angriffsverfahren auf 125khz transponder für ... · angriffsverfahren auf 125khz transponder für...
TRANSCRIPT
Angriffsverfahren auf 125kHz Transponder für
ZutrittskontrollsystemeOguzhan Cicek
Hendrik SchwartkeRalf Spenneberg
OpenSource Security Ralf Spenneberg
OpenSource Security
● Linux Sicherheit● Widerstandsanalysen
– Embedded Systems
– RFID Systems
– Industrial Control Systems
Schließanlagen Konzepte
● Online– Schließberechtigungen zentral gespeichert
– Häufig lediglich eine Identifikation des TAG's
– Teilweise auch eine Authentifizierung
● Offline– Schließberechtigungen auf dem TAG– Manipulations- und Integritätsschutz erforderlich– Teilweise Authentifizierung
Frequenzbereiche
● Low frequency:– 125 – 134 kHz
● High frequency:– 13,56 MHz
● Ultra-high frequency:– 433 und 860 – 960 MHz
Hitag S
● 125 kHz● 32, 256 und 2048 Bit● “Target Markets: Animal Identification,
Laundry Automation [...]”● Authentifizierung
– 48 Bit Key, 24 Bit Passwort
– Undokumentierte Verschlüsselungscipher
Warum Hitag S ?
● Hitag S “offiziell” noch sicher● Systeme teilweise an Hitag S gebunden● Ersatz der Schließanlage
– Demo Systeme verschiedener Hersteller
Hitag S – Authentifizierung
Cipher?
● Hitag S Datenblatt– Hitag S Memorylayout wie Hitag 2
● Philips Co Processor HT RC130– Hitag 1/2/S
– Keine Hitag S spezifischen Kommandos
● Hitag S Cipher = Hitag 2 Cipher ?● Hitag 2 Cipher: I. C. Wiener 2006
Hitag 2 Cipher = Hitag S Cipher
https://web.archive.org/web/20120127012528/http://cryptolib.com/ciphers/hitag2
Hitag S - Angriffe
● Proxmark 3– Hitag S Lesegerät– Hitag S Schreibgerät– Hitag S Emulator
● Replay Angrif● Brute Force
– CPU (Intel Core i5 3210m) = 700 Tage– GPU (NVIDIA GeForce GTX 760) = 180 Tage
Hitag S - Angriffe
● Cryptoanalytischer Angriff (Usenix 2012)
– 150 Challenges = 5 min● Konfiguration-Bits
– AUT = Authentication– LCON = Lock CONfiguration– LKP = Lock Key and Password
SAT Solver
● SAT = satisfiability● Tools: Minisat, CryptoMiniSat4, … ● Konjunktive Normalform (CNF)
–
● Hitag S Cipher => CNF
SAT Solver
● Keystream Bits: – Ersten 32 Bit vom 'Secret Data'– Nächsten 8 Bit vom {Con2}
=> Pro Authentifizierung 40 Bits
● Nur 2 Challenges benötigt
● Ergebnis: 16 Bit vom Key in 2-5 Tagen
Restlichen 32 Bit des Keys
● Brute Force (~ 10 min)● Rollback Cipher (< 100ms)
– 32 UID und 32 UID RND bekannt
– “Rollt” den Cipher zum Zustand 0 zurück
Hitag S vollständig auslesen
● Lesegeschützte Seiten– Key (48 Bit)– Passwort (24 Bit)
● Passwort wird in der Authentifizierung verschlüsselt übertragen
Hitag S klonen
● Hitag S Lese-/Schreibgerät und Emulator– Proxmark 3
● Dauer– Traces sammeln: > 1sec
– 48 Bit Key brechen: ~ 5 min
– Transponder klonen: < 1 sec
RFID Transponder Security Overview
Vendor Tag Frequency Function Mem (bits) Authentication Encryption UID (bits) Secure Doc
AtmelTemic T5557
125 kHz
r/w
330no 40
yes
no1
Temic T5567 2Temic T5577 363 2
NXP
Hitag1
125 kHz
2048yes
32no
3
Hitag2256
4HitagS-256
no5
HitagS-2048 2048 5Mifare Classic
13,56 MHz
8K und 32K 48Bit Key
yes
32 oder 56 13Mifare Desfire 32K 112Bit Key
56
no 14Mifare Desfire EV1
16K, 32K, 64K 56, 112, 128, 168 Bit no yesMifare Desfire EV2
EM4450
125 kHz
1024
no
32
yes
no
6EM4550 6EM4205
512
7EM4305 7
EM4469 8
EM4200
0 no
128
no
9EM4100
64
10EM4102 11TK4100 12
LegicPrime
13,56 MHz r/w1-16K no no 32 yes no 15
Advant 16-64K 56, 112, 128, 168 Bit yes 56 no yes
Updated: 2016-01-08/2 Am Bahnhof 3-548565 Steinfurt http://[email protected]
EmulationPossible
32Bit Password Send in clear
2x32Bit Keys and 4x32 Bit Passwords
48Bit Key and 24 Bit Password
EM Microelectronic
32Bit Password Send in clear
32 plus 10 Bit CustomerCode
Readonly(UID)
Fazit
● Low frequency– Wenig Energie– Kein sicherer Transponder am Markt verfügbar
● High frequency– KannKann sicher sein (z.B. Mifare Desfire EV1)
● Tabelle– http://www.os-s.net/transponder-overview.pdf
Quellenverzeichnis
● Hitag S Transponder Datenblatt
http://www.proxmark.org/files/Documents/125%20kHz%20-%20Hitag/HitagS.V11.pdf
● HT RC130 00 HITAG(TM) Co Processor Datenblatt
http://www.electro-tech-online.com/attachments/dshtrc130-v1-13-pdf.43694/
● Gone in 360 Seconds: Hijacking with Hitag2
https://www.usenix.org/conference/usenixsecurity12/technical-sessions/presentation/verdult
● C. Wiener. Software optimized 48-bit Philips/NXP Mifare Hitag2 stream cipher algorithm
https://web.archive.org/web/20110816014938/http://cryptolib.com/ciphers/hitag2/hitag2.c