Angriffsverfahren auf 125kHz Transponder für

ZutrittskontrollsystemeOguzhan Cicek

Hendrik SchwartkeRalf Spenneberg

OpenSource Security Ralf Spenneberg

OpenSource Security

● Linux Sicherheit● Widerstandsanalysen

– Embedded Systems

– RFID Systems

– Industrial Control Systems

Schließanlagen Konzepte

● Online– Schließberechtigungen zentral gespeichert

– Häufig lediglich eine Identifikation des TAG's

– Teilweise auch eine Authentifizierung

● Offline– Schließberechtigungen auf dem TAG– Manipulations- und Integritätsschutz erforderlich– Teilweise Authentifizierung

Frequenzbereiche

● Low frequency:– 125 – 134 kHz

● High frequency:– 13,56 MHz

● Ultra-high frequency:– 433 und 860 – 960 MHz

Hitag S

● 125 kHz● 32, 256 und 2048 Bit● “Target Markets: Animal Identification,

Laundry Automation [...]”● Authentifizierung

– 48 Bit Key, 24 Bit Passwort

– Undokumentierte Verschlüsselungscipher

Warum Hitag S ?

● Hitag S “offiziell” noch sicher● Systeme teilweise an Hitag S gebunden● Ersatz der Schließanlage

– Demo Systeme verschiedener Hersteller

Hitag S – Authentifizierung

Cipher?

● Hitag S Datenblatt– Hitag S Memorylayout wie Hitag 2

● Philips Co Processor HT RC130– Hitag 1/2/S

– Keine Hitag S spezifischen Kommandos

● Hitag S Cipher = Hitag 2 Cipher ?● Hitag 2 Cipher: I. C. Wiener 2006

Hitag 2 Cipher = Hitag S Cipher

https://web.archive.org/web/20120127012528/http://cryptolib.com/ciphers/hitag2

Hitag S - Angriffe

● Proxmark 3– Hitag S Lesegerät– Hitag S Schreibgerät– Hitag S Emulator

● Replay Angrif● Brute Force

– CPU (Intel Core i5 3210m) = 700 Tage– GPU (NVIDIA GeForce GTX 760) = 180 Tage

Hitag S - Angriffe

● Cryptoanalytischer Angriff (Usenix 2012)

– 150 Challenges = 5 min● Konfiguration-Bits

– AUT = Authentication– LCON = Lock CONfiguration– LKP = Lock Key and Password

SAT Solver

● SAT = satisfiability● Tools: Minisat, CryptoMiniSat4, … ● Konjunktive Normalform (CNF)

–

● Hitag S Cipher => CNF

SAT Solver

● Keystream Bits: – Ersten 32 Bit vom 'Secret Data'– Nächsten 8 Bit vom {Con2}

=> Pro Authentifizierung 40 Bits

● Nur 2 Challenges benötigt

● Ergebnis: 16 Bit vom Key in 2-5 Tagen

Restlichen 32 Bit des Keys

● Brute Force (~ 10 min)● Rollback Cipher (< 100ms)

– 32 UID und 32 UID RND bekannt

– “Rollt” den Cipher zum Zustand 0 zurück

Hitag S vollständig auslesen

● Lesegeschützte Seiten– Key (48 Bit)– Passwort (24 Bit)

● Passwort wird in der Authentifizierung verschlüsselt übertragen

Hitag S klonen

● Hitag S Lese-/Schreibgerät und Emulator– Proxmark 3

● Dauer– Traces sammeln: > 1sec

– 48 Bit Key brechen: ~ 5 min

– Transponder klonen: < 1 sec

RFID Transponder Security Overview

Vendor Tag Frequency Function Mem (bits) Authentication Encryption UID (bits) Secure Doc

AtmelTemic T5557

125 kHz

r/w

330no 40

yes

no1

Temic T5567 2Temic T5577 363 2

NXP

Hitag1

125 kHz

2048yes

32no

3

Hitag2256

4HitagS-256

no5

HitagS-2048 2048 5Mifare Classic

13,56 MHz

8K und 32K 48Bit Key

yes

32 oder 56 13Mifare Desfire 32K 112Bit Key

56

no 14Mifare Desfire EV1

16K, 32K, 64K 56, 112, 128, 168 Bit no yesMifare Desfire EV2

EM4450

125 kHz

1024

no

32

yes

no

6EM4550 6EM4205

512

7EM4305 7

EM4469 8

EM4200

0 no

128

no

9EM4100

64

10EM4102 11TK4100 12

LegicPrime

13,56 MHz r/w1-16K no no 32 yes no 15

Advant 16-64K 56, 112, 128, 168 Bit yes 56 no yes

Updated: 2016-01-08/2 Am Bahnhof 3-548565 Steinfurt http://www.os-s.deinfo@os-s.de

EmulationPossible

32Bit Password Send in clear

2x32Bit Keys and 4x32 Bit Passwords

48Bit Key and 24 Bit Password

EM Microelectronic

32Bit Password Send in clear

32 plus 10 Bit CustomerCode

Readonly(UID)

Fazit

● Low frequency– Wenig Energie– Kein sicherer Transponder am Markt verfügbar

● High frequency– KannKann sicher sein (z.B. Mifare Desfire EV1)

● Tabelle– http://www.os-s.net/transponder-overview.pdf

Fragen?

Kontakt:

info@os-t.de

www.os-s.de

Quellenverzeichnis

● Hitag S Transponder Datenblatt

http://www.proxmark.org/files/Documents/125%20kHz%20-%20Hitag/HitagS.V11.pdf

● HT RC130 00 HITAG(TM) Co Processor Datenblatt

http://www.electro-tech-online.com/attachments/dshtrc130-v1-13-pdf.43694/

● Gone in 360 Seconds: Hijacking with Hitag2

https://www.usenix.org/conference/usenixsecurity12/technical-sessions/presentation/verdult

● C. Wiener. Software optimized 48-bit Philips/NXP Mifare Hitag2 stream cipher algorithm

https://web.archive.org/web/20110816014938/http://cryptolib.com/ciphers/hitag2/hitag2.c