De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

1 Instituut voor Informatica en Informatiekunde Het kraken van de ov-chipkaart Erik Poll Digital Security Informatica en Informatiekunde Radboud Universiteit.

Verwante presentaties


Presentatie over: "1 Instituut voor Informatica en Informatiekunde Het kraken van de ov-chipkaart Erik Poll Digital Security Informatica en Informatiekunde Radboud Universiteit."— Transcript van de presentatie:

1 1 Instituut voor Informatica en Informatiekunde Het kraken van de ov-chipkaart Erik Poll Digital Security Informatica en Informatiekunde Radboud Universiteit Nijmegen

2 2 Instituut voor Informatica en Informatiekunde afgelopen zaterdag

3 3 Instituut voor Informatica en Informatiekunde Overzicht •Onze digital security groep •De technology van de ov-chipkaart: RFID chips •Manieren om RFID beveiliging te doorbreken –incl. de ov-chipkaart

4 4 Instituut voor Informatica en Informatiekunde Digital Security groep • Grootste computer security onderzoeksgroep in Nederland • Master-specialisatie Computer Security

5 5 Instituut voor Informatica en Informatiekunde Beveiligen van computers

6 6 Instituut voor Informatica en Informatiekunde Beveiligen van informatie Explosief groeiende hoeveelheid data en gegevens die razendsnel doorzocht kan worden

7 7 Instituut voor Informatica en Informatiekunde Beveiligen van informatie: kopieerbeveiling •oftewel Digital Right Management (DRM) •voor muziek, video, maar ook voor ringtones –kranten zijn nu gratis, –muziek is (bijna) gratis, –video straks ook??

8 8 Instituut voor Informatica en Informatiekunde informatie beveiligen: geheimhouding

9 9 Instituut voor Informatica en Informatiekunde informatie beveiligen: privacy

10 10 Instituut voor Informatica en Informatiekunde •De beste (enige?) manier om te kijken of beveiliging goed is: –probeer de beveiliging te breken –denk als een aanvaller

11 11 Instituut voor Informatica en Informatiekunde De ov-chipkaart

12 12 Instituut voor Informatica en Informatiekunde ov-chipkaart • vervanging voor strippenkaart en treinkaartjes • twee soorten: – wegwerpkaart/dagkaart • Mifare Ultralight – abbonnementskaart • Mifare Classic

13 13 Instituut voor Informatica en Informatiekunde Een OV chipkaart van binnen antenne chip

14 14 Instituut voor Informatica en Informatiekunde RFID •Een ov-chipkaart is een RFID tag, een minicomputertje met draadloos netwerk –RFID = Radio Frequency IDentification •RFIDs heb je in allerlei soorten & maten

15 15 Instituut voor Informatica en Informatiekunde RFID toepassing: dieren identificatie

16 16 Instituut voor Informatica en Informatiekunde RFID toepassing: ipv streepjescodes privacy risico: kun je aan (unieke!) code van één weggegooid artikel straks opzoeken met wiens Albert Heijn bonuskaart het gekocht is?

17 17 Instituut voor Informatica en Informatiekunde RFID toepassing: electronische paspoort • Nieuwe paspoort bevat een RFID chip met biometrische gegevens – nu enkel foto, in toekomst ook vingerafdruk

18 18 Instituut voor Informatica en Informatiekunde RFID toepassing: als sleutels toegangscontrole op onze universiteit Keeloq autosleutels voor Opel, VW, Toyota, Fiat, Volvo,... gekraakt [Eli Biham et al., EuroCrypt'2008, April, Istanbul]

19 19 Instituut voor Informatica en Informatiekunde Nieuwste ontwikkeling: RFID poeder 0,05mm x 0,05mm, 128-bit ROM

20 20 Instituut voor Informatica en Informatiekunde

21 21 Instituut voor Informatica en Informatiekunde RFID en digitale beveiliging •hoe goed zijn RFID systemen beveiligd? maar ook •welke mogelijkheden & risico's brengt het mee? –handig voor politie? –handig voor criminelen? –gevolgen voor privacy? –... Centre for CyberCrime Studies ism rechtenfaculteit Nijmegen en Tilburg

22 22 Instituut voor Informatica en Informatiekunde Hoe hack je een RFID systeem?

23 23 Instituut voor Informatica en Informatiekunde replay attack •luister af wat ov-chipkaart tegen de lezer zegt communicatie

24 24 Instituut voor Informatica en Informatiekunde replay attack •luister af wat ov-chipkaart tegen de lezer zegt en maak apparaat dat precies hetzelfde zegt communicatie

25 25 Instituut voor Informatica en Informatiekunde replay attack werkt voor wegwerp ov-chipkaart! poortje ziet geen verschil tussen echte kaart en de kloon Ghost device van Roel Verdult

26 26 Instituut voor Informatica en Informatiekunde Hoe kun je een replay attack voorkomen? •zorg dat communicatie tussen RFID en lezer steeds anders is (zgn challenge-response mechanisme) vraag antwoord ? ?

27 27 Instituut voor Informatica en Informatiekunde challenge-response •hierbij wordt versleuteling gebruikt: het antwoord is een versleuteling van de vraag met een geheime sleutel n versleutel KEY {n}

28 28 Instituut voor Informatica en Informatiekunde reverse engineering Hoe kun je zo'n challenge-response mechanisme kraken? 1.probeer achter het versleutelingsalgoritme te komen –vaak is dat een openbare standaard, soms niet 2.probeer achter de sleutel te komen, door –alle mogelijke sleutels te proberen –kost meestal (te)veel tijd of –bij slecht ontworpen versleutelingsalgoritme, is de sleutel vaak sneller te bepalen –algoritme op Mifare Classic RFID kaarten is slecht ontworpen...

29 29 Instituut voor Informatica en Informatiekunde RFID team van Digital Security in Nijmegen

30 30 Instituut voor Informatica en Informatiekunde Filmpje van universiteit toegangspassen •Leuk verhaal hierover uit universiteitsblad

31 31 Instituut voor Informatica en Informatiekunde Conclusie •Beveiliging van Mifare Classic RFID kaarten is te doorbreken, zonder al te veel kosten •In het bijzonder, dit geldt voor –de toegangspasjes op de Radboud Universiteit –héél veel andere pasjes •honderden miljoenen Mifare Classics wereldwijd –ook de ov-chipkaart Moraal: vertrouw niet op beveiligingsmethoden die niet openbaar zijn, en dus niet door wetenschappers onderzocht zijn [Kerckhoffs principe]

32 32 Instituut voor Informatica en Informatiekunde Informatica ↔ Informatiekunde • het kraken van dit soort systemen, en • het bedenken van betere beveiligingssystemen •... zijn voorbeelden van informaticavraagstukken op securitygebied • wat zijn eigenlijk de eisen aan het systeem, qua beveiliging en qua gebruik? – wat gebeurt er als een reiziger vergeet `uit te checken'? – (hoe) kan een reiziger een foutieve rekening aanvechten? – privacy: welke gegevens worden verzameld en wie heeft er toegang toe? –.... zijn voorbeelden van informatiekundevraagstukken op securitygebied

33 33 Instituut voor Informatica en Informatiekunde Vragen?


Download ppt "1 Instituut voor Informatica en Informatiekunde Het kraken van de ov-chipkaart Erik Poll Digital Security Informatica en Informatiekunde Radboud Universiteit."

Verwante presentaties


Ads door Google