Hallo zusammen Es geht um RFID Technologie, im Speziellen Mifare Classic. Die dafür erhältlichen Leser-IC's, z.b. CLRC664 oder MFRC522 und co unterstützen zwar die Verschlüsselung des Mifare-Protokolls, also die Kommunikation zwischen dem Tag und dem Leser IC. Somit ist es nicht auf simplem Wege möglich die Funkverbindung anzuzapfen. Die Datenübertragung zwischem dem Leser und der Datenverarbeitung isg aber immer unverschlüsselt und einfach, z.b. UART oder SPI Wenn nun jemand an den Karteninhalt gelangen möchte, und einen passenden Leser hat, kann ja einfach z.b. das SPI Protokoll auf der Platine mitgeschnitten werden. Konkret geht es z.b. darum, das eine Lesereinheit (Leser-IC + MCU) Datenblöcke vom einer MifareClassic Karte lesen soll, und dann bei gültigen Daten eine ensprechende Meldung ausgibt. Was gültig ist und nicht ist im MCU gespeichert und somit nicht auslesbar. Wenn jedoch die SPI Verbindung angezaft wird, kann relagiv einfach per Datenblatt herausgefunden werden in welchen Paketen die Daten zum prüfen an dem MCU übergenen werden. Wie lässt sich so etwas verhindern, abgesehen von Weg-Lasern der IC Bezeichnunhen oder vergiessen der kompletten Elektronik?
Die Sicherheit von Mifare Classic durch Verschlüsselung liegt bereits nahe bei Null: https://de.wikipedia.org/wiki/Mifare#Verschl%C3%BCsselungssystem Auszug: ------ schnipp ------ Wie am 13. April 2008 bekannt wurde, hat eine Forschergruppe den Algorithmus analysiert und einen systematischen Fehler gefunden, der die Verschlüsselung praktisch nutzlos macht. Die Sicherheit des Algorithmus, so das Fazit der Forscher, sei „nahe Null“.[3][4] Auf dem Chaos Communication Congress wurde eine einfache Möglichkeit gezeigt, wie die Verschlüsselung durch eine einfache Umkehrung mit einem Mathematikprogramm knackbar ist.[5] ------ schnapp ------ Siehe auch: https://www.heise.de/security/meldung/Aus-fuer-RFID-System-Mifare-Classic-Update-201011.html Von daher ist Dein Vorhaben irgendwie sinnlos.
:
Bearbeitet durch Moderator
Das Mifare Classic nicht mehr die Speerspitze der Sicherheit ist, wurde ja schon gesagt. Generell ist die Frage aber natürlich berechtigt. Das Problem, das man den Datenverkehr am Bus abgreifen kann haben auch andere Geräte, Kreditkarten Bezahlterminals zum Beispiel. Dort wird das Problem so gelöst, das man nicht an die Datenleitungen gelangen kann ohne das Gerät unbrauchbar zu machen. Dafür werden spezielle Microcontroller eingesetzt, die über ein batteriegestütztes Alarmsystem verfügen welches dauerhaft aktiv ist. Öffnet man das Gerät um an die Leitungen zu gelangen, so löst man den Alarm aus und der Microcontroller registriert dies. Danach startet der Microcontroller keine RFID Transaktion mehr und das Problem ist gelöst. In dieser Präsentation sind einige übliche Alarmsysteme zu sehen: https://murdoch.is/talks/ccc08tamper.pdf Bei EMVCO findet man auch Fotos der Innereien aller zugelassenen Kreditkarten Geräte. Diese Daten sind öffentlich, damit jeder schauen kann ob ein Gerät modifiziert ist oder nicht. (Macht natürlich niemand). Leider finde ich die Seite aber nicht mehr.
Max H. schrieb: > Dort wird das Problem so gelöst, das man nicht an die Datenleitungen > gelangen kann ohne das Gerät unbrauchbar zu machen. Etwas älter: https://heise.de/-1771601 Sauber löst man es, wenn der RFID-Chip Eigenintelligenz besitzt, und nicht nur als Datenspeicher genutzt ist. Challenge-Response-Protokoll, Secret Key im RFID-Chip, möglichst unauslesbar. Damit ist dann der ganze Weg zwischen Kreditkarteninstituts-Server und Kreditkarte "egal", MITM-Sicher, Kommunikation kann gefahrlos öffentlich sein. Zumindest in der Theorie. In der Praxis versemmelt man das Protokoll, z.B. ist das Bit für "PIN-Eingabe nötig" nicht mit signiert, oder dem RFID-Chip lässt sich beim Rechnen über die Schulter schauen, indem man den Stromverbrauch exakt beobachtet, und damit der Key entlocken oder oder oder. https://heise.de/-4881555
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.