Ataki algebraiczne na Mifare

2008-04-23 00:00:00 +0100


Zespół Nicolas T. Courtois, Karsten Nohl i Sean O’Neil poinformował o opracowaniu ataku na protokół Mifare z szyfrem Crypto-1 pozwalający na odtworzenie pełnego klucza na podstawie jednego zaszyfrowanego pakietu.

Algorytm Crypto-1 jest używany w produkowanych od 1994 roku bezstykowych kartach elektronicznych, komunikujących się z czytnikiem drogą radiową. Algorytm nie był jawny do stycznia 2008 roku, kiedy jego konstrukcja została zaprezentowana na konfrencji CCC w Niemczech. Algorytm, stanowiący tajemnicę handlową Philipsa (obecnie NXP Semiconductors), został odtworzony prawdopodobnie metodami reverse engineeringu.

Według opublikowanej właśnie pracy “Algebraic Attacks on the Crypto-1 Stream Cipher in MiFare Classic and Oyster Cards” możliwe jest odtworzenie (złamanie) pełnego, 48-bitowego klucza algorytmu Crypto-1 na podstawie znajomości zaledwie jednego IV uzyskanego z zaszyfrowanego pakietu. Na standardowym pececie ma to zajmować około 200 sekund. Autorzy ocenili w związku z tym bezpieczeństwo zapewniane przez Crypto-1 jako “bliskie zeru” i “szokująco niskie”, biorąc pod uwagę że w powszechnym użyciu na świecie jest około miliarda (1 billion) kart Mifare, z czego wiele w zastosowaniach rządowych.

Philips opublikował wcześniej kilka oświadczeń w tej sprawie, wyjaśniając że problem dotyczy wyłącznie kart Mifare Mini, Mifare 1K i Mifare 4K. Ponieważ oświadczenia zostały opublikowane po styczniowym nagłośnieniu ujawnienia algorytmu i jego - jeszcze wtedy - domniemanych słabości, firma komentuje kwestie bezpieczeństwa algorytmu ostrożnie, skupiając się raczej na groźbach wobec naukowców odtwarzających niejawne algorytmy.

Równocześnie Philips poinformował, że produkowane od 1997 roku kart Mifare DESfire oraz zapowiadane na 2008 roku nowe karty Mifare Plus zapewniają znacznie wyższy poziom bezpieczeństwa przez wykorzystanie jawnych algorytmów 3DES oraz AES.