Funkce realizuj´ıc´ı antikolizn´ı protokol

Navrˇzený nástroj slouˇz´ı k testován´ı bezpeˇcnosti RFID transpondér˚u a aplikac´ı, které vyuˇz´ıvaj´ı Mifare Classic. Z tohoto d˚uvodu nebyly implementovány konkrétn´ı známé

utoky, které ovˇsem lze s vytvoˇrenými nástroji s urˇcitým úsil´ım realizovat, ale pouze funkce pro detekci konkrétn´ıch zranitelnost´ı.

Takto lze velice rychle vylouˇcit implementace, kter´e nelze s t´ımto vybaven´ım na-padnout, napˇr´ıklad pomoc´ı

”Dark side“ ´utoku. ´Utok na nezranitelnou implementaci

m˚uˇze být spuˇstˇen hodiny a nikdy se sám nezastav´ı, pokud tedy nen´ı implemen-továno omezen´ı doby bˇehu. Ale ani takto nelze bez dalˇs´ı analýzy rozhodnout, proˇc

utok selhal.

Nástroj umoˇzˇnuje provádˇet následuj´ıc´ı operace:

1. Testov´an´ı entropie pouˇzit´eho PRNG

2. Testov´an´ı implementac´ı odpov´ıdaj´ıc´ıch na kaˇzdou kombinaci paritn´ıch bit˚u 0x5

3. Testován´ı pouˇzit´ı implicitn´ıch kl´ıˇc˚u k zabránˇen´ı takzvanému Nested útoku 4. Vizualizace obsahu pamˇeti s moˇznost´ı manipulace pomoc´ı datového modelu

4.3 N´ızko´ urovˇ nov´ e funkce a wrapper pro Python

Libnfc je knihovna urˇcená pro programovac´ı jazyk C, proto pro pouˇzit´ı v jazyce Python bylo nutné datové typy a vˇsechny funkce napsané v C obalit wrapperem.

Tento wrapper je naps´an v Pythonu pomoc´ı tˇr´ıd z knihovny ctypes.

V kódu 4.1 je uvedena tˇr´ıda, která obaluje strukturu nfc device a poskytuje metody pro obsluhu zaˇr´ızen´ı v Pythonu. Obdobným zp˚usobem jsou ˇreˇseny tˇr´ıdy pro ostatn´ı nutné struktury a samotné funkce napsané v jazyce C.

Bohuˇzel napsán´ı wraperu pro knihovnu Libnfc v plném rozsahu by bylo ˇcasovˇe nároˇcné, a proto také v této práci byla vytvoˇrena jen malá ˇcást, která byla ne-zbytná. Ostatn´ı ˇcásti pak byly napsány v jazyce C a do Pythonu byly pˇredány pouze výsledky.

Celkem samotn´y wrapper obsahuje 24 tˇr´ıd.

4.3.1 NfcContext

Struktura nfc context mus´ı být vytvoˇrena a inicializována jako prvn´ı pˇred jakoukoliv jinou prac´ı s knihovnou Nfclib, ponˇevadˇz obsahuje intern´ı nastaven´ı a ukazatele na dalˇs´ı d˚uleˇzité ˇcásti knihovny. V Pythonu byla vytvoˇrena tˇr´ıda NfcContext, která obsahuje samotnou strukturu a s n´ı logicky spˇraˇzené funkce (inicializace a ruˇsen´ı kontextu).

4.3.2 NfcDevice

Dalˇs´ı d˚uleˇzitou ˇcást´ı je struktura nfc device slouˇz´ıc´ı k pˇripojen´ı k samotnému NFC³ zaˇr´ızen´ı. Dále obsahuje informace nutné pro ˇr´ızen´ı zaˇr´ızen´ı – typ, ovladaˇc a samotné nastaven´ı funkce ˇcipu. V nástroji je vytvoˇrena tˇr´ıda NfcDevice, která reprezentuje tuto strukturu a jako metody má pˇr´ısluˇsné funkce (inicializace, ruˇsen´ı pˇr´ıkazu, uve-den´ı do neˇcinného stavu a uzavˇren´ı zaˇr´ızen´ı).

4.3.3 N´ızko´ urovˇ nov´ e funkce

V ˇcásti aplikace napsané v jazyce C byly naprogramovány následuj´ıc´ı funkce:

• transmit bytes – Umoˇzˇnuje pˇrenos dat po jednotlivých bajtech s t´ım, ˇze pa-ritn´ı bity jsou pˇridávány a kontrolovány hardwarovˇe. Lze vyuˇz´ıt integrovaného obvodu pro zvýˇsen´ı pˇresnosti pˇresným ˇr´ızen´ım ˇcasován´ı.

• transmit bytes par – Umoˇzˇnuje pˇrenos dat po jednotlivých bajtech s manuáln´ım nastaven´ım paritn´ıch bit˚u. Tato funkce je vyuˇz´ıvána pˇri testován´ı na zranitel-nosti.

• transmit bites – Pro úˇcely antikolizn´ıho protokolu musela být vytvoˇrena funkce pro pˇrenos dat po jednotlivých bitech. Ochrana pˇrenosu je rovnˇeˇz automatická.

• anticol – Tato funkce realizuje antikolizn´ı protokol a vyb´ırá dostupný trans-pondér.

• read – Bˇeˇzn´e ˇcten´ı dat z transpond´eru.

• write – Bˇeˇzný zápis bloku do transpondéru.

Nad tˇemito funkcemi byl v Pythonu naprogramován wrapper a samotné tˇr´ıdy pro práci s NFC zaˇr´ızen´ım.

4.3.4 Ostatn´ı ˇ c´ asti

D´ale byl vytvoˇren wrapper pro:

• Struktury jednotlivých typ˚u transpondér˚u (r˚uzné typy ISO 14443, Felica a Jewel)

3Near Field Communication

• Struktury pro datovou komunikaci (modulace, rychlost, c´ılov´e zaˇr´ızen´ı)

• Struktury specifick´e pro Mifare Classic

Zdrojov´y k´od 4.1: Wrapper pro nfc device

1 class NFC_DEVICE(Structure):

2 DEVICE_NAME_LENGTH = 256

3 DEVICE_PORT_LENGTH = 64

5 _fields_ = [

6 ( ’context’, POINTER( NFC_CONTEXT ) ),

7 ( ’name’, c_char * DEVICE_NAME_LENGTH ),

8 ( ’connstring’, c_char * NFC_BUFSIZE_CONNSTRING),

9 ( ’bCrc’, c_bool ),

10 ( ’bPar’, c_bool ),

11 ( ’bEasyFraming’, c_bool ),

12 ( ’bAutoIso14443_4’, c_bool ),

13 ( ’btSupportByte’, c_uint8 ),

14 ( ’last_error’, c_int )

15 ]

28 def __init__(self, context, connstring=None, libpath=LIBPATH):

29 try:

30 self.lib = CDLL(libpath)

31 except OSError as e:

32 raise e

33 else:

34 self.lib.nfc_open.restype = ctypes.POINTER( NFC_DEVICE )

35 self.device = self.lib.nfc_open( context.context, connstring )

37 if self.device == None:

38 raise NfcError()

47 if code != NfcError.NFC_SUCCESS:

48 raise NfcError(code)

50 def idle(self):

51 code = self.lib.nfc_idle(self.device)

53 if code != NfcError.NFC_SUCCESS:

54 raise NfcError(code)

4.4 Tˇr´ıdy pro pr´ aci s NFC zaˇr´ızen´ım

Nad wraperem, který obaluje kód knihovny Libnfc a kód v jazyce C, jsou postaveny tˇr´ıdy pro samotnou manipulaci s transpondérem.

4.4.1 MifareBlockStream

MifareBlockStream je základn´ı tˇr´ıda realizuj´ıc´ı pˇr´ıstup k NFC zaˇr´ızen´ı. V konstruk-toru je provedeno potˇrebné nastaven´ı pro komunikaci s transpondérem (modulace, pˇrenosová rychlost, c´ılová struktura) a dále je otevˇrena sd´ılená knihovna obsahuj´ıc´ı kód pro samotnou práci se zaˇr´ızen´ım.

Pro pr´aci s transpond´erem poskytuje tˇr´ıda MifareBlockStream tyto metody:

• init (libPath) – inicializace knihovny a pˇripraven´ı datov´ych struktur

• poll(device) – v´ybˇer transpond´eru

• auth(device, index, key, useKeyB) – autentizace bloku

Zavolán´ım metody poll(nfcDevice) dojde k automatickému proveden´ı antiko-lizn´ıho protokolu a tedy i výbˇeru jednoho transpondéru. Pˇri volán´ı této metody je vykonána stejnojmenná funkce napsaná v jazyce C. Pokud nastane pˇri vykonáván´ı antikolizn´ıho protokolu chyba, tak je vyhozena výjimka.

Pˇred jakoukoliv manipulac´ı s daty transpondéru mus´ı být konkrétn´ı blok autenti-zován urˇcitým kl´ıˇcem. K tomu slouˇz´ı metoda auth(nfcDevice, index, key, useKeyB), která obaluje stejnojmennou funkci napsanou v C. Metoda umoˇzˇnuje zvolit auten-tizaˇcn´ı kl´ıˇc pomoc´ı boolovské promˇenné useKeyB. V pˇr´ıpadˇe chyby je opˇet vyhozena výjimka MifareException s pˇr´ısluˇsnou chybovou zprávou.

Od této tˇr´ıdy dˇed´ı následuj´ıc´ı dvˇe tˇr´ıdy pro ˇcten´ı a zápis dat RFID transpondéru.

Hiearchie tˇechto tˇr´ıd je zobrazena na obr´azku 4.1.

gpollTvstupKdeviceK:KNfcDeviceHK:Kbyte[4]

Obr´azek 4.1: Tˇr´ıdy pro manipulaci s pamˇet´ı transpond´eru

4.4.2 MifareBlockReader

Tˇr´ıda MifareBlockReader slouˇz´ı pro samotné ˇcten´ı informac´ı z pamˇeti transpondéru, která za t´ımto úˇcelem poskytuje metodu read(device, index).

Parametr device je reference na instanci tˇr´ıdy NfcDevice a parametr index slouˇz´ı ke specifikaci bloku, který má být pˇreˇcten. Pokud jsou data úspˇeˇsnˇe pˇreˇctena, tak metoda vrac´ı list ˇsestnácti jednobajtových hodnot. V pˇr´ıpadˇe chyby je vyhozena výjimka.

Tato metoda automaticky nespouˇst´ı autentizaˇcn´ı rutinu, takˇze je nutn´e ji pˇred samotn´ym ˇcten´ım zavolat.

4.4.3 MifareBlockWriter

K zápisu dat do pamˇeti transpondéru slouˇz´ı tˇr´ıda MifareBlockwriter poskytuj´ıc´ı metodu write(device, index, data). Parametr data je list jednobajtových hodnot o velikosti bloku – ve standardu Mifare Classic je to 16.

Opˇet je nutné nejdˇr´ıve úspeˇsnˇe provést autentizaci bloku pˇred zápisem. Nen´ı nutné manuálnˇe testovat správnost formátu bloku, nebot’ tato metoda ji provád´ı automaticky. Nástroj tak nepovol´ı zápis poˇskozeného bloku do pamˇeti karty, takˇze se nen´ı tˇreba obávat permanentn´ıho zablokován´ı sektoru.

4.4.4 MifareException

Tˇr´ıda MifareException je ekvivalentem chybového kódu pouˇzitého ˇcást´ı aplikace napsané v jazyce C.

V pˇr´ıpadˇe, ˇze nˇejaká funkce pˇri pˇrenosu dat konˇc´ı chybou, tj. vrac´ı zápornou hod-notu, tak je vytvoˇrena nová instance tˇr´ıdy MifareException. Tˇr´ıda obsahuje metodu errorMessage(code), která na základˇe obdrˇzeného chybového kódu a tabulky 4.1 na-stav´ı chybovou zprávu. ˇR´ızen´ı je pak pˇredáno do vyˇsˇs´ı úrovnˇe programu k dalˇs´ımu oˇsetˇren´ı chybového stavu.

4.5 Tˇr´ıdy pro testov´ an´ı zranitelnosti

4.5.1 BaseTest

BaseTest je abstraktn´ı tˇr´ıda, která je pˇredkem vˇsech konkrétn´ıch tˇr´ıd test˚u. Pˇri dˇedˇen´ı od této tˇr´ıdy vˇsem potomk˚um pˇredepsáno implementovat metodu run() slouˇz´ıc´ı k proveden´ı testu.

Tato metoda vrac´ı hodnotu, kterou lze vyhodnotit jako logická nepravda, pokud nebyl daný nedostatek detekován. V opaˇcném pˇr´ıpadˇe vrac´ı hodnotu vyhodnotitel-nou jako logická pravda. Tento pˇr´ıstup umoˇzˇnuje test˚um vracet r˚uzná data – typicky pˇr´ımo logickou hodnotu, nebo pole bajt˚u.

4.5.2 PrngDetermTest

Hodnoty z generátoru pseudonáhodných ˇc´ısel byly z´ıskány pomoc´ı funkce read prngs(

nfc device *pnd, uint8 t **out, int cnt), která je souˇcást´ı vytvoˇrené knihovny v ja-zyce C (Kód 3.1). Tato funkce na dané m´ısto v pamˇeti postupnˇe uloˇz´ı z´ıskané ˇctyˇrbajtové hodnoty.

Pˇri alokaci pole pomoc´ı ctypes nastával problém se ˇspatnˇe uloˇzenými daty – v urˇcitých pˇr´ıpadech byla v pamˇeti hodnota o nˇeco niˇzˇs´ı, neˇz být mˇela. Tento problém byl vyˇreˇsen alokac´ı potˇrebného pamˇet’ového prostoru uˇz v ˇcásti napsané v jazyku C.

V Pythonu bylo pak napsáno vyhodnocen´ı náhodnosti pomoc´ı histogramu. Pro-gram nejdˇr´ıve z´ıská pomoc´ı funkce read prngs(nfc device *pnd, uint8 t **out, int cnt) pole ˇctyˇrbajtových hodnot a pˇrevede je do celoˇc´ıselné podoby (list integer˚u).

N´aslednˇe je list seˇrazen a jsou vypoˇcteny ˇcetnosti jednotliv´ych ˇc´ısel.

4.5.3 DefaultKeysTest

Pˇri testován´ı bloku, zda je pˇr´ıstupný pomoc´ı nˇejakého známého kl´ıˇce, je pouˇz´ıván standardn´ı slovn´ıkový útok.

Tˇr´ıda DefaultKeysTest má statický atribut keys, coˇz je list nejbˇeˇznˇejˇs´ıch impli-citn´ıch kl´ıˇc˚u, se kterými výrobci testuj´ı funkˇcnost transpondéru. Tyto kl´ıˇce jsou téˇz dostupné napˇr´ıklad jako souˇcást knihovny Libnfc.

Pˇri testován´ı je potˇreba vytvoˇrit instanci tˇr´ıdy MifareBlockReader a následnˇe provést posloupnost následuj´ıc´ıch operac´ı:

1. V´ybˇer dalˇs´ıho kl´ıˇce

2. Zavol´an´ı metody poll(device)

3. Zavol´an´ı metody auth(device, blockNo, key, keyB) 4. Ukonˇcen´ı nebo n´avrat k bodu 1

Po proveden´ı metody poll(device) je antikolizn´ım protokolem vybr´an transpond´er.

Následnˇe je zavolána metoda auth(device, blockNo, key, keyB), která se pokus´ı s daným kl´ıˇcem autentizovat (provede tedy pouˇzitý autentizaˇcn´ı protokol). Výstupem je logická hodnota, na jej´ımˇz základˇe je bˇeh ukonˇcen, nebo je tato sekvence opa-kována s dalˇs´ım kl´ıˇcem.

Antikolizn´ı (uveden ve zkrácené verzi v kódu 4.2) a autentitaˇcn´ı protokol je ˇreˇsen na niˇzˇs´ı úrovni – v knihovnˇe naprogramované nad Libnfc v jazyce C.

Zdrojov´y k´od 4.2: Funkce realizuj´ıc´ı antikolizn´ı protokol

1 int anticol(nfc_device *pnd) {

2 uint8_t dataRx[MAX_FRAME_LEN] = {0};

3 uint8_t dataTx[MAX_FRAME_LEN] = {0};

4 size_t sizeRx = -1;

6 // Request type A

7 if( (sizeRx = transmit_bits(pnd, cmd_reqa, dataRx, 7) ) < 0 ) {

8 return STATUS_ERR;

9 }

10 memcpy(abtAtqa, dataRx, 2);

12 // Select all

13 if( (sizeRx = transmit_bytes(pnd, cmd_select_all, dataRx, 2) ) <

0) {

14 return STATUS_ERR;

15 }

17 // Check answer

18 if ((dataRx[0]^dataRx[1]^dataRx[2]^dataRx[3]^dataRx[4]) != 0) {

19 return STATUS_ERR;

20 }

21 memcpy(tagUid, dataRx, sizeRx); // Save tag UID

23 // Create Select UID request

24 memcpy(dataTx, cmd_select_uid, sizeof(cmd_select_uid)); // Add command

25 memcpy(dataTx + 2, dataRx, MIFARECL_UID_LEN); // Add tag UID

26 iso14443a_crc_append(dataTx, 7); // Add CRC

28 // Transmit select(uid) request

29 if( (sizeRx = transmit_bytes(pnd, dataTx, dataRx, 9) < 0) ) {

30 return STATUS_ERR;

Tato tˇr´ıda umoˇzˇnuje testovat transpondér na chybnˇe implementovanou kontrolu integrity. Ve skuteˇcnosti je veˇskerý výkonný kód provádˇen uvnitˇr funkce

mifare check nack prob(nfc device *pnd) uveden´e v k´odu 3.2. Tˇr´ıda NackProbTest ji jen zpˇr´ıstupˇnuje pro pouˇzit´ı v Pythonu.

Pˇri testován´ı se vyuˇz´ıvá konstantn´ı hodnota výzvy transpondéru nT. Nejdˇr´ıve je vybrán transpondér pomoc´ı funkce anticol(nfc device *pnd) a následnˇe je zapoˇcata prvn´ı fáze autentizaˇcn´ıho protokolu – z´ıskán´ı hodnoty výzvy nT z transpondéru.

Pokud tato hodnota neodpov´ıdá hodnotˇe konstatn´ı výzvy, tak je karta zresetována vypnut´ım napájen´ı.

V pˇr´ıpadˇe, ˇze hodnota výzvy je konstatn´ı, tak je vygenerován pomoc´ı funkce next variation(uint8 t *data, size t lenght, int fixed) následuj´ıc´ı kombinace hodnot bit˚u. S tˇemito paritn´ımi bity je odeslán dalˇs´ı poˇzadavek s hodnotami {aR} {nR}.

Pokud transpondér odpov´ı ˇctyˇrbitovou hodnotou, tak je zvýˇsen ˇc´ıtaˇc správných kombinac´ı paritn´ıch bit˚u o jedna.

Dále se postupuje stejnˇe jako v pˇredeˇslých odstavc´ıch. Pokud je výsledná hodnota ˇc´ıtaˇce vyˇsˇs´ı neˇz jedna, tak se jedná o zranitelnˇejˇs´ı implementaci standardu.

4.6 Datov´ y model transpond´ eru

Na základˇe antikolizn´ıho protokolu z´ıská ˇcteˇcka informaci o typu transpondéru (SAK⁴). Pˇri pˇrijmut´ı hodnoty 0x08 se jedná o Mifare Classic s pamˇet´ı o velikosti 1 kB, a pˇri pˇrijmut´ı hodnoty 0x18 jde o 4 kB verzi transpondéru (NXP Semiconduc-tors). Tuto skuteˇcnost bylo nutné zohlednit i pˇri návrhu programu.

YgetValueD_,:,byte[26]

Obr´azek 4.2: Datov´y model

4Select Acknowledge, Type A

4.6.1 MifareModel

Ve chv´ıli, kdy se program pokus´ı poprvé naˇc´ıst data z pamˇeti transpondéru, tak mus´ı být proveden jeho výbˇer antikolizn´ım protokolem. Podle výsledku je vytvoˇrena instance tˇr´ıdy Mifare1kModel, nebo instance tˇr´ıdy Mifare4kModel (Obrázek 4.2).

Dále je práce s tˇemito moˇznými transpondéry identická, liˇs´ı se jen nutnost´ı vy-hradit r˚uznˇe velké m´ısto v pamˇeti.

4.6.2 SectorModel

Kaˇzdý Mifare Classic transpondér se skládá z urˇcitého mnoˇzstv´ı sektor˚u (záleˇz´ı na typu), které jsou v programu reprezentovány tˇr´ıdou SectorModel. Ponˇevadˇz pro oba dva typy transpondér˚u je sektor stejného formátu, tak je moˇzné m´ıt pouze jednu tˇr´ıdu, která pop´ıˇse oba typy. V této tˇr´ıdˇe je ˇreˇsen pˇr´ıstup a manipulace s jednotlivými bloky s t´ım, ˇze je pouˇzito pˇr´ımé indexován´ı blok˚u a pˇrepoˇcet indexu na sektor/blok prob´ıhá internˇe.

SectorModel má implementovány metody pro pˇr´ıstup/manipulaci s bloky (get-Block, setBlock) a zodpov´ıdá za vytvoˇren´ı samotných blok˚u – instanc´ı tˇr´ıdy BlockMo-del. Pˇri zápisu bloku tato tˇr´ıda automaticky kontroluje formát, aby nemohlo doj´ıt k nechtˇenému permanentn´ımu zablokován´ı sektoru z d˚uvodu zápisu poˇskozeného konfiguraˇcn´ıho bloku (metoda checkTrailer zobrazená v kódu 4.3).

In document Zranitelnost technologie Mifare Classic (Page 41-52)