst wenn Muster systematischen Betrugs erkennbar werden, solle man endgültig umsatteln. Die TNO-Analysten geben hierfür einen Zeitrahmen von rund zwei Jahren an.

Den Stein ins Rollen brachte eine Wissenschaftlergruppe aus dem Umfeld des Chaos Computer Clubs, die im Dezember vergangenen Jahres auf dem Hackerkongress 24C3 in Berlin die Ergebnisse ihrer Hardware-Analyse des Mifare-Classic-Chips präsentierte. Damit gelangten erstmals sowohl die prinzipielle Funktionsweise des geheimen Verschlüsselungsalgorithmus Crypto1 sowie verschiedene Angriffe gegen eklatante Schwachstellen in der Verschlüsselung und dem Zufallszahlengenerator an die Öffentlichkeit. Die Zugriffsschlüssel der Karte lassen sich laut den Forschern auf einem PC innerhalb einiger Minuten, mit Hilfe von Spezialhardware sogar innerhalb von Sekunden knacken.

Forscher der niederländischen Radboud Universiteit Nijmegen haben unterdessen nach eigenen Angaben weitere Fortschritte beim Knacken der geheimen Zugriffsschlüssel gemacht. Ihnen zufolge ist es nun möglich, aus manipulierten Leseversuche mit Hilfe einer vorberechneten Tabelle den Zugriffsschlüssel einer Mifare-Classic-Chipkarte in besonders kurzer Zeit und ohne teures Equipment abzuleiten. Ihre Arbeit basiere zwar auf den Erkenntnissen der CCCler, doch worin sich der neue Angriff von den bereits zuvor bekannten unterscheidet, wollten die Niederländer auf Anfrage von heise Security wegen der Brisanz ihrer Erkenntnisse nicht näher erläutern.

Der niederländische Mifare-Hersteller NXP hingegen hat die Schwachstellen der Classic-Variante bislang nicht offiziell bestätigt. Allerdings hat er nun die "Mifare Plus" als verbesserte und zur Mifare Classic kompatible Chip-Variante für Ende 2008 angekündigt. Deren Verschlüsselung soll nicht mehr auf dem nun geknackten Krypto-Verfahren beruhen, sondern auf dem gemeinhin als sicher geltenden Algorithmus AES-128. Für die Mifare Plus strebt NXP eine Sicherheitszertifizierung nach EAL-4+ durch das BSI an.

In der Berichterstattung der vergangenen Wochen zu dem Thema war außerdem vereinzelt fälschlicherweise von einem "Smartcard-Hack" die Rede. Selbst NXP bezeichnet die Mifare-Karte gelegentlich als "Smart Card". Daraufhin sah sich die Smart Card Alliance zu einem Statement genötigt, dass funkende Smartcards nicht von der Mifare-Schwachstelle betroffen und weiterhin sicher seien. Anders als Mifare sind Smartcards Speicherkarten, die zusätzlich einen Mikroprozessor und ein Mini-Betriebssystem für Verschlüsselungs- und Signaturfunktionen enthalten. Typische Einsatzgebiete sind Homebanking, Kreditkarten, Geldkarte, Bezahlfernsehen und Handy-SIM.

Siehe dazu auch:

• Security Analysis of the Dutch OV-Chipkaart, Analyse der niederländischen TNO zur Mifare-Sicherheit
• Mifare – Little Security, Despite Obscurity, Vortrag auf dem 24C3-Kongress
• Dismantling contactless smartcards, Zusammenfassung der Forschungsergebnisse der Radboud Universiteit

(cr)