Typick´ y pˇr´ıpad pouˇzit´ı RFID - Zranitelnost technologie Mifare Classic

K zamezen´ı prostého odposloucháván´ı komunikace útoˇcn´ıkem je standard Mi-fare Classic vybaven proudovou ˇsifrou Crypto-1. Veˇskerá komunikace mezi trans-pondérem a legitimn´ı ˇcteˇckou je ˇsifrovaná a útoˇcn´ık ji bez znalosti kl´ıˇce nedokáˇze deˇsifrovat. Tato forma obrany vˇsak nen´ı úˇcinná, pokud v dané aplikaci je uˇzivatel rozpoznáván pouze na základˇe identifikátoru karty, který je pˇrenáˇsen v ˇcistém textu.

Pˇri provádˇen´ı opakovac´ıho útoku (replay attack) útoˇcn´ık pˇrehrává komunikaci, kterou dˇr´ıve z´ıskal odposlechem komunikace mezi transpondérem a legitimn´ıˇcteˇckou.

Utoˇcn´ık dokonce ani nemus´ı b´´ yt schopen z´ıskat obsah komunikace, ponˇevadˇz mu staˇc´ı znát pouze význam. Obrana je zde ˇreˇsena pomoc´ı autentizace bloku ˇc´ıslem z generátoru pseudonáhodných ˇc´ısel. ˇSifrovaná komunikace pak vypadá pokaˇzdé ji-nak³.

Ponˇevadˇz by obrana proti zámˇernému ruˇsen´ı komunikace byla obt´ıˇzná, a tedy i nákladná, tak také nijak nen´ı ˇreˇsena. Proti DOS útok˚um, jako je napˇr´ıklad pouˇzit´ı velkého upravených mnoˇzstv´ı karet, je moˇzné se bránit na úrovni konkrétn´ı aplikace.

Proti neoprávnˇenému ˇcten´ı (identifikace osob) ˇci zmˇenˇe (zvýˇsen´ı z˚ustatku, sn´ıˇzen´ı ceny zboˇz´ı) je technologie Mifare Classic chránˇena výˇse zm´ınˇeným ˇsifrován´ım. Bez znalosti kl´ıˇce by nemˇelo j´ıt s pamˇet´ı jakkoliv manipulovat.

Na trhu se objevuj´ı r˚uzné implementace transpondér˚u tohoto standardu, které maj´ı r˚uznou úroveˇn zranitelnosti. Tato práce se zabývá analýzou bezpeˇcnostn´ıch nedostatk˚u a návrhem nástroje, který by umoˇzˇnoval v rámci moˇznost´ı technologie bezpeˇcnost testovat.

3Z´aleˇz´ı na rozsahu gener´atoru

2 Mifare Classic

Mifare Classic je aplikaˇcn´ı protokol postavený nad transportn´ı vrstvou realizova-nou RFID standardem ISO 14443. Mifare Classic popisuje organizaci pamˇeti trans-pondéru, komunikaˇcn´ı protokol na aplikaˇcn´ı vrstvˇe a ˇsifrován´ı pˇrenosu.

2.1 Antikolizn´ı protokol

Antikolizn´ı protokol slouˇz´ı k výbˇeru jednoho z transpondér˚u, které jsou v dosahu vys´ılaˇce.

Po vloˇzen´ı transpondéru do elektromagnetického pole vys´ılaˇce transpondér ˇceká na výzvu k zahájen´ı svého ohláˇsen´ı ˇcteˇcce. D´ıky tomuto pˇr´ıstupu se nem˚uˇze stát, ˇze zaˇr´ızen´ı vys´ılala souˇcasnˇe.

Cteˇcka v pravideln´ˇ ych intervalech odes´ılá 7bitový pˇr´ıkaz pro identifikaci REQA¹. Po pˇr´ıjmu vˇsechny transpondéry v dosahu najednou odeˇslou odpovˇed’ ATQA² a pˇrestanou vys´ılat aˇz do následuj´ıc´ıho vyzván´ı.

T´ım zaˇc´ıná antikolizn´ı smyˇcka, jej´ıˇz smyslem je z´ıskat identifikátory UID³ vˇsech dostupných zaˇr´ızen´ı. Kroky antikolizn´ı smyˇcky jsou následuj´ıc´ı:

1. ˇCteˇcka odeˇsle pˇr´ıkaz SEL (Anti-collision CL1) 2. Vˇsechny dostupné transpondéry odeˇslou své UID 3. ˇCteˇcka odeˇsle pˇr´ıkaz SEL UID (Select CL1)

4. Vybraný transpondér odeˇsle identifikátor standardu.

V pˇr´ıpadˇe, ˇze bylo v dosahu v´ıce zaˇr´ızen´ı, tak mohlo v bodˇe 2 doj´ıt ke kolizi.

Kolize je detekována jako vysoká úroveˇn po celou dobu hodinového taktu. ˇCteˇcka zvol´ı hodnotu prvn´ıho bitu – prefix UID a odeˇsle znovu poˇzadavek na identifikaci,

1Request Command, Type A

2Answer To Request

3Unique IDentifier

nav´ıc pˇripoj´ı prefix. Ted’ vˇsak odpov´ıdaj´ı jiˇz jen zaˇr´ızen´ı s dan´ym prefixem. Tento postup opakuje, dokud ˇcteˇcka nez´ısk´a UID vˇsech zaˇr´ızen´ı v dosahu.

Vytváˇren´ı modulace signálu a problém s kolizemi ˇreˇs´ı automaticky ovladaˇc v jádru a pouˇzitý integrovaný obvod PN532.

V´ıce detail˚u ohlednˇe modulace, kódován´ı a ˇreˇsen´ı koliz´ı lze nalézt v normˇe (ISO 14443-3) a dokumentaci k Mifare Classic od NXP Semiconductors (NXP Semicon-ductors, 2014).

Ve vytvoˇrené aplikaci je moˇzné vyuˇz´ıt antikolizn´ı protokol ˇr´ızený samotným ovladaˇcem a knihovnou Libnfc, nebo vyuˇz´ıt ˇcip PN532 pouze pro generován´ı modu-lace a samotný antikolizn´ı protokol provést ruˇcnˇe. To m˚uˇze být vhodné napˇr´ıklad, pokud je nutné pr˚ubˇeh ˇr´ıdit manuálnˇe nebo je potˇreba m´ıt detailn´ı výpisy (pˇri au-tomatickém pr˚ubˇehu pomoci hardwaru nen´ı moˇzné detaily z´ıskat).

V´ystup pˇri softwarov´em ˇr´ızen´ı antikolizn´ıho protokolu je uveden v tabulce 2.1.

Tabulka 2.1: Pr˚ubˇeh antikolizn´ıho protokolu

Akce Hex V´yznam

Sent bits: 26 (7 bits) Request type A

Received bits: 04 00 Response type A

Sent bytes: 93 20 Select All

Received bytes: 7d e7 c1 78 23 UID

Sent bytes: 93 70 7d e7 c1 78 23 6b 2e Select UID

Received bytes: 08 b6 dd Mifare Classic 1k

2.2 Organizace pamˇ eti

Datová pamˇet’ je u karet technologie Mifare Classic realizována pamˇet´ı typu EEPROM⁴ o velikosti 1 kB. Pamˇet’ (Obrázek 2.1) je rozdˇelena do ˇsestnácti ˇctyˇrblokových sektor˚u. Kaˇzdý sektor se skládá ze ˇctyˇr blok˚u, do kterých lze uloˇzit aˇz 16 bajt˚u aplikaˇcn´ıch dat.

Prvn´ı sektor prvn´ıho bloku je rezervov´an v´yrobcem pro uloˇzen´ı provozn´ıch in-formac´ı.

2.2.1 Blok v´ yrobce

V sektoru 0 se v bloku 0 nacház´ı prvn´ı datový blok. Tento blok je rezervován výrobcem pro uloˇzen´ı informac´ı o kartˇe, z nichˇz nejd˚uleˇzitˇejˇs´ı informac´ı je ˇc´ıslo

4Electrically Erasable Programmable Read-Only Memory

UID, BCC, Manufacturer data Data block Data block Key A, Access conditions, Key B

Data block Data block Data block Key A, Access conditions, Key B

Data block Key A, Access conditions, Key B

Sector trailer

NUID⁵ uloˇzen´e na prvn´ıch ˇctyˇrech bajtech.

Tento identifikátor je pouˇzit pro rozliˇsen´ı jednotlivých zaˇr´ızen´ı pˇri provádˇen´ı antikolizn´ıho protokolu. Podle dokumentace (NXP Semiconductors, 2011) nemus´ı být tento identifikátor nutnˇe unikátn´ı.

Výrobce pˇri produkˇcn´ım testu tento blok naprogramoval a jiˇz nen´ı moˇzné jeho obsah mˇenit nehledˇe na nastaven´ı pˇr´ıstupových bit˚u (NXP Semiconductors, 2011).

2.2.2 Datov´ y blok

Pro uloˇzen´ı aplikaˇcn´ıch dat je moˇzné vyuˇz´ıvat datové bloky. V kaˇzdém boku je k dispozici 16 bajt˚u, které jsou ve výchoz´ı konfiguraci vyuˇzitelné vˇsechny.

Datový blok m˚uˇze být nakonfigurován do ˇctyˇrbajtového reˇzimu nazývaného

” va-lue block“, pro tuto práci vˇsak nen´ı tato vlastnost pˇr´ıliˇs d˚uleˇzitá. V´ıce informac´ı lze nalézt v (NXP Semiconductors, 2011, s. 9).

5Non-Unique IDentifier

2.2.3 Konfiguraˇ cn´ı blok

Kaˇzdý ze ˇsestnácti sektor˚u obsahuje jeden konfiguraˇcn´ı blok nazývaný sector trailer.

V tomto bloku jsou uloˇzeny ˇsifrovac´ı kl´ıˇce (Key A a Key B) a pˇr´ıstupová práva k jednotlivým blok˚um daného sektoru. Konfiguraˇcn´ı blok je zobrazen na obrázku 2.2.

Pokud aplikace nevyuˇz´ıvá kl´ıˇc B, tak je moˇzné na pˇr´ısluˇsné pamˇet’ové m´ısto po správném nastaven´ı pˇr´ıstupových práv uloˇzit aplikaˇcn´ı data. Data mohou být uloˇzena také na devátém bajtu a podle (NXP Semiconductors, 2011) pro nˇe plat´ı stejná oprávnˇen´ı jako pro bajty ˇc´ıslo 6, 7 a 8. Je nutné, aby byl vˇzdy dodrˇzen formát konfiguraˇcn´ıch bit˚u pro nastaven´ı pˇr´ıstupových práv.

2.3 Ochrana pamˇ eti

ˇSifrovac´ı kl´ıˇce A a B slouˇz´ı pouze k ˇsifrován´ı pˇrenosu, samotná data jsou v pamˇeti uloˇzena v podobˇe ˇcistého textu. Standard Mifare Classic umoˇzˇnuje pomoc´ı tˇr´ı bit˚u nastavit následuj´ıc´ı oprávnˇen´ı:

Na obrázku 2.3 jsou znázornˇeny jednotlivé bity konfiguraˇcn´ıho registru. Pro kaˇzdý bit Ci,j plat´ı, ˇze i je pozice konfiguraˇcn´ıho bitu a j znaˇc´ı pˇr´ısluˇsnost k bloku.

Jednotlivé bity jsou zde uloˇzeny v normáln´ı podobˇe jako Ci,j a v invertované podobˇe Ci,j. Podle citeMF1S503x, 11 pˇri kaˇzdém pˇr´ıstupu do pamˇeti intern´ı logika ovˇeˇruje strukturu. Pokud detekuje poruˇsen´ı formátu, tak nevratnˇe zablokuje celý sektor.

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Key A Access Bits Key B (optional)

C23 C22 C21 C20 C13 C12 C11 C10

2.4 Pˇr´ıkazy aplikaˇ cn´ıho protokolu

Pˇr´ıkazy (uvedené v tabulce 2.2) aplikaˇcn´ıho protokolu byly z´ıskány pomoc´ı re-verzn´ıho inˇzenýrstv´ı a publikovány v práci (Nohl et al., 2008). V souˇcasné dobˇe je moˇzné z´ıskat detaln´ı popis vˇsech pˇr´ıkaz˚u i s pouˇzitým ˇcasován´ım z oficiáln´ı do-kumentace (NXP Semiconductors, 2011).

Tabulka 2.2: Pˇr´ıkazy Mifare Classic Pˇr´ıkaz Hex Popis

AUTH A 60 xx CRC Autentizace bloku xx kl´ıˇcem B AUTH B 61 xx CRC Autentizace bloku xx kl´ıˇcem B READ 30 xx CRC Cten´ı bloku xxˇ

WRITE A0 xx CRC Z´apis bloku dat do bloku xx HALT 50 00 CRC Vypnut´ı transpond´eru

ACK A Potvrzeno

NACK 4 Zam´ıtnuto

NACK 5 Zam´ıtnuto (chyba pˇrenosu)

2.5 Zabezpeˇ cen´ı pˇrenosu

Norma ISO 14443A pˇredepisuje, ˇze za kaˇzdým datovým bajtem mus´ı následovat jeden bit liché parity. Pokud komunikace jiˇz prob´ıhá ˇsifrovanˇe, tak je paritn´ı bit zaˇsifrován stejným bitem proudu kl´ıˇce jako následuj´ıc´ı datový bit. V tomto formátu

In document Zranitelnost technologie Mifare Classic (Page 15-20)