Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdNorbert Bosmans Laatst gewijzigd meer dan 10 jaar geleden
1
Het kraken van de ov-chipkaart Erik Poll Digital Security Informatica en Informatiekunde Radboud Universiteit Nijmegen
2
afgelopen zaterdag
3
Onze digital security groep
Overzicht Onze digital security groep De technology van de ov-chipkaart: RFID chips Manieren om RFID beveiliging te doorbreken incl. de ov-chipkaart
4
Digital Security groep
Grootste computer security onderzoeksgroep in Nederland Master-specialisatie Computer Security
5
Beveiligen van computers
6
Beveiligen van informatie
Explosief groeiende hoeveelheid data en gegevens die razendsnel doorzocht kan worden
7
Beveiligen van informatie: kopieerbeveiling
oftewel Digital Right Management (DRM) voor muziek, video, maar ook voor ringtones kranten zijn nu gratis, muziek is (bijna) gratis, video straks ook??
8
informatie beveiligen: geheimhouding
9
informatie beveiligen: privacy
10
De beste (enige?) manier om te kijken of beveiliging goed is:
probeer de beveiliging te breken denk als een aanvaller
11
De ov-chipkaart
12
vervanging voor strippenkaart en treinkaartjes twee soorten:
ov-chipkaart vervanging voor strippenkaart en treinkaartjes twee soorten: wegwerpkaart/dagkaart Mifare Ultralight abbonnementskaart Mifare Classic
13
Een OV chipkaart van binnen
antenne
14
Een ov-chipkaart is een RFID tag,
een minicomputertje met draadloos netwerk RFID = Radio Frequency IDentification RFIDs heb je in allerlei soorten & maten
15
RFID toepassing: dieren identificatie
16
RFID toepassing: ipv streepjescodes
privacy risico: kun je aan (unieke!) code van één weggegooid artikel straks opzoeken met wiens Albert Heijn bonuskaart het gekocht is?
17
RFID toepassing: electronische paspoort
Nieuwe paspoort bevat een RFID chip met biometrische gegevens nu enkel foto, in toekomst ook vingerafdruk
18
RFID toepassing: als sleutels
toegangscontrole op onze universiteit Keeloq autosleutels voor Opel, VW, Toyota, Fiat, Volvo,... gekraakt [Eli Biham et al., EuroCrypt'2008, April, Istanbul]
19
Nieuwste ontwikkeling: RFID poeder
0,05mm x 0,05mm, 128-bit ROM
21
RFID en digitale beveiliging
hoe goed zijn RFID systemen beveiligd? maar ook welke mogelijkheden & risico's brengt het mee? handig voor politie? handig voor criminelen? gevolgen voor privacy? ... Centre for CyberCrime Studies ism rechtenfaculteit Nijmegen en Tilburg
22
Hoe hack je een RFID systeem?
23
luister af wat ov-chipkaart tegen de lezer zegt
replay attack luister af wat ov-chipkaart tegen de lezer zegt communicatie
24
luister af wat ov-chipkaart tegen de lezer zegt
replay attack luister af wat ov-chipkaart tegen de lezer zegt en maak apparaat dat precies hetzelfde zegt communicatie
25
replay attack werkt voor wegwerp ov-chipkaart!
poortje ziet geen verschil tussen echte kaart en de kloon Ghost device van Roel Verdult
26
Hoe kun je een replay attack voorkomen?
zorg dat communicatie tussen RFID en lezer steeds anders is (zgn challenge-response mechanisme) vraag ? ? antwoord
27
challenge-response hierbij wordt versleuteling gebruikt: het antwoord is een versleuteling van de vraag met een geheime sleutel n versleutelKEY{n}
28
reverse engineering Hoe kun je zo'n challenge-response mechanisme kraken? probeer achter het versleutelingsalgoritme te komen vaak is dat een openbare standaard, soms niet probeer achter de sleutel te komen, door alle mogelijke sleutels te proberen kost meestal (te)veel tijd of bij slecht ontworpen versleutelingsalgoritme, is de sleutel vaak sneller te bepalen algoritme op Mifare Classic RFID kaarten is slecht ontworpen...
29
RFID team van Digital Security in Nijmegen
30
Filmpje van universiteit toegangspassen
Leuk verhaal hierover uit universiteitsblad
31
Conclusie Beveiliging van Mifare Classic RFID kaarten is te doorbreken, zonder al te veel kosten In het bijzonder, dit geldt voor de toegangspasjes op de Radboud Universiteit héél veel andere pasjes honderden miljoenen Mifare Classics wereldwijd ook de ov-chipkaart Moraal: vertrouw niet op beveiligingsmethoden die niet openbaar zijn, en dus niet door wetenschappers onderzocht zijn [Kerckhoffs principe] building on this foundation we’re ready to apply this approach to systems of practical interest
32
Informatica ↔ Informatiekunde
het kraken van dit soort systemen, en het bedenken van betere beveiligingssystemen ... zijn voorbeelden van informaticavraagstukken op securitygebied wat zijn eigenlijk de eisen aan het systeem, qua beveiliging en qua gebruik? wat gebeurt er als een reiziger vergeet `uit te checken'? (hoe) kan een reiziger een foutieve rekening aanvechten? privacy: welke gegevens worden verzameld en wie heeft er toegang toe? .... zijn voorbeelden van informatiekundevraagstukken op securitygebied
33
Vragen?
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.