32C3: Verschlüsselung gängiger RFID-Schließanlagen geknackt

Inhaltsverzeichnis

Schlechte Nachrichten für alle, die ihren klassischen Haus- oder Büroschlüssel durch eine Chipkarte ersetzen wollen oder dies bereits getan haben: Die zugehörigen RFID-Transponder für einschlägige elektronische Schließsysteme könnten teils "trivial einfach" geklont werden. Dies erklärte Ralf Spenneberg, Chef der Firma OpenSource Training, am Montag auf dem 32. Chaos Communication Congress in Hamburg.

Spenneberg und sein Mitstreiter Oguzhan Cicek konzentrierten sich bei ihrer gemeinsam mit der Firma OpenSource Security durchgeführten Analyse auf den Hitag-S-Transponder des niederländischen Halbleiterkonzerns NXP. Dieser funkt auf der Kurzwellenfrequenz 125 kHz und arbeitet mit einem 48-Bit-Schlüssel sowie einem 24-Bit-Passwort. Zum Einsatz komme ein undokumentiertes Verschlüsselungsverfahren, das als ungebrochen und so als "sicher" gelte, erläuterte Spenneberg. Andere "Cipher" aus der gleichen Transponderfamilie seien aber bereits geknackt worden, darunter der "Hitag 2"

Analyse

Elektronische Schließsysteme arbeiten laut Spenneberg teils online, wobei die Schließberechtigung zentral gespeichert werde. In der Regel werde dazu nur die Identifikation des Transponders ausgelesen. Sobald man diese Nummer emulieren könne, habe man also einen Schlüsselklon. Es gäbe aber auch Fälle, in denen eine Authentifizierung durchgeführt würde. Dies mache die Sache etwas schwieriger.

Bei der Offline-Variante ist die Zugangserlaubnis auf dem Transponder selbst gespeichert, führte Spenneberg aus: "Wenn ich ihn auslesen oder beschreiben kann, bin ich in der Lage, die Berechtigung zu ändern." Häufig unterliefen den Herstellern der Schließanlagen schon an diesem Punkt "grobe Schnitzer". Beim Hitag S komme bei dieser Variante zwar zusätzlich eine Authentifizierung dazu. Trotzdem sei es oft schon möglich, "im Vorbeigehen" eine Schlüsselkopie herzustellen, wenn der Transponder ungeschützt in der Tasche aufbewahrt werde. In öffentlichen Verkehrsmitteln etwa könnte "der Nebenmann mit dem Rucksack" die vermeintlichen Geheimnisse aus etwa 30 Zentimeter Entfernung auslesen.

Angriff

Für einen "analytischen Angriff" müsse man Authentifizierungsvorgänge beziehungsweise den dabei stattfinden Kommunikationsaustausch mitlesen, berichten die Experten. Im Detail habe sich das Team die Kommando-Schnittstelle für den Koprozessor genauer angeschaut. Dabei habe man keine spezifischen Befehle beim Hitag S entdeckt, mit denen Daten im Eeprom gespeichert würden. So lag es nahe, dass das Verschlüsselungsverfahren ähnlich ablaufe wie das bereits ausgehebelte beim Hitag 2.

Mit Reverse Engineering und mehreren gängigen Angriffsmethoden wie Replay- und Brute-Force-Attacken sowie dem RFID-Testgerät Proxmark3 rückten die Tüftler dem Cipher auf den Leib. Bei der Analyse habe ihnen dabei ein Designfehler sowie die vergleichsweise kurze Schlüssellänge in die Hände gespielt, konstatierte Cicek. Auch das Erfüllbarkeitsproblem der Aussagenlogik habe man sich zunutze gemacht und eine entsprechende Formel erstellen können. Am Ende sei der Hitag S komplett ausles- und emulierbar gewesen. Insgesamt habe es mit einem verfeinerten Verfahren schließlich nur noch fünf Minuten gedauert, den Transponder zu klonen. Unter bestimmten Umständen sei es so auch möglich, die Schließberechtigung etwa von "Praktikant" auf "Chef" zu erweitern.

Stand der Dinge

Andere Transponder im unteren Frequenzbereich seien laut Spenneberg entweder bereits gebrochen oder würden Verfahren verwenden, die genauso leicht zu knacken seien. Aber auch unter den RFID-Lösungen, die in höheren Frequenzbereichen arbeiteten, gebe es bereits Systeme, die bereits seit Langem gebrochen seien – etwa Mifare Classic oder Legic Prime.

Betroffen sind laut Spenneberg unter anderem Schließsysteme Winkhaus BlueSmart, Abus Seccor Codeloxx-L, Bosch PegaSys Terminal und Uhlmann & Zacher Clex Prime. Er kündigte an, dass sein Unternehmen an Neujahr eine einschlägige Sicherheitswarnung veröffentlichen werde. Einige Hersteller hätten auf die Erkenntnisse geantwortet, dass die untersuchten Verfahren nicht mehr dem Stand der Technik entsprächen. Man habe zudem nie behauptet, dass die RFID-Anlagen "sicher" seien, sondern vermarkte sie nur als "Kontroll- oder Organisationssysteme". Pech nur für Nutzer in großen privaten Bürokomplexen, Krankenhäusern oder Behörden, bei denen es oft um etliche Schlösser geht. NXP sei ebenfalls vor einigen Monaten kontaktiert worden. Das Unternehmen hat seine Kunden daraufhin intern informiert. (nij)