Skip to content

Wieso RFID unsicher ist

2. April 2008

Laut einem Bericht der Seite EETimes hat der Chaos Computer Club nach dem vor kurzem erfolgten spektakulären Coup um Wolf*an* Schäubles Fingerabdrücke ein weiterer praktischer Beitrag zur Biometrie- und RFID-Debatte geglückt. Laut dem Artikel sollen die Hacker (in Kooperation mit IT-Experten von der University of Virginia) geschafft haben, bei einem recht verbreiteten und für Dinge wie Kundenkarten oder auch Zugangskarten (access control) genutzten Chip-Modell die Verschlüsselung zu knacken.

„The Chaos Computer Club (Hamburg, Germany) has cracked the encryption scheme of NXPs popular Mifare Classic RFID chip. […] The achievement allows the crackers to read out data, recharge payment cards, copy RFID cards or generate „new“ users. Man kann sich ausdenken, für welch kreative kriminelle Zwecke dieser Zugang genutzt werden könnte.

Die (proprietäre) Verschlüsselung auf dem seit Mitte der 90er gebräuchlichen Chip ist offenbar mit 48 Bit nicht mehr Stand der Technik, was den Hackern den unautorisierten Zugriff erleichterte. Dies zeigt bereits eines der Probleme beim Einsatz derartiger Technologien auf: Der technische Fortschritt ist momentan im IT-Bereich sehr rasant und nicht immer vorhersehbar. Somit könnten Sicherheitssysteme, die heute als nicht realistisch umgehbar angesehen werden, durch Durchbrüche bei der Hardware oder neue Algorithmen in zehn Jahren alles andere als sicher sein. Führt man nun Systeme wie den biometrischen Reisepass oder Personalausweis ein, geht man ja in aller Regel davon aus, dass diese Dokumente jahrelang problemlos und ohne zusätzliche Sicherheitsrisiken genutzt werden können. Dies aber könnte sich, wie man hier sieht, als Trugschluss erweisen. Einer Manipulation wären dann Tür und Tor geöffnet- ein Zustand, der nicht mehr viel mit Sicherheit zu tun hat- von den Steuergeldern, die der dann nötige Austausch des kompromittierten Chips gegen ein moderneres und sichereres Modell verschlingen würde, ganz zu schweigen.

Angesichts derart eklatanter konzeptioneller Mängel vermag es nicht wirklich zu beruhigen, dass NXP vermeldet, dass der Betroffene Chip „nicht für sicherheitskritsische Anwendungen wie Reisepässe oder Gesundheitskarten verwendet wird. Der hier vorhandene Proof of Concept zielt auf etwas anderes ab: Was heute sicher ist, kann morgen bereits von Kriminellen umgehbar sein, und wer zusätzliche Komplexität in ein System bringt, macht dieses zumindest auf lange Sicht oft angreifbarer.

Neben dem gesellschaftlichen, psychologischen und rechtlichen Aspekt (die alle problematisch genug sind) hat die Kritik an der Einführung von E-Pass und E-Perso also auch eine handfeste technische Komponente- und auf genau diese hat der Chaos Computer Club mit seiner Aktion eindrucksvoll hingewiesen.

Advertisements
4 Kommentare leave one →
  1. 2. April 2008 5:45 pm

    „recharge payment-cards“… bitte, ccc, die anleitung ins netz stellen. dann hol ich mir auch eine rfid-kundenkarte.
    gilt so ein chip als „informationstechnisches system“, greift da §202?

  2. Moschnaak permalink
    7. April 2008 11:50 am

    Das passt doch prima :
    Im Hamburger Werk von NXP wurde im dortigen Test-Zentrum (dort werden Mifare RFID -Chips und auch z.B. E-Pass Chips der neuesten Generation getestet)von verantwortlichen Personen jahrelang gegen das Datenschutzgesetz verstoßen (Beurteilungen auf dem PC,Private Details aus dem Leben der Mitarbeiter auf dem PC,Extra angelegte Ordner über mißliebige Mitarbeiter auf dem PC et.).Der Datenschutzbeauftragte schafft es nachweislich seit Jahren nicht die Verantwortlichen auf das BDSG zu verpflichten….
    Wenn man bei NXP selbst schon so fahrlässig mit dem Datenschutzgesetz umgeht und Datenkriminalität duldet ist es unerklärlich wie so ein Unternehmen für die Herstellung eines E-Passes überhaupt in Frage kommt.
    Die Lidlisierung der Gesellschaft macht also auch vor diesem
    Hi-Tech Unternehmen nicht Halt

    Gruß von der Moschnaak

Trackbacks

  1. Kurz verlinkt (13) » Beitrag » SaarBreaker
  2. Open Mind Blog » Blog Archive » Links 37

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: