Zranitelnost technologie Mifare Classic

(1)

Zranitelnost technologie Mifare Classic

Diplomov´ a pr´ ace

Studijn´ı program: N2612 – Elektrotechnika a informatika Studijn´ı obor: 1802T007 – Informaˇcn´ı technologie Autor pr´ace: Bc. Jan Petˇrvalsk´y

Vedouc´ı pr´ace: doc. Ing. Milan Kol´aˇr, CSc.

(2)

Mifare Classic Technology Vulnerabilities

Diploma thesis

Study programme: N2612 – Electrotechnology and informatics Study branch: 1802T007 – Information technology

Author: Bc. Jan Petˇrvalsk´y Supervisor: doc. Ing. Milan Kol´aˇr, CSc.

(3)

(4)

(5)

Prohl´ aˇsen´ı

Byl jsem seznámen s t´ım, ˇze na mou diplomovou práci se plnˇe vztahuje zákon ˇc. 121/2000 Sb., o právu autorském, zejména § 60 – ˇskoln´ı d´ılo.

Beru na vˇedom´ı, ˇze Technická univerzita v Liberci (TUL) nezasahuje do mých au- torských práv uˇzit´ım mé diplomové práce pro vnitˇrn´ı potˇrebu TUL.

Uˇziji-li diplomovou práci nebo poskytnu-li licenci k jej´ımu vyuˇzit´ı, jsem si vˇedom povinnosti informovat o této skuteˇcnosti TUL; v tomto pˇr´ıpadˇe má TUL právo ode mne poˇzadovat úhradu náklad˚u, které vynaloˇzila na vytvoˇren´ı d´ıla, aˇz do jejich skuteˇcné výˇse.

Diplomovou práci jsem vypracoval samostatnˇe s pouˇzit´ım uvedené literatury a na základˇe konzultac´ı s vedouc´ım mé diplomové práce a konzultantem.

Souˇcasnˇe ˇcestnˇe prohlaˇsuji, ˇze tiˇstˇen´a verze pr´ace se shoduje s elektronickou verz´ı, vloˇzenou do IS STAG.

Datum:

Podpis:

(6)

Abstrakt

Technologie pro bezdrátovou identifikaci Mifare Classic má i pˇres známé bezpeˇcnostn´ı nedostatky stále významný trˇzn´ı pod´ıl. Na trhu se vyskytuj´ı starˇs´ı transpondéry a také transpondéry od r˚uzných výrobc˚u, které mohou m´ıt r˚uznou

´

uroveˇn zranitelnosti.

Tato práce se zamˇeˇruje na analýzu známých nedostatk˚u této technologie, identifikaci hlavn´ıch m´ıst zranitelnosti a následným návrhem metodiky pro testován´ı zranitelnosti transpondér˚u.

Z´ıskané poznatky byly vyuˇzity pˇri návrhu a implementaci nástroje pro testován´ı zranitelnosti, který je postaven nad knihovnou Libnfc.

V posledn´ı ˇcásti byly navrˇzeny zmˇeny slouˇz´ıc´ı k odstranˇen´ı zranitelnosti. Prakticky by vˇsak bylo obt´ıˇzné tyto zmˇeny snadno aplikovat, tak byla jeˇstˇe nav´ıc navrˇzena me- todika pro vyuˇzit´ı technologie Mifare Classic s d˚urazem na minimalizaci pˇr´ıpadných bezpeˇcnostn´ıch rizik.

Kl´ıˇcov´a slova:

Mifare Classic, Crypto1, kryptografie, bezpeˇcnost, testov´an´ı, Libnfc

Abstract

Technology for radio identification Mifare Classic has even through well known security issues still dominant position on market. It is possible to purchase old transponders and transponders from various manufacturers with different level of vulnerability.

This work focuses on analysis of known security issues of this technology, identifies main vulnerability spots and proposes testing methodics.

Acquired findings were used to design and implement vulnerability testing tool based on Libnfc library.

There were also proposed changes to remove vulnerability. It is practically very difficult to apply these changes, so there was also proposed methodics for using Mifare Classic with focus to minimize security risks.

Key words:

Mifare Classic, Crypto1, cryptography, security, testing, Libnfc

(7)

Podˇ ekov´ an´ı

Dˇekuji Ing. Milanu Koláˇrovi, CSc. za cenné podnˇety, odborné konzultace a pomoc pˇri úpravˇe formáln´ı stránky této práce.

(8)

Obsah

Seznam obr´azk˚u . . . 9

Seznam tabulek . . . 10

Seznam zdrojov´ych k´od˚u . . . 11

Seznam zkratek . . . 12

1 Uvod do problematiky´ 13 2 Mifare Classic 15 2.1 Antikolizn´ı protokol . . . 15

2.2 Organizace pamˇeti . . . 16

2.2.1 Blok v´yrobce . . . 16

2.2.2 Datov´y blok . . . 17

2.2.3 Konfiguraˇcn´ı blok . . . 18

2.3 Ochrana pamˇeti . . . 18

2.4 Pˇr´ıkazy aplikaˇcn´ıho protokolu . . . 19

2.5 Zabezpeˇcen´ı pˇrenosu . . . 19

3 Crypto1 21 3.1 Generátor pseudonáhodných ˇc´ısel . . . 21

3.2 Proudov´a ˇsifra . . . 22

3.3 Autentizaˇcn´ı protokol . . . 25

3.4 Zranitelnosti . . . 26

3.4.1 N´ızká entropie generátoru pseudonáhodných ˇc´ısel . . . 26

3.4.2 Kontrola integrity dat . . . 30

3.4.3 V´ypoˇcet proudu kl´ıˇce pouze z lich´ych bit˚u . . . 34

3.4.4 Nejsou pouˇzité levé bity pro generován´ı proudu kl´ıˇce . . . 35

3.4.5 Mal´a variabilita proudu kl´ıˇce . . . 36

3.4.6 Pouˇzit´ı implicitn´ıch kl´ıˇc˚u . . . 37

4 Návrh nástroje pro testován´ı 39 4.1 Pouˇzité knihovny a zaˇr´ızen´ı . . . 39

4.1.1 PN532 NFC/RFID controller breakout board . . . 39

4.1.2 Libnfc 1.7.0 . . . 39

4.1.3 Crapto1 . . . 40

4.1.4 wxPython a matplotlib . . . 40

4.2 Funkce . . . 40

(9)

4.3 N´ızko´urovˇnov´e funkce a wrapper pro Python . . . 41

4.3.1 NfcContext . . . 41

4.3.2 NfcDevice . . . 42

4.3.3 N´ızko´urovˇnov´e funkce . . . 42

4.3.4 Ostatn´ı ˇc´asti . . . 42

4.4 Tˇr´ıdy pro pr´aci s NFC zaˇr´ızen´ım . . . 44

4.4.1 MifareBlockStream . . . 44

4.4.2 MifareBlockReader . . . 45

4.4.3 MifareBlockWriter . . . 46

4.4.4 MifareException . . . 46

4.5 Tˇr´ıdy pro testov´an´ı zranitelnosti . . . 47

4.5.1 BaseTest . . . 47

4.5.2 PrngDetermTest . . . 47

4.5.3 DefaultKeysTest . . . 47

4.5.4 NackProbTest . . . 49

4.6 Datov´y model transpond´eru . . . 50

4.6.1 MifareModel . . . 51

4.6.2 SectorModel . . . 51

4.6.3 BlockModel . . . 51

4.7 Prezentaˇcn´ı vrstva . . . 52

4.7.1 Hlavn´ı okno . . . 52

4.7.2 Okno pro testov´an´ı entropie PRNG . . . 54

4.7.3 Dialogy . . . 54

5 Doporuˇcen´ı pro zabezpeˇcen´ı 55

6 Z´avˇer 58

Pˇr´ılohy 61

A Obsah pˇriloˇzen´eho CD 61

B Postup pˇreloˇzen´ı Libnfc 62

(10)

Seznam obr´ azk˚ u

1.1 Typick´y pˇr´ıpad pouˇzit´ı RFID . . . 14

2.1 Organizace pamˇeti . . . 17

2.2 Konfiguraˇcn´ı blok . . . 18

2.3 Konfigurace pˇr´ıstupu . . . 19

2.4 V´ypoˇcet parity a jej´ı ˇsifrov´an´ı . . . 20

3.1 Generátor pseudonáhodných ˇc´ısel . . . 22

3.2 Sifra Crypto1 . . . 22ˇ 3.3 Inicializace ˇsifry Crypto1 . . . 24

3.4 Cetnosti hodnot bez virtualizace . . . 27ˇ 3.5 Cetnosti hodnot s virtualizac´ı . . . 28ˇ 3.6 Poruˇsen´ı one-time pad pˇri ˇsifrov´an´ı paritn´ıho bitu . . . 31

3.7 Upraven´e ˇsifrovac´ı sch´ema . . . 33

4.1 Tˇr´ıdy pro manipulaci s pamˇet´ı transpond´eru . . . 45

4.2 Datov´y model . . . 50

4.3 Hlavn´ı okno s naˇcten´ymi daty . . . 52

4.4 Okno pro testov´an´ı entropie PRNG . . . 54

5.1 Autorizace uˇzivatele pomoc´ı RFID karty . . . 56

(11)

Seznam tabulek

2.1 Pr˚ubˇeh antikolizn´ıho protokolu . . . 16

2.2 Pˇr´ıkazy Mifare Classic . . . 19

3.1 Pr˚ubˇeh autentizaˇcn´ıho protokolu . . . 26

3.2 Seznam implicitn´ıch kl´ıˇc˚u . . . 38

4.1 Chybov´e k´ody . . . 46

(12)

Seznam zdrojov´ ych k´ od˚ u

3.1 Z´ısk´an´ı hodnoty s nejvyˇsˇs´ı ˇcetnost´ı v´yskytu . . . 29

3.2 Detekce slab´ych implementac´ı . . . 32

4.1 Wrapper pro nfc device . . . 43

4.2 Funkce realizuj´ıc´ı antikolizn´ı protokol . . . 48

4.3 Kontrola form´atu konfiguraˇcn´ıho bloku . . . 51

4.4 Pˇredáván´ı hodnot z pracovn´ıch vláken pomoc´ı událost´ı . . . 53

(13)

Seznam zkratek

RFID Radio Frequency Identification . . . 13

DOS Denial of Service . . . 13

REQA Request Command, Type A . . . 15

ATQA Answer To Request . . . 15

UID Unique IDentifier . . . 15

EEPROM Electrically Erasable Programmable Read-Only Memory16 NUID Non-Unique IDentifier . . . 17

CRC Cyclic Redundancy Check . . . 20

PRNG Pseudorandom Number Generator . . . 21

LFSR Linear Feedback Shift Register . . . 24

FPGA Field Programmable Gate Array . . . 29

SDK Software Development Kit . . . 33

I2C Inter-Integrated Circuit . . . 39

SPI Serial Peripheral Interface . . . 39

NFC Near Field Communication. . . .42

SAK Select Acknowledge, Type A . . . 50

(14)

1 Uvod do problematiky ´

Technologie RFID¹ se pomalu pˇresunuly z pr˚umyslové sféry do kaˇzdodenn´ıho ˇzivota bˇeˇzného ˇclovˇeka, aniˇz by si to uvˇedomoval. V souˇcasné dobˇe jsou r˚uzné standardy RFID pˇrenosu vyuˇz´ıvány zejména k identifikaci osob (napˇr´ıklad pˇri pˇr´ıstupu do budov), pro úˇcely úˇctován´ı pˇrepravy a také drobné bezhotovostn´ı platby.

Pouˇzit´ı RFID karet je jednoduché a rychlé, jelikoˇz uˇzivatel nemus´ı znát ˇzádné pˇr´ıstupové kódy ˇci vkládat kartu do ˇcteˇcky, jako je tomu u tradiˇcn´ıch karet s mag- netickými prouˇzky. ˇCten´ı je bezkontaktn´ı a staˇc´ı tedy, kdyˇz uˇzivatel pˇriloˇz´ı kartu do bl´ızkosti elektromagnetického pole ˇcteˇcky.

Z d˚uvodu velice n´ızké ceny má i pˇres známé bezpeˇcnostn´ı nedostatky vysoký trˇzn´ı pod´ıl standard Mifare Classic.

Na obrázku 1.1 jsou zobrazeny prvky pˇri typickém vyuˇzit´ı RFID. Uˇzivatel pro- kazuje svoj´ı identitu pomoc´ı RFID karty, kterou pˇrikládá ke ˇcteˇcce. ˇCteˇcka z karty z´ıská identifikátor uˇzivatele a pˇredá jej do dalˇs´ı vrstvy aplikace. Následnˇe je pro- vedena autentizace, napˇr´ıklad ovˇeˇren´ım pomoc´ı dotazu do databáze s daným iden- tifikátorem uˇzivatele. V kladném pˇr´ıpadˇe je uˇzivatel autorizován a jsou napˇr´ıklad otevˇreny vstupn´ı dveˇre, nebo vykonána jiná ˇcinnost.

Samozˇrejmˇe bezdrátová komunikace m˚uˇze být pˇrij´ımána libovolným správnˇe na- staveným zaˇr´ızen´ım v dosahu a do komunikace m˚uˇze být také zasahováno z nelegitimn´ıho zaˇr´ızen´ı. Obecnˇe mohou být na bezdrátovˇe komunikuj´ıc´ı zaˇr´ızen´ı provádˇeny následujc´ı útoky:

1. Odposlech

2. Opakov´an´ı (replay attack)

3. Ruˇsen´ı komunikace, pˇr´ıpadnˇe jiná forma DOS² útoku 4. Neoprávnˇené ˇcten´ı a zápis

1Radio Frequency Identification

2Denial of Service

(15)

Reader

Application Application

Antenna

Transponder

Antenna

RFID Middleware

Energy Timing Data

Obr´azek 1.1: Typick´y pˇr´ıpad pouˇzit´ı RFID

K zamezen´ı prostého odposloucháván´ı komunikace útoˇcn´ıkem je standard Mi- fare Classic vybaven proudovou ˇsifrou Crypto-1. Veˇskerá komunikace mezi trans- pondérem a legitimn´ı ˇcteˇckou je ˇsifrovaná a útoˇcn´ık ji bez znalosti kl´ıˇce nedokáˇze deˇsifrovat. Tato forma obrany vˇsak nen´ı úˇcinná, pokud v dané aplikaci je uˇzivatel rozpoznáván pouze na základˇe identifikátoru karty, který je pˇrenáˇsen v ˇcistém textu.

Pˇri provádˇen´ı opakovac´ıho útoku (replay attack) útoˇcn´ık pˇrehrává komunikaci, kterou dˇr´ıve z´ıskal odposlechem komunikace mezi transpondérem a legitimn´ıˇcteˇckou.

Utoˇcn´ık dokonce ani nemus´ı b´´ yt schopen z´ıskat obsah komunikace, ponˇevadˇz mu staˇc´ı znát pouze význam. Obrana je zde ˇreˇsena pomoc´ı autentizace bloku ˇc´ıslem z generátoru pseudonáhodných ˇc´ısel. ˇSifrovaná komunikace pak vypadá pokaˇzdé ji- nak³.

Ponˇevadˇz by obrana proti zámˇernému ruˇsen´ı komunikace byla obt´ıˇzná, a tedy i nákladná, tak také nijak nen´ı ˇreˇsena. Proti DOS útok˚um, jako je napˇr´ıklad pouˇzit´ı velkého upravených mnoˇzstv´ı karet, je moˇzné se bránit na úrovni konkrétn´ı aplikace.

Proti neoprávnˇenému ˇcten´ı (identifikace osob) ˇci zmˇenˇe (zvýˇsen´ı z˚ustatku, sn´ıˇzen´ı ceny zboˇz´ı) je technologie Mifare Classic chránˇena výˇse zm´ınˇeným ˇsifrován´ım. Bez znalosti kl´ıˇce by nemˇelo j´ıt s pamˇet´ı jakkoliv manipulovat.

Na trhu se objevuj´ı r˚uzné implementace transpondér˚u tohoto standardu, které maj´ı r˚uznou úroveˇn zranitelnosti. Tato práce se zabývá analýzou bezpeˇcnostn´ıch nedostatk˚u a návrhem nástroje, který by umoˇzˇnoval v rámci moˇznost´ı technologie bezpeˇcnost testovat.

3Z´aleˇz´ı na rozsahu gener´atoru

(16)

2 Mifare Classic

Mifare Classic je aplikaˇcn´ı protokol postavený nad transportn´ı vrstvou realizova- nou RFID standardem ISO 14443. Mifare Classic popisuje organizaci pamˇeti trans- pondéru, komunikaˇcn´ı protokol na aplikaˇcn´ı vrstvˇe a ˇsifrován´ı pˇrenosu.

2.1 Antikolizn´ı protokol

Antikolizn´ı protokol slouˇz´ı k výbˇeru jednoho z transpondér˚u, které jsou v dosahu vys´ılaˇce.

Po vloˇzen´ı transpondéru do elektromagnetického pole vys´ılaˇce transpondér ˇceká na výzvu k zahájen´ı svého ohláˇsen´ı ˇcteˇcce. D´ıky tomuto pˇr´ıstupu se nem˚uˇze stát, ˇze zaˇr´ızen´ı vys´ılala souˇcasnˇe.

Cteˇcka v pravideln´ˇ ych intervalech odes´ılá 7bitový pˇr´ıkaz pro identifikaci REQA¹. Po pˇr´ıjmu vˇsechny transpondéry v dosahu najednou odeˇslou odpovˇed’ ATQA² a pˇrestanou vys´ılat aˇz do následuj´ıc´ıho vyzván´ı.

T´ım zaˇc´ıná antikolizn´ı smyˇcka, jej´ıˇz smyslem je z´ıskat identifikátory UID³ vˇsech dostupných zaˇr´ızen´ı. Kroky antikolizn´ı smyˇcky jsou následuj´ıc´ı:

1. ˇCteˇcka odeˇsle pˇr´ıkaz SEL (Anti-collision CL1) 2. Vˇsechny dostupné transpondéry odeˇslou své UID 3. ˇCteˇcka odeˇsle pˇr´ıkaz SEL UID (Select CL1)

4. Vybraný transpondér odeˇsle identifikátor standardu.

V pˇr´ıpadˇe, ˇze bylo v dosahu v´ıce zaˇr´ızen´ı, tak mohlo v bodˇe 2 doj´ıt ke kolizi.

Kolize je detekována jako vysoká úroveˇn po celou dobu hodinového taktu. ˇCteˇcka zvol´ı hodnotu prvn´ıho bitu – prefix UID a odeˇsle znovu poˇzadavek na identifikaci,

1Request Command, Type A

2Answer To Request

3Unique IDentifier

(17)

nav´ıc pˇripoj´ı prefix. Ted’ vˇsak odpov´ıdaj´ı jiˇz jen zaˇr´ızen´ı s dan´ym prefixem. Tento postup opakuje, dokud ˇcteˇcka nez´ısk´a UID vˇsech zaˇr´ızen´ı v dosahu.

Vytváˇren´ı modulace signálu a problém s kolizemi ˇreˇs´ı automaticky ovladaˇc v jádru a pouˇzitý integrovaný obvod PN532.

V´ıce detail˚u ohlednˇe modulace, kódován´ı a ˇreˇsen´ı koliz´ı lze nalézt v normˇe (ISO 14443-3) a dokumentaci k Mifare Classic od NXP Semiconductors (NXP Semicon- ductors, 2014).

Ve vytvoˇrené aplikaci je moˇzné vyuˇz´ıt antikolizn´ı protokol ˇr´ızený samotným ovladaˇcem a knihovnou Libnfc, nebo vyuˇz´ıt ˇcip PN532 pouze pro generován´ı modulace a samotný antikolizn´ı protokol provést ruˇcnˇe. To m˚uˇze být vhodné napˇr´ıklad, pokud je nutné pr˚ubˇeh ˇr´ıdit manuálnˇe nebo je potˇreba m´ıt detailn´ı výpisy (pˇri au- tomatickém pr˚ubˇehu pomoci hardwaru nen´ı moˇzné detaily z´ıskat).

V´ystup pˇri softwarov´em ˇr´ızen´ı antikolizn´ıho protokolu je uveden v tabulce 2.1.

Tabulka 2.1: Pr˚ubˇeh antikolizn´ıho protokolu

Akce Hex V´yznam

Sent bits: 26 (7 bits) Request type A

Received bits: 04 00 Response type A

Sent bytes: 93 20 Select All

Received bytes: 7d e7 c1 78 23 UID

Sent bytes: 93 70 7d e7 c1 78 23 6b 2e Select UID

Received bytes: 08 b6 dd Mifare Classic 1k

2.2 Organizace pamˇ eti

Datová pamˇet’ je u karet technologie Mifare Classic realizována pamˇet´ı typu EEPROM⁴ o velikosti 1 kB. Pamˇet’ (Obrázek 2.1) je rozdˇelena do ˇsestnácti ˇctyˇrblokových sektor˚u. Kaˇzdý sektor se skládá ze ˇctyˇr blok˚u, do kterých lze uloˇzit aˇz 16 bajt˚u aplikaˇcn´ıch dat.

Prvn´ı sektor prvn´ıho bloku je rezervov´an v´yrobcem pro uloˇzen´ı provozn´ıch informac´ı.

2.2.1 Blok v´ yrobce

V sektoru 0 se v bloku 0 nacház´ı prvn´ı datový blok. Tento blok je rezervován výrobcem pro uloˇzen´ı informac´ı o kartˇe, z nichˇz nejd˚uleˇzitˇejˇs´ı informac´ı je ˇc´ıslo

4Electrically Erasable Programmable Read-Only Memory

(18)

UID, BCC, Manufacturer data Data block Data block Key A, Access conditions, Key B

Data block Data block Data block Key A, Access conditions, Key B

Data block Key A, Access conditions, Key B

Sector trailer

0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0xf0 0xff

Sector 0x00 4 blocks 64 bytes Sector 0x01 4 blocks 64 bytes

Obr´azek 2.1: Organizace pamˇeti

NUID⁵ uloˇzen´e na prvn´ıch ˇctyˇrech bajtech.

Tento identifikátor je pouˇzit pro rozliˇsen´ı jednotlivých zaˇr´ızen´ı pˇri provádˇen´ı antikolizn´ıho protokolu. Podle dokumentace (NXP Semiconductors, 2011) nemus´ı být tento identifikátor nutnˇe unikátn´ı.

Výrobce pˇri produkˇcn´ım testu tento blok naprogramoval a jiˇz nen´ı moˇzné jeho obsah mˇenit nehledˇe na nastaven´ı pˇr´ıstupových bit˚u (NXP Semiconductors, 2011).

2.2.2 Datov´ y blok

Pro uloˇzen´ı aplikaˇcn´ıch dat je moˇzné vyuˇz´ıvat datové bloky. V kaˇzdém boku je k dispozici 16 bajt˚u, které jsou ve výchoz´ı konfiguraci vyuˇzitelné vˇsechny.

Datový blok m˚uˇze být nakonfigurován do ˇctyˇrbajtového reˇzimu nazývaného

”value block“, pro tuto práci vˇsak nen´ı tato vlastnost pˇr´ıliˇs d˚uleˇzitá. V´ıce informac´ı lze nalézt v (NXP Semiconductors, 2011, s. 9).

5Non-Unique IDentifier

(19)

2.2.3 Konfiguraˇ cn´ı blok

Kaˇzdý ze ˇsestnácti sektor˚u obsahuje jeden konfiguraˇcn´ı blok nazývaný sector trailer.

V tomto bloku jsou uloˇzeny ˇsifrovac´ı kl´ıˇce (Key A a Key B) a pˇr´ıstupová práva k jednotlivým blok˚um daného sektoru. Konfiguraˇcn´ı blok je zobrazen na obrázku 2.2.

Key A

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Key B Access Bits

Obr´azek 2.2: Konfiguraˇcn´ı blok

Pokud aplikace nevyuˇz´ıvá kl´ıˇc B, tak je moˇzné na pˇr´ısluˇsné pamˇet’ové m´ısto po správném nastaven´ı pˇr´ıstupových práv uloˇzit aplikaˇcn´ı data. Data mohou být uloˇzena také na devátém bajtu a podle (NXP Semiconductors, 2011) pro nˇe plat´ı stejná oprávnˇen´ı jako pro bajty ˇc´ıslo 6, 7 a 8. Je nutné, aby byl vˇzdy dodrˇzen formát konfiguraˇcn´ıch bit˚u pro nastaven´ı pˇr´ıstupových práv.

2.3 Ochrana pamˇ eti

ˇSifrovac´ı kl´ıˇce A a B slouˇz´ı pouze k ˇsifrován´ı pˇrenosu, samotná data jsou v pamˇeti uloˇzena v podobˇe ˇcistého textu. Standard Mifare Classic umoˇzˇnuje pomoc´ı tˇr´ı bit˚u nastavit následuj´ıc´ı oprávnˇen´ı:

• ˇCten´ı kl´ıˇcem X

• Z´apis kl´ıˇcem X

• ˇCten´ı obˇema kl´ıˇci

• Z´apis obˇema kl´ıˇci kde X je A, nebo B.

Na obrázku 2.3 jsou znázornˇeny jednotlivé bity konfiguraˇcn´ıho registru. Pro kaˇzdý bit Ci,j plat´ı, ˇze i je pozice konfiguraˇcn´ıho bitu a j znaˇc´ı pˇr´ısluˇsnost k bloku.

Jednotlivé bity jsou zde uloˇzeny v normáln´ı podobˇe jako Ci,j a v invertované podobˇe Ci,j. Podle citeMF1S503x, 11 pˇri kaˇzdém pˇr´ıstupu do pamˇeti intern´ı logika ovˇeˇruje strukturu. Pokud detekuje poruˇsen´ı formátu, tak nevratnˇe zablokuje celý sektor.

(20)

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Key A Access Bits Key B (optional)

C23 C22 C21 C20 C13 C12 C11 C10

C13 C12 C11 C11 C33 C32 C31 C30

C3₃ C3₂ C3₁ C3₀ C2₃ C2₂ C2₁ C2₀

User data Byte number

Description

Bit 7 Byte 6 Byte 7

Byte 8

Byte 9

Bit 6 Bit 5 Bit 4 Bit 3 Bit 2 Bit 1 Bit 0

Obr´azek 2.3: Konfigurace pˇr´ıstupu

2.4 Pˇr´ıkazy aplikaˇ cn´ıho protokolu

Pˇr´ıkazy (uvedené v tabulce 2.2) aplikaˇcn´ıho protokolu byly z´ıskány pomoc´ı reverzn´ıho inˇzenýrstv´ı a publikovány v práci (Nohl et al., 2008). V souˇcasné dobˇe je moˇzné z´ıskat detaln´ı popis vˇsech pˇr´ıkaz˚u i s pouˇzitým ˇcasován´ım z oficiáln´ı dokumentace (NXP Semiconductors, 2011).

Tabulka 2.2: Pˇr´ıkazy Mifare Classic Pˇr´ıkaz Hex Popis

AUTH A 60 xx CRC Autentizace bloku xx kl´ıˇcem B AUTH B 61 xx CRC Autentizace bloku xx kl´ıˇcem B READ 30 xx CRC Cten´ı bloku xxˇ

WRITE A0 xx CRC Z´apis bloku dat do bloku xx HALT 50 00 CRC Vypnut´ı transpond´eru

ACK A Potvrzeno

NACK 4 Zam´ıtnuto

NACK 5 Zam´ıtnuto (chyba pˇrenosu)

2.5 Zabezpeˇ cen´ı pˇrenosu

Norma ISO 14443A pˇredepisuje, ˇze za kaˇzdým datovým bajtem mus´ı následovat jeden bit liché parity. Pokud komunikace jiˇz prob´ıhá ˇsifrovanˇe, tak je paritn´ı bit zaˇsifrován stejným bitem proudu kl´ıˇce jako následuj´ıc´ı datový bit. V tomto formátu

(21)

jsou data pˇrenáˇsena nejen pˇri bˇeˇzné komunikaci, ale také pˇri provádˇen´ı auten- tizaˇcn´ımho protokolu.

Na obrázku 2.4 je schématicky zobrazen výpoˇcet hodnoty paritn´ıho bitu a jeho ˇsifrován´ı v druhém kroku autentizaˇcn´ıho protokolu.

Na aplikaˇcn´ı vrstvˇe je pak dalˇs´ı zabezpeˇcen´ı správnosti pˇrenosu zajiˇstˇeno pomoc´ı 16bitového CRC⁶, které vˇsak nemus´ı být nutnˇe pˇridáváno za kaˇzdý blok dat.

Programátor koncové aplikace nemus´ı tato zabezpeˇcen´ı pˇrenosu manuálnˇe ˇreˇsit v programu, pokud to nen´ı vyˇzadováno, ponˇevadˇz o generován´ı a kontrolu správnosti paritn´ıch bit˚u se stará sám integrovaný obvod ve ˇcteˇcce. Kontroln´ı souˇcet CRC pak m˚uˇze být taktéˇz generován ˇcipem.

{nR,16 … nR,23} {p2} {nR,8 … nR,15} {p1}

{nR,0 … nR,7} {p0} {nR,24 … nR,31} {p3}

nR,16 … nR,23 p2

nR,8 … nR,15 p1

nR,0 … nR,7 p0 nR,24 … nR,31 p3

1 1 1 1

nT,16 … nT,23 p2

nT,8 … nT,15 p1

nT,0 … nT,7 p0 nT,24 … nT,31 p3

b32 … b39 b40 … b47 b48 … b55 b56 … b63

nT

nR

{nR}

ks1

Obrázek 2.4: Výpoˇcet parity a jej´ı ˇsifrován´ı

6Cyclic Redundancy Check

(22)

3 Crypto1

3.1 Gener´ ator pseudon´ ahodn´ ych ˇ c´ısel

Pˇri autentizaci blok˚u Mifare Classic pouˇz´ıv´a protokol zaloˇzen´y na challenge-response.

Kaˇzd´a strana tedy mus´ı m´ıt moˇznost vygenerovat 32bitovou autentizaˇcn´ı hodnotu nonce oznaˇcovanou jako nT resp. nR.

Z bezpeˇcnostn´ıch d˚uvod˚u je nutné, aby tato hodnota byla náhodná, proto na obou komunikuj´ıc´ıch zaˇr´ızen´ıch mus´ı být pˇr´ıtomen mechanismus ke generován´ı náhodných resp. psudonáhodných ˇc´ısel . Generátor pouˇzitý v zaˇr´ızen´ıch standardu Mifare Clas- sic m˚uˇze být popsán pomoc´ı generuj´ıc´ıho polynomu G(x) = x¹⁶+ x¹⁴+ x¹³+ x¹¹+ 1.

Definice 1 Funkce zpˇetné vazby generátoru L : F₂³² → F2 je definována jako L(x0, ..., x31) = x16⊕ x18⊕ x19⊕ x21

Definice 2 Funkce F₂³² → F2³² pro v´ypoˇcet odpovˇedi pˇri autentizaci je definov´ana jako

suc(x0, ..., x31) = (x1, ..., x31, L(x0, ..., x31)) sucⁿ(x0, ..., x31) = sucⁿ⁻¹(suc(x0, ..., x31))

Definice 3 Hodnota je platnou hodnotou pro autentizaci tehdy a jen tehdy, kdyˇz

∀k ∈ {0, 1, ..., 15} : n^k⊕ n^k+2⊕ n^k+3⊕ n^k+5⊕ n^k+16= 0

V samotném ˇcipu je tento PRNG¹ implementován pomoc´ı posuvného registru (Obrázek 3.1) s lineárn´ı zpˇetnou vazbou (Definice 1).

V r´amci autentizaˇcn´ıho protokolu jsou poˇc´ıt´any odpovˇedi podle definice 2.

Podle (Garcia et al., 2008) závis´ı pˇri komunikaci okamˇzik generován´ı nové hodnoty na stranˇe, kde je generátor pouˇzit. V pˇr´ıpadˇe ˇcteˇcky je nová hodnota gene- rována aˇz pˇri poˇzadavku na nové náhodné ˇc´ıslo, oproti tomu transpondér vytváˇr´ı novou hodnotu s kaˇzdou nábˇeˇznou hranou hodinového signálu.

Dále je d˚uleˇzité zm´ınit, ˇze po restartu zaˇr´ızen´ı generátor vytváˇr´ı pokaˇzdé stejnou sekvenci pseudonáhodných hodnot.

1Pseudorandom Number Generator

(23)

LFSR

16 18 19 21

32 bit value

Obrázek 3.1: Generátor pseudonáhodných ˇc´ısel

3.2 Proudov´ a ˇsifra

Pro ˇsifrován´ı komunikace v Mifare Classic je pouˇzita proprietárn´ı ˇsifra Crypto1 (Obrázek 3.2).

Oficiáln´ı implementace této ˇsifry nebyla nikdy výrobcem zveˇrejnˇena a je k dispozici pouze popis z´ıskaný pomoc´ı reverzn´ıho inˇzenýrstv´ı v prac´ıch (Garcia et al., 2008) a (Nohl et al., 2008).

ˇSifra Crypto1 je velice jednoduchá proudová ˇsifra tvoˇrená registrem s lineárn´ı zpˇetnou vazbou a výstupn´ımi filtrovými funkcemi.

LFSR

input

0 5 9 10 12 14 15 17 19 24 25 27 29 35 39 41 42 43

39

37 41 43 45 47

21 23 25 27 29 31 33 35 9 11 13 15 17 19

fa fb fb fa fb

fc

keystream plaintext

ciphertext

Obr´azek 3.2: ˇSifra Crypto1

Pro odvozen´ı n´asleduj´ıc´ıho stavu posuvn´eho registru je pouˇzit generuj´ıc´ı polynom G(x) = x⁴⁸+ x⁴³+ x³⁹+ x³⁸+ x³⁶+ x³⁴+ x³³+ x³¹+ x²⁹+ x²⁴+ x²³+ x²¹+ x¹⁹+ x¹³+ x⁹+ x⁷+ x⁶+ x⁵+ 1.

(24)

Definice 4 Funkce zpˇetn´e vazby L : F₂⁴⁸→ F2 je definov´ana jako

L(x₀, x₁, x₄₇) = x₀⊕ x5⊕ x9⊕ x10⊕ x12⊕ x14⊕ x15⊕ x17⊕ x19⊕ x24⊕ x25⊕ x27⊕ x29⊕ x³⁵⊕ x³⁹⊕ x⁴¹⊕ x⁴²⊕ x⁴³

Definice 5 Výstupn´ı nelineárn´ı funkce f : F₂⁴⁸→ F² je definována pˇredpisem f (x0, x1, ..., x47) = fc(

fa(x9, x11, x13, x15), fb(x17, x19, x21, x23), fb(x25, x27, x29, x31), fa(x33, x35, x37, x39), fb(x41, x43, x45, x47))

Definice 6 Filtrové funkce fa, fb a fc jsou definovány následnovnˇe fa(y0, y1, y2, y3) = ((y0∨ y1)⊕ (y0∧ y3))⊕ (y2∧ ((y0⊕ y1)∨ y3)) f_b(y₀, y₁, y₂, y₃) = ((y₀∧ y1)∨ y2)⊕ ((y0⊕ y1)∧ (y2∨ y3)

f_c(y₀, y₁, y₂, y₃, y₄) = (y₀∨((y1∨y4)∧(y3⊕y4)))⊕((y0⊕(y1∧y3))∧((y2⊕y3)∨(y1∧y4))) Tvrzen´ı 1 Vˇsechny filtrové funkce generuj´ı hodnotu logická 1 s pravdˇepodobnost´ı¹₂. D˚ukaz 1 Necht’ y₀, y₁, y₂ a y₃ ∈ F2 jsou jsou náhodné s rovnomˇerným rozdˇelen´ım a navzájem nezávislé promˇenné. Pak pravdˇepodobnost P r[f_a(y₀, y₁, y₂, y₃) = 1] =

= P r[(((y0∨ y¹)⊕ (y⁰∧ y³))⊕ (y²∧ ((y⁰⊕ y¹)∨ y³))) = 1] =

= P r[(y0∨ y¹)⊕ (y⁰∧ y³)6= (y²∧ ((y⁰⊕ y¹)∨ y³))]

y0 = 0, y1 = 0 :

P r[06= y2∧ y3] = P r[y2∧ y3 = 1] = P r[y2 = 1]∧ P r[y3 = 1] = ¹₂ · ¹₂ = ¹₄

y0 = 0, y1 = 0 :

P r[1⊕ 0 6= (y2∧ (1 ∨ y3))] = P r[16= y2] = P r[y₂ = 0] = ¹₂

y0 = 1, y0 = 0 :

P r[1⊕ y³ 6= y²∧ 1] = P r[y³⊕ 1 6= y²] = P r[¬y³ 6= y²] = P r[y3 =2] = P r[y3 = 0|y² = 0] + P r[y3 = 1|y² = 1] = ¹₂ · ¹₂ + ¹₂ · ¹₂ = ¹₂

y0 = 1, y0 = 1 :

P r[1⊕ y3 6= y2∧ (0 ∨ y3)] = P r[y3⊕ 1 6= y2∧ y3] = P r[y3 = y2∧ y3] = 1− P r[y2 = 0]· P r[y3 = 1] = 1− ¹₂ · ¹₂ = 1−¹₄ = ³₄

(25)

A celkem tedy z´ısk´av´ame P r[f_a(y₀, y₁, y₂, y₃) = 1] = ¹₄ · ¹₄ + ¹₄ · ¹₂ + ¹₄ · ¹₂ + ¹₄ · ³₄ =

1

16 +¹₈ + ¹₈ +₁₆³ = ¹₂. Obdobnˇe lze tvrzen´ı dok´azat pro ostatn´ı filtrov´e funkce.

Pˇri kaˇzdé hranˇe hodinového signálu² je celý registr posunut doleva a na pozici nejménˇe významného bitu r47 je zapsána hodnota ze zpˇetnovazebn´ı funkce L(x).

Pokud v ˇcase k je stav LFSR³ r_k, r_k+1, ..., r_k+47 a vstupn´ı bit je i, pak v ˇcase k + 1 je stav registru r_k+1, r_k+2, r_k+3, ..., r_k+48.

Hodnota bitu nejv´ıce vpravo je rk+48= xr⊕ x^r+5⊕ x^r+9⊕ x^r+10⊕ x^r+12⊕ x^r+14⊕ xr+15⊕ x^r+17⊕ x^r+19⊕ x^r+24⊕ x^r+25⊕ x^r+27⊕ x^r+29⊕ x^r+35⊕ x^r+39⊕ x^r+41⊕ x^r+42⊕ xr+43⊕ i.

Vstupn´ı bit i je vyuˇzit pouze pˇri inicializaci (Obrázek 3.3). Pˇri bˇeˇzném provozu se registr vyv´ıj´ı jen na základˇe aktuáln´ıho stavu.

0/1 first 32 clock ticks

Obr´azek 3.3: Inicializace ˇsifry Crypto1

Aktuáln´ı hodnota proudu kl´ıˇce je vypoˇctena ze stavu posuvného registru. ˇCtveˇrice vybraných bit˚u jsou pˇredány do filtrových funkc´ı fa a fb. Z nich je z´ıskáno pˇet hodnot, které jsou pˇredány výstupn´ı filtrové funkci fc vracej´ıc´ı jeden bit proudu kl´ıˇce.

Pro ˇsifrován´ı ˇci deˇsifrován´ı je proveden exkluzivn´ı souˇcet proudu kl´ıˇce s ˇcistým textem.

2V pˇr´ıpadˇe ˇcteˇcky pˇri poˇzadavku na novou hodnotu nikoliv hranˇe hodinov´eho sign´alu.

3Linear Feedback Shift Register

(26)

3.3 Autentizaˇ cn´ı protokol

Po vybrán´ı transpondéru bˇehem antikolizn´ıho protokolu je moˇzné dále pokraˇcovat v komunikaci pouze dvˇema zp˚usoby. Prvn´ı moˇznost´ı je ukonˇcen´ı komunikace odeslán´ım pˇr´ıkazu HALT a druhou moˇznost´ı je provést autentizaˇcn´ı protokol.

Pomoc´ı tohoto protokolu, který je typu výzva-odpoved’ (challenge-response), obˇe strany prokazuj´ı znalost sd´ıleného symetrického kl´ıˇce. Pokud jedna ze stran kl´ıˇc nezná, tak protokol nen´ı úspˇeˇsnˇe dokonˇcen a nelze ˇc´ıst data.

Pˇri autentizaˇcn´ım protokolu jsou provedeny n´asleduj´ıc´ı kroky:

1. ˇCteˇcka zas´ıl´a poˇzadavek na autentizaci bloku kl´ıˇcem A, nebo B.

2. Transpondér na základˇe konfiguraˇcn´ıch bit˚u poˇzadavek zam´ıtne a odeˇsle chy- bovou hláˇsku v ˇcistém textu. Pokud je poˇzadavek platný, tak pˇreˇcte z PRNG náhodné ˇc´ıslo nT a odeˇsle ho protistranˇe.

Obˇe strany nyn´ı maj´ı k dispozici symetrický kl´ıˇc K, identifikátor UID a hodnotu výzvy nT. Do registru ˇsifry Crypto1 je pˇr´ımo naˇcten kl´ıˇc K a následnˇe je postupnˇe pomoc´ı zpˇetné vazby naˇctena hodnota uid⊕ nT.

Dalˇs´ı komunikace od t´eto chv´ıle prob´ıh´a ˇsifrovanˇe.

3. ˇCteˇcka vygeneruje svoj´ı vlastn´ı výzvu nR a nahraje ji postupnˇe pomoc´ı zpˇetné vazby do registru. Je d˚uleˇzité poznamenat, ˇze hodnota nRtedy pˇr´ımo ovlivˇnuje generovaný proud kl´ıˇce a pˇri ˇsifrován´ı nR. Tedy bity v´ıce vlevo ovlivˇnuj´ı bity v´ıce vpravo.

Cteˇcka vypoˇcte odpovˇed’ aˇ R na výzvu transpondéru nT a odeˇsle ji spoleˇcnˇe s výzvou nR.

4. Transpond´er vypoˇcte aT na v´yzvu nR a odeˇsle ji ˇsifrovanˇe ˇcteˇcce.

5. Stav ˇsifry je na obou stranách stejný a je tedy moˇzné datový pˇrenos ˇsifrovat.

Od této chv´ıle se stav ˇsifry vyv´ıj´ı jiˇz pouze na základˇe zpˇetné vazby.

Reálný pr˚ubˇeh autentizace je znázornˇen v tabulce 3.1.

(27)

Tabulka 3.1: Pr˚ubˇeh autentizaˇcn´ıho protokolu

Akce Hex V´yznam

Sent bytes: 60 30 76 4a auth(block 30)

Received bytes: 42 97 c0 a4 nT

Sent bytes: 7d db 9b 83 67 eb 5d 83 nR⊕ ks1, aR⊕ ks2

Received bytes: 8b d4 10 08 aT ⊕ ks3

3.4 Zranitelnosti

Nedostatky v návrhu technologie Mifare Classic vedly k objeven´ı mnoha zranitelnost´ı a jejich vyuˇzit´ı v konkrétn´ıch útoc´ıch. Prvn´ı útoky vyˇzadovaly aktivn´ı sbˇer dat pˇri komunikaci mezi legitimn´ı ˇcteˇckou a transpondérem (Koning Gans et al., 2008), avˇsak pozdˇeji byly objeveny i útoky, které odposlouháván´ı komunikace jiˇz nevyˇzaduj´ı (Garcia et al., 2009) a (Courtois, 2009).

Slabiny pak lze rozdˇelit do skupin podle m´ısta v´yskytu:

1. Slabiny v generátoru pseudonáhodných ˇc´ısel – umoˇzˇnuj´ı manipulaci s generovanou hodnotou, která pak jiˇz nen´ı náhodná

2. Slabiny samotné ˇsifrovac´ı funkce – slabiny v samotné proudové ˇsifˇre a jej´ı výstupn´ı funkci

3. Slabiny v komunikaˇcn´ım protokolu – zranitelnosti vzniklé nesprávným vyuˇzit´ım ˇsifry vedouc´ı k úniku bit˚u proudu kl´ıˇce

4. Slabiny v implementaci standardu – chyby, kterých se dopustili výrobci pˇri ne- správné implementaci standardu Mifare Classic. Tyto chyby napˇr´ıklad mohou umoˇzˇnovat vyˇsˇs´ı m´ıru zranitelnosti ˇci m˚uˇze docházet k úniku vyˇsˇs´ıho mnoˇzstv´ı informace o kl´ıˇci ˇci ˇcistém textu.

3.4.1 N´ızk´ a entropie gener´ atoru pseudon´ ahodn´ ych ˇ c´ısel

Generátor pseudonáhodných ˇc´ısel pouˇzitý v Mifare Classic má dvˇe m´ısta zranitelnosti – krátkou generovanou sekvenci a resetován´ı do výchoz´ı hodnoty.

Popis zranitelnosti

Ke generován´ı 32bitových hodnot nonce pouˇzitých pro autentizaci je pouˇzit PRNG, který je sice definován jako 32bitový LFSR, ale pro vytvoˇren´ı následuj´ıc´ı hodnoty se vyuˇz´ıvá pouze ˇcást bit˚u a generátor se pak chová jako 16bitový (Garcia et al., 2008).

(28)

Generuje tak sekvenci 65536 ˇc´ısel, kter´a je podle (Nohl et al., 2008) vygenerov´ana za 0.6 sekundy.

Dalˇs´ım problémem je nesmyslné rozhodnut´ı návrháˇr˚u obvodu resetovat hodnotu do poˇcáteˇcn´ı pevnˇe dané hodnoty (Nohl et al., 2008). Toto rozhodnut´ı nejenˇze niˇc´ı náhodnost z´ıskanou pˇredchoz´ı komunikac´ı a dˇelá tak generátor vlastnˇe determinis- tickým, ale nav´ıc vyˇzaduje nav´ıc hardware pro nastavován´ı poˇcáteˇcn´ı hodnoty.

A posledn´ı zneuˇzitelnou vlastnost´ı tohoto návrhu je doba vytvoˇren´ı nové hodnoty – u transpondéru s hodinovým signálem a u ˇcteˇcky pˇri poˇzadavku na hodnotu.

Bezpeˇcnostn´ı d˚usledek

D´ıky výˇse zm´ınˇeným nedostatk˚um v návrhu je moˇzné provádˇet útoky na trans- pondér, ponˇevadˇz útoˇcn´ık je schopen pouhým vyp´ınán´ım a zap´ınán´ım elektromag- netického pole kontrolovat hodnotu vyuˇz´ıvanou pˇri autentizaci blok˚u.

Pˇri útoku na ˇcteˇcku je d´ıky determinismu PRNG situace jeˇstˇe jednoduˇsˇs´ı (za pˇredpokladu, ˇze nen´ı pouˇzit extern´ı generátor pseudonáhodných ˇc´ısel).

Moˇznost testov´an´ı

Pˇri pouˇzit´ı bˇeˇzné ˇcteˇcky nam´ısto specializovaného hardwaru je obt´ıˇzné dosáhnout pˇresného ˇr´ızen´ı ˇcasových interval˚u mezi zapnut´ım a vypnut´ım generátoru.

0.0 0.5 1.0 1.5 2.0 2.5 3.0 3.5 4.0

1e9 0.0

0.2 0.4 0.6 0.8 1.0

Pr

nonce

Obr´azek 3.4: ˇCetnosti hodnot bez virtualizace

(29)

Tento problém lze ˇcásteˇcnˇe kompenzovat vytvoˇren´ım statistiky a dosáhnout konstatn´ı hodnoty zhruba ve 35 % pˇr´ıpad˚u. Hodnota s touto pravdˇepodobnost´ı byla nalezena vygenerován´ım 10000 náhodných hodnot a následným vypoˇcten´ım histo- gramu (Obrázek 3.4).

Nav´ıc byl objeven problém s ˇcasován´ım ve virtualizovaném systému pomoc´ı nástroje VMWare Workstation 10.0. Na obrázku 3.5 jsou zobrazeny ˇcetnosti jed- notlivých hodnot pˇri pouˇzit´ı z virtualizovaného systému.

0.0 0.5 1.0 1.5 2.0 2.5 3.0 3.5 4.0

1e9 0.0

0.2 0.4 0.6 0.8 1.0

Pr

nonce

Obr´azek 3.5: ˇCetnosti hodnot s virtualizac´ı

Utoˇcn´ık pak pro z´ıskán´ı vhodné konstatn´ı hodnoty nonce mus´ı provést následuj´ıc´ı´ kroky:

1. Zapnut´ı nap´ajen´ı

2. Proveden´ı antikoliz´ıho protokolu 3. Odesl´an´ı poˇzadavku autentizace 4. Vypnut´ı nap´ajen´ı

5. Uloˇzen´ı hodnoty

Tento postup provede pˇri pouˇzit´ı generické ˇcteˇcky 1000krát a vybere hodnotu s nejvyˇsˇs´ı ˇcetnost´ı, kterou následnˇe m˚uˇze pouˇz´ıt pro dalˇs´ı ˇcásti útoku. V pˇr´ıpadˇe

(30)

pouˇzit´ı specializovaného hardwaru nen´ı nutné provádˇet dotaz˚u tolik, ponˇevadˇz je moˇzné napˇr´ıklad pomoc´ıˇc´ıtaˇc˚u v FPGA⁴generovat intervaly nesrovnatelnˇe pˇresnˇejˇs´ı neˇz na poˇc´ıtaˇci bez systému reálného ˇcasu.

Obdobný postup byl pouˇzit ve vytvoˇreném nástroji (kód 3.1) jako souˇcást detekce vadných implementac´ı standardu Mifare Classic.

Zdrojový kód 3.1: Z´ıskán´ı hodnoty s nejvyˇsˇs´ı ˇcetnost´ı výskytu

1 for(i = 0; i < noncesCount; i++) {

2 nfc_device_set_property_bool(pnd, NP_ACTIVATE_FIELD, true);

3

4 // Select tag

5 anticol(pnd);

6

7 // Get nonce

8 sizeRx = transmit_bytes(pnd, dataTx, dataRx, 4);

9 print_hex(dataRx, sizeRx);

10

11 // Store nonce

12 memcpy(nonces+cursor, dataRx, sizeRx);

13 memset(dataRx, 0, sizeRx);

14 cursor += sizeRx;

15

16 if(sizeRx > MAX_FRAME_LEN) {

17 sizeRx = 0;

18 }

19

20 memset(dataRx, 0, sizeRx);

21

22 nfc_device_set_property_bool(pnd, NP_ACTIVATE_FIELD, false);

23 }

N´avrh ˇreˇsen´ı

Na obou stranách by bylo vhodné zvýˇsit rozsah generátoru zohledˇen´ım druhé ˇcásti bit˚u v generuj´ıc´ı funkci, avˇsak tato úprava nen´ı realizovatelná kv˚uli funkci ovˇeˇruj´ıc´ı platnost výzvy.

4Field Programmable Gate Array

(31)

Aby mohl být generátor pseudonáhodných ˇc´ısel povaˇzován za bezpˇeˇcný, tak by bylo nutné jej uˇcinit nedeterministickým odstranˇen´ım resetován´ı do známé konstantn´ı hodnoty a ˇr´ıdit na obou stranách generátor pouze hodinovým signálem.

Prakticky by pak byla hodnota z generátoru ukládána do nevolatiln´ı pamˇeti a pˇri spuˇstˇen´ı by na tuto hodnotu byl vˇzdy generátor inicializován.

3.4.2 Kontrola integrity dat

Mifare Classic pouˇz´ıvá na transportn´ı vrstvˇe standard ISO/IEC 14443. V normˇe (ISO 14443-3) je pˇredepsáno, ˇze za kaˇzdým pˇreneseným datovým bajtem mus´ı následovat jeden kontroln´ı bit realizovaný lichou paritou.

Pˇri návrhu aplikaˇcn´ı vrstvy vˇsak doˇslo k chybnému pˇredpokladu, ˇze kontrola integrity m˚uˇze být provádˇena na aplikaˇcn´ı vrstvˇe m´ısto na transportn´ı vrstvˇe, jak bylo zamýˇsleno v normˇe (ISO 14443-3).

Popis zranitelnosti

Pˇri implementaci kontroly integrity doˇslo ke vzniku následuj´ıc´ıch nedostatk˚u 1. Výpoˇcet paritn´ıch bit˚u se provád´ı z otevˇreného textu. Tento pˇr´ıstup je ne-

vhodný, ponˇevadˇz docház´ı k úniku informace o ˇcistém textu z paritn´ıch bit˚u.

Definice 7

pj = nT,8j ⊕ ... ⊕ n^T,8j+7⊕ 1 pj+4 = nR,8j⊕ ... ⊕ n^R,8j+7⊕ 1 pj+8 = aR,8j⊕ ... ⊕ a^R,8j+7⊕ 1 pj+12 = aT,8j ⊕ ... ⊕ aT,8j+7⊕ 1

2. Paritn´ı bit je ˇsifrován stejným bitem proudu kl´ıˇce jako následuj´ıc´ı datový bit.

Definice 8 {pj} = pj ⊕ b8+8j

Tento návrh ˇsifrován´ı poruˇsuje jednorázovou tabulkovou ˇsifru (one-time pad) t´ım, ˇze vyuˇz´ıvá jeden stejný bit proudu kl´ıˇce k ˇsifrován´ı dvou bit˚u ˇcistého textu (Obrázek 3.6).

3. Kontrola integrity dat je provádˇena jeˇstˇe pˇred ovˇeˇren´ım znalosti sd´ıleného kl´ıˇce protistranou. Je-li alespoˇn jeden paritn´ı bit chybný, tak transpondér neodpov´ı a zablokuje se jako pˇri proveden´ı pˇr´ıkazu HALT.

(32)

Otevřený text

Proud klíče

0 1 2 3 4 5 6 7 P 0 1 2 3 4 5 6 7

0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7

Datové bity Paritní bit

Obr´azek 3.6: Poruˇsen´ı one-time pad pˇri ˇsifrov´an´ı paritn´ıho bitu

Podle Courtois (2009) pˇri nastaven´ı libovoln´e kombinace hodnot paritn´ıch bit˚u je pravdˇepodobnost 1/256, ˇze transpond´er odpov´ı zaˇsifrovanou konstantn´ı hodnotou NACK (0x5).

Jinými slovy pˇri správném nastaven´ı vˇsech osmi paritn´ıch bit˚u a nesprávné od- povˇedi aR transpondér odpov´ıdá zaˇsifrovanou konstantn´ı hodnotou a útoˇcn´ık takto dokáˇze z´ıskat ˇctyˇri bity proudu kl´ıˇce.

V práci (Courtois, 2009) byla publikována skuteˇcnost, ˇze nˇekteré karty jsou zranitelnˇejˇs´ı neˇz jiné. Tyto slabˇs´ı implementace totiˇz odpov´ıdaj´ı hodnotou NACK s pravdˇepodobnost´ı 1 m´ısto 1/256, neboli na kaˇzdou kombinaci paritn´ıch bit˚u odpov´ı hodnotou NACK. Útoˇcn´ık takto z´ıská ˇctyˇri bity proudu kl´ıˇce s kaˇzdým poˇzadavkem a d´ıky tomu je moˇzné tyto karty prolomit bˇehem nˇekolika vteˇrin⁵.

Utoˇcn´ık m˚´ uˇze udrˇzovat konstantn´ı hodnotu výzvy nT. V pˇr´ıpadˇe, ˇze z´ıskaná hodnota nT odpov´ıdá zvolené hodnotˇe, tak zkus´ı následuj´ıc´ı moˇznost nastaven´ı paritn´ıch bit˚u.

S pravˇepodobnost´ı 1/256 z´ıská hodnotu {0x5}, ze které snadno z´ıská ˇctyˇri po sobˇe jdouc´ı bity proudu kl´ıˇce{0x5} ⊕ 0x5 = ks. Pokud hodnota nT neodpov´ıdá zvolené hodnotˇe, tak transpondér resetuje.

Nav´ıc v rámci autentizaˇcn´ıho protokolu je nahrána výzva nRdo registru ˇsifry pro- tistrany. Kdyˇz je takto útoˇcn´ık schopen odliˇsit výˇse zm´ınˇené dva chybové stavy, tak je mu umoˇznˇeno pˇr´ımo manipulovat s generovaným proudem kl´ıˇce. Tento postup byl vyuˇzit napˇr´ıklad útokem publikovaným v (Garcia et al., 2009), kde je mˇenˇen pouze jeden bit výzvy nR a sledováno, jestli je ovlivnˇen generovaný proud kl´ıˇce. Tento

5Za pˇredpokladu konstantn´ı hodnoty nT.

(33)

´

unik informace pak umoˇzˇnuje naj´ıt urˇcitou hodnotu výzvy, která zmenˇs´ı prostor pro vyhledáván´ı kl´ıˇce hrubou silou.

Tento nedostatek je kl´ıˇcový ve vˇsech publikovaných útoc´ıch, napˇr´ıklad v (Cour- tois, 2009) je popsán útok vyuˇz´ıvaj´ıc´ı tuto slabinu ke sbˇeru informac´ı, které je dále moˇzné vyuˇz´ıt k z´ıskán´ı stavu registru ˇsifry pomoc´ı diferenciáln´ı kryptoanalýzy a následnému vypoˇcten´ı pouˇzitého kl´ıˇce.

V nástroji byl implementován test pro detekci výˇse zm´ınˇených slabých implementac´ı.

Nejdˇr´ıve mus´ı být zaruˇcena platnost pˇredpokladu konstantn´ı hodnoty nT (napˇr´ıklad ˇr´ızen´ım napájen´ı) a následnˇe jsou postupnˇe odeslány dva poˇzadavky s r˚uznými náhodnými kombinacemi paritn´ıch bit˚u.

Pokud na oba tyto poˇzadavky odpov´ı transpond´er hodnotou NACK, tak se jistˇe jedn´a o slabˇs´ı implementaci, ponˇevadˇz pravdˇepodobnost je vyˇsˇs´ı neˇz 1/256.

Funkce provádˇej´ıc´ı detekci chybných implementac´ı je uvedena ve výpisu 3.2.

Zdrojový kód 3.2: Detekce slabých implementac´ı

1 ...

2 nfc_device_set_property_bool(pnd, NP_ACTIVATE_FIELD, true);

3

4 anticol(pnd);

5

6 // Get nonce

7 if( (sizeRx = transmit_bytes(pnd, dataTx, dataRx, 4)) < 0 ) {

9 run = false;

10 continue;

11 }

12

13 // When nonce is equal try parity

14 if(nt[0] == dataRx[0] && nt[1] == dataRx[1] && nt[2] == dataRx[2]

&& nt[3] == dataRx[3]) {

15 // Try parity

16 if( (sizeRx = transmit_bytes_as_bits(pnd, cryptogram, dataRx, 8, parity, NULL)) < 0 ) {

17 nextVariation(parity, 8, 0);

(34)

18 } else {

19 okParity++;

20 run = (okParity > 1) ? false : true;

21 }

22 }

23

25 ...

Zranitelnost lze odstranit zmˇenou ˇsifrovac´ıho schématu (3.7). V této zmˇenˇe je paritn´ı bit poˇc´ıtán aˇz z ˇsifrového textu, aby nedocházelo k úniku informace, a dále je tento bit ˇsifrován samostatným bitem proudu kl´ıˇce (splˇnuje tedy jednorázovou tabulkovou ˇsifru). Tato zmˇena by ovˇsem také vyˇzadovala úpravy v ˇr´ızen´ı ˇsifrovac´ıho obvodu, ponˇevadˇz pro kaˇzdý datový bajt je nutné vygenerovat jeden bit nav´ıc pro ˇsifrován´ı parity.

{nR,16 … nR,23} {p2} {nR,8 … nR,15} {p1}

{nR,0 … nR,7} {p0} {nR,24 … nR,31} {p3}

nR,16 … nR,23

nR,8 … nR,15

nR,0 … nR,7 nR,24 … nR,31

1

nT,16 … nT,23 p2

nT,8 … nT,15 p1

nT,0 … nT,7 p0 nT,24 … nT,31 p3

b32 … b39 b41 … b48 b50 … b57 b59 … b66

nT

nR

{nR}

ks1 b40 b49 b58 b67

7

1

7

1

7

1

7 7

7

Obrázek 3.7: Upravené ˇsifrovac´ı schéma

Teoreticky je odstranˇen´ı této zranitelnosti jednoduché, ale prakticky ho realizovat lze jen s vysokými obt´ıˇzemi, ponˇevadˇz zmˇena protokolu je realizovatelná bez vˇetˇs´ıch zásah˚u jen na stranˇe ˇcteˇcky⁶ zmˇenou softwaru v poskytované knihovnˇe, SDK⁷, nebo

6Nemus´ı nutnˇe platit pro vˇsechna zaˇr´ızen´ı

7Software Development Kit

(35)

pˇr´ımo v konkrétn´ı aplikaci. Na stranˇe transpondéru by pak musel být vymˇenˇen celý integrovaný obvod a nav´ıc by dále bylo zˇrejmˇe nutné ˇreˇsit problémy se zpˇetnou kompatibilitou.

Minimálnˇe by vˇsak mˇelo být moˇzné sjednotit odpovˇed’ pˇri správné a nesprávné kombinaci paritn´ıch bit˚u, aby v obou pˇr´ıpadech doˇslo k zablokován´ı, ˇci odeslán´ı jednotné chybové zprávy v ˇcistém textu. Tuto vlastnost s nejvyˇsˇs´ı pravdˇepodobnost´ı legitimn´ı zaˇr´ızen´ı nevyuˇzij´ı.

3.4.3 V´ ypoˇ cet proudu kl´ıˇ ce pouze z lich´ ych bit˚ u

Aktuáln´ı hodnota proudu kl´ıˇce je v ˇsifˇre Crypto-1 závislá na aktuáln´ım stavu po- suvného registru. Zranitelnost spoˇc´ıvá v pouˇzit´ı pouze lichých bit˚u stavu registru pro výpoˇcet hodnoty proudu kl´ıˇce pomoc´ı výstupn´ıch filtrových funkc´ı.

Utoˇcn´ık takto m˚´ uˇze pouˇz´ıt kryptoanalytickou metodu

”Rozdˇel a panuj“ a prakticky tak zmenˇsit prohledávaný prostor moˇzných stav˚u.

Popis zranitelnosti

Na obrázku 3.2 si lze povˇsimnout, ˇze jsou pro výpoˇcet hodnoty proudu kl´ıˇce pouˇzity pouze liché bity 9, 11, 13, ..., 47.

V prvn´ım kroku jsou vˇsechny bity na svém m´ıstˇe a útoˇcn´ık m˚uˇze nalézt kombinaci 20 bit˚u pro liché bity.

Pro kaˇzdou takto z´ıskanou kombinaci 20 bit˚u je vypoˇctena hodnota proudu kl´ıˇce (ks3)0 pomoc´ı výstupn´ı funkce. Jednotlivé kombinace mohou být vylouˇceny pomoc´ı porovnán´ı hodnoty (ks3)0 s hodnotou proudu kl´ıˇce, která byla pˇredem z´ıskána napˇr´ıklad vyuˇzit´ım zranitelnosti v kontrole integrity (viz ˇcást 3.4.2).

Po proveden´ı dvou rotac´ı vlevo ˇsifra vyuˇz´ıv´a 19 bit˚u jako v pˇredchoz´ım pˇr´ıpadˇe.

Pˇri hledán´ı kombinac´ı lze výpoˇctem výstupn´ı funkce z´ıskat (ks3)2. Je tedy vidˇet, ˇze je pro vytvoˇren´ı tˇechto dvou bit˚u proudu kl´ıˇce vyuˇzito jen 21 bit˚u z registru ˇsifry.

Pokud je stejný postup proveden i pro druhou sadu bit˚u s (ks3)1 a (ks3)3, tak lze výsledky snadno spojit, ponˇevadˇz nesd´ılej´ı ˇzádné bity.

Nesprávné kombinace je moˇzné vyluˇcovat napˇr´ıklad d´ıky znalosti nˇekolika po sobˇe jdouc´ıch bit˚u proudu kl´ıˇce z´ıskaných pomoc´ı zranitelnosti pˇri kontrole integrity.

Takto m˚uˇze být za urˇcitých podm´ınek útoˇcn´ık schopen zrekonstruovat 39 bit˚u (resp. 40, kdyˇz je poˇc´ıtán i bit ze zpˇetné vazby) stavu registru ˇsifry a zbytek prohledat hrubou silou.

(36)

Tato vlastnost umoˇzˇnuje zkouˇset kl´ıˇce mnohem efektivnˇeji neˇz pˇri prostém vyuˇzit´ı hrubé s´ıly. Pˇri prohledáván´ı stavového prostoru hrubou silou existuje 2⁴⁸ moˇzných stav˚u, ale v (Courtois, 2009) byla vyuˇzita tato vlastnost a bylo nutné vyzkouˇset pouze 2¹⁶ moˇzných hodnot (pˇrevinout tyto stavy zpˇet).

Dále byl v (Garcia et al., 2009) publikován útok, který pomoc´ı této vlastnosti umoˇzˇnuje nalézt speciáln´ı hodnotu výzvy nR, jej´ıˇz posledn´ı bit neovlivˇnuje proud kl´ıˇce. Útoˇcn´ık pˇri vyuˇzit´ı takovéto výzvy mus´ı vyzkouˇset jen 7, 3· 10⁹ r˚uzných kl´ıˇc˚u.

Pomoc´ı aplikace testovat tuto zranitelnost nemá smysl, ponˇevadˇz kaˇzdé zaˇr´ızen´ı tohoto standardu bude zranitelné.

Reˇsen´ım zranitelnosti by bylo odstranit toto rovnomˇerné rozdˇelen´ı na sudé a lichéˇ bity z pohledu generován´ı hodnoty. Do výstupn´ı funkce by mˇely být pˇredávány bity ze sudých i lichých pozic. Nav´ıc by bylo vhodné zajistit, aby bylo pro vytváˇren´ı hodnot ks0 a ks2 (ks1 a ks3) vyuˇzito co nejménˇe spoleˇcných bit˚u.

Prakticky bohuˇzel nen´ı moˇzné tuto zranitelnost napravit, ponˇevadˇz by se pak jednalo o úplnˇe jinou ˇsifru. Bylo by pak nutné vymˇenit vˇsechna zaˇr´ızen´ı, ˇci zavést reˇzim kompatibility pro starˇs´ı zaˇr´ızen´ı, která by ovˇsem z˚ustávala zranitelná.

3.4.4 Nejsou pouˇzit´ e lev´ e bity pro generov´ an´ı proudu kl´ıˇ ce

Z obrázku 3.2 je patrné, ˇze pro generován´ı proudu kl´ıˇce nejsou pouˇzity bity 0 aˇz 8.

Popis zranitelnosti

Reknˇeme, ˇze ˇsifra má aktuáln´ı stav registru rˇ krk+1...rk+47 v urˇcitém ˇcase k. Útoˇcn´ık m˚uˇze pouˇz´ıt vztah (Definice 9) k výpoˇctu pˇredchoz´ıho stavu ˇsifry rk−1rk...rk+46.

Pokud má útoˇcn´ık k dispozici stav ˇsifry v ˇcase k, hodnoty pˇrenáˇsené v otevˇreném textu uid a nT a hodnotu{nR}. Ponˇevadˇz nen´ı známa hodnota nR(známá je pouze jej´ı zaˇsifrovaná hodnota), tak nen´ı moˇzné provést

”rollback“ ˇsifry pˇr´ımo.

Definice 9 Rollback funkce R : F₂⁴⁸→ F2 je definov´ana jako

R(x1, x2, ..., x48) = x5⊕ x9⊕ x10⊕ x12⊕ x14⊕ x15⊕ x17⊕ x19⊕ x24⊕ x25⊕ x27⊕ x29⊕ x35⊕ x39⊕ x41⊕ x42⊕ x43⊕ x48

(37)

Pˇri posuvu vpravo vypadne bit 47 a bit 0 je nastaven na hodnotu r. Ponˇevadˇz na prvn´ıch dev´ıti bitech nezávis´ı proud kl´ıˇce, tak na hodnotˇe r nezáleˇz´ı a je moˇzné ji volit náhodnˇe. Následnˇe je moˇzné z´ıskat nT,31={n^T,31}⊕f^c(x0, x1, ..., x47) a vypoˇc´ıst hodnotu ri+80 = L(ri+32, ri+33, ..., ri+79)⊕n^R,i. Pokud je tento postup zopakován jeˇstˇe 31krát, tak se registr nacház´ı ve stavu pˇred naˇcten´ım hodnoty výzvy ˇcteˇcky nR.

Následnˇe lze obdobný postup vyuˇz´ıt dále pro nT ⊕ uid a pˇrevinout ˇsifru do výchoz´ıho stavu po pˇr´ımém naˇcten´ı ˇsifrovac´ıho kl´ıˇce.

Tento postup byl publikov´an v pr´aci (Garcia et al., 2008).

Utoˇcn´ık je schopen postupnˇe pˇrevinout stav ˇsifry aˇz do v´´ ychoz´ıho stavu, ve kter´em je obsahem registru ˇsifry pouze pouˇzit´y kl´ıˇc.

Vˇsechna zaˇr´ızen´ı budou zraniteln´a, proto nem´a cenu testovat.

Pˇridat filtrovou funkci vyuˇz´ıvaj´ıc´ı bity na tˇechto pozic´ıch. Je ovˇsem nutné aby výstup filtrové funkce mˇel rovnomˇerné rozdˇelen´ı (Tvrzen´ı 1). Dále by musel být výstup zohlednˇen v samotné výstupn´ı funkci f .

Ponˇevadˇz náprava spoˇc´ıvá pˇr´ımo ve zmˇenˇe ˇsifrovac´ı funkce, tak opˇet vyvstává praktický problém se zachován´ım kompatibility se stávaj´ıc´ımi zaˇr´ızen´ımi.

3.4.5 Mal´ a variabilita proudu kl´ıˇ ce

Jedná se o vlastnost pouˇzité logické funkce spoˇc´ıvaj´ıc´ı v tom, ˇze výstupn´ı bit funkce s urˇcitou pravdˇepodobnost´ı nezávis´ı na v´ıce vstupn´ıch bitech.

Popis zranitelnosti

Mˇejme konstantn´ı výzvu karty nT a 8bajtový kryptogram C = (c1, c2, c3, c4, c5, c6, c7, c8) = (nR, aR). Prvn´ı tˇri bajty {nR} budou fixnˇe nastavené a u posledn´ıho bajtu se mohou mˇenit nejniˇzˇs´ı tˇri bity.

Pro dotaz se správnˇe nastavenou kombinac´ı paritn´ıch bit˚u je pˇri deˇsifrován´ı pravdˇepodobnost 0,75, ˇze proud kl´ıˇce ks₁ = (b₃₂, ..., b₆₄) bude stejný bez ohledu na hodnotu nTtj., nezávislý na posledn´ıch tˇri bitech nT.

(38)

Pokud vytváˇrený proud kl´ıˇce je konstatn´ı a tedy nezávis´ı na ˇctvrtém bajtu krypto- gramu c3, tak diference mezi stavem ˇsifry pˇri výpoˇctu ks2 a ks3 je nˇejaká lineárn´ı funkce závisej´ıc´ı pouze na diferenci v hodnotách c3 a niˇcem jiném.

Tato zranitelnost umoˇzˇnuje provést útok pomoc´ı diferenciáln´ı kryptoanalýzy po- psaný v (Courtois, 2009).

Reˇsen´ım by byla zmˇena v´ˇ ystupn´ı funkce tak, aby pravdˇepodobnost závislosti proudu kl´ıˇce na vstupn´ı hodnotˇe byla 0,5, avˇsak chyby samotné ˇsifrovac´ı funkce nelze opravit se zachován´ım kompatibility se stávaj´ıc´ımi zaˇr´ızen´ımi. Jediným moˇzným zp˚usobem obrany je pak pouˇzit´ı elektromagnetického st´ınˇen´ı k zamezen´ı komunikace karty s nelegitimn´ımi zaˇr´ızen´ımi.

3.4.6 Pouˇzit´ı implicitn´ıch kl´ıˇ c˚ u

Výrobce pro úˇcely testován´ı nastavuje pˇri výrobˇe ˇcipu implicitn´ı kl´ıˇce, se kterými jsou následnˇe odeslány k prodeji.

Pokud vývojáˇr koncové aplikace tyto kl´ıˇce nezmˇen´ı, tak mohou být velice snadno pˇreˇcteny, ponˇevadˇz implicitn´ı kl´ıˇce jsou veˇrejnˇe dostupné – souˇcást´ı knihovny LibNfc je tabulka nejˇcastˇejˇs´ıch implicitn´ıch kl´ıˇc˚u.

Dále m˚uˇze být pˇri úspˇeˇsné autentizaci jednoho bloku vyuˇzit

”Nested Attack“

publikovaný v práci (Garcia et al., 2009) k z´ıskán´ı ˇsifrovac´ıch kl´ıˇc˚u ostatn´ıch blok˚u.

Pomoc´ı slovn´ıkového útoku lze snadno ovˇeˇrit, zda je daný blok pˇr´ıstupný nˇejakým známým kl´ıˇcem. Vytvoˇrený nástroj vyuˇz´ıvá nejˇcastˇeji pouˇz´ıvané továrn´ı kl´ıˇce uve- dené v tabulce 3.2.