Het kraken van de ov-chipkaart Erik Poll Digital Security Informatica en Informatiekunde Radboud Universiteit Nijmegen

afgelopen zaterdag

Onze digital security groep Overzicht Onze digital security groep De technology van de ov-chipkaart: RFID chips Manieren om RFID beveiliging te doorbreken incl. de ov-chipkaart

Digital Security groep Grootste computer security onderzoeksgroep in Nederland Master-specialisatie Computer Security

Beveiligen van computers

Beveiligen van informatie Explosief groeiende hoeveelheid data en gegevens die razendsnel doorzocht kan worden

Beveiligen van informatie: kopieerbeveiling oftewel Digital Right Management (DRM) voor muziek, video, maar ook voor ringtones kranten zijn nu gratis, muziek is (bijna) gratis, video straks ook??

informatie beveiligen: geheimhouding

informatie beveiligen: privacy

De beste (enige?) manier om te kijken of beveiliging goed is: probeer de beveiliging te breken denk als een aanvaller

De ov-chipkaart

vervanging voor strippenkaart en treinkaartjes twee soorten: ov-chipkaart vervanging voor strippenkaart en treinkaartjes twee soorten: wegwerpkaart/dagkaart Mifare Ultralight abbonnementskaart Mifare Classic

Een OV chipkaart van binnen antenne

Een ov-chipkaart is een RFID tag, een minicomputertje met draadloos netwerk RFID = Radio Frequency IDentification RFIDs heb je in allerlei soorten & maten

RFID toepassing: dieren identificatie

RFID toepassing: ipv streepjescodes privacy risico: kun je aan (unieke!) code van één weggegooid artikel straks opzoeken met wiens Albert Heijn bonuskaart het gekocht is?

RFID toepassing: electronische paspoort Nieuwe paspoort bevat een RFID chip met biometrische gegevens nu enkel foto, in toekomst ook vingerafdruk

RFID toepassing: als sleutels toegangscontrole op onze universiteit Keeloq autosleutels voor Opel, VW, Toyota, Fiat, Volvo,... gekraakt [Eli Biham et al., EuroCrypt'2008, April, Istanbul]

Nieuwste ontwikkeling: RFID poeder 0,05mm x 0,05mm, 128-bit ROM

RFID en digitale beveiliging hoe goed zijn RFID systemen beveiligd? maar ook welke mogelijkheden & risico's brengt het mee? handig voor politie? handig voor criminelen? gevolgen voor privacy? ... Centre for CyberCrime Studies ism rechtenfaculteit Nijmegen en Tilburg

Hoe hack je een RFID systeem?

luister af wat ov-chipkaart tegen de lezer zegt replay attack luister af wat ov-chipkaart tegen de lezer zegt communicatie

luister af wat ov-chipkaart tegen de lezer zegt replay attack luister af wat ov-chipkaart tegen de lezer zegt en maak apparaat dat precies hetzelfde zegt communicatie

replay attack werkt voor wegwerp ov-chipkaart! poortje ziet geen verschil tussen echte kaart en de kloon Ghost device van Roel Verdult

Hoe kun je een replay attack voorkomen? zorg dat communicatie tussen RFID en lezer steeds anders is (zgn challenge-response mechanisme) vraag ? ? antwoord

challenge-response hierbij wordt versleuteling gebruikt: het antwoord is een versleuteling van de vraag met een geheime sleutel n versleutelKEY{n}

reverse engineering Hoe kun je zo'n challenge-response mechanisme kraken? probeer achter het versleutelingsalgoritme te komen vaak is dat een openbare standaard, soms niet probeer achter de sleutel te komen, door alle mogelijke sleutels te proberen kost meestal (te)veel tijd of bij slecht ontworpen versleutelingsalgoritme, is de sleutel vaak sneller te bepalen algoritme op Mifare Classic RFID kaarten is slecht ontworpen...

RFID team van Digital Security in Nijmegen

Filmpje van universiteit toegangspassen Leuk verhaal hierover uit universiteitsblad http://www.cs.ru.nl/B.Jacobs/PRESS/vox-03-04-08.pdf

Conclusie Beveiliging van Mifare Classic RFID kaarten is te doorbreken, zonder al te veel kosten In het bijzonder, dit geldt voor de toegangspasjes op de Radboud Universiteit héél veel andere pasjes honderden miljoenen Mifare Classics wereldwijd ook de ov-chipkaart Moraal: vertrouw niet op beveiligingsmethoden die niet openbaar zijn, en dus niet door wetenschappers onderzocht zijn [Kerckhoffs principe] building on this foundation we’re ready to apply this approach to systems of practical interest

Informatica ↔ Informatiekunde het kraken van dit soort systemen, en het bedenken van betere beveiligingssystemen ... zijn voorbeelden van informaticavraagstukken op securitygebied wat zijn eigenlijk de eisen aan het systeem, qua beveiliging en qua gebruik? wat gebeurt er als een reiziger vergeet `uit te checken'? (hoe) kan een reiziger een foutieve rekening aanvechten? privacy: welke gegevens worden verzameld en wie heeft er toegang toe? .... zijn voorbeelden van informatiekundevraagstukken op securitygebied

Vragen?