1 / 103

Informatica: Cyber Security Chipkaarten (Smartcards)

Informatica: Cyber Security Chipkaarten (Smartcards). Erik Poll Digital Security groep. Overzicht. Wat is cyber security? Chipkaarten , RFID, en NFC Hoe kraak je een chipkaart ? Case study: het electronische paspoort Hoe kraak je een chipkaart ? ( vervolg ).

shlomo
Download Presentation

Informatica: Cyber Security Chipkaarten (Smartcards)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Informatica: Cyber SecurityChipkaarten (Smartcards) Erik Poll Digital Security groep

  2. Overzicht • Wat is cyber security? • Chipkaarten, RFID, en NFC • Hoe kraak je eenchipkaart? • Case study: het electronischepaspoort • Hoe kraak je eenchipkaart? (vervolg)

  3. Wat is Cyber Security?

  4. Beveiligen van computers

  5. Beveiligen van en met computers die dan zelf natuurlijk ook weer beveiligd moeten zijn

  6. Beveiligen van online diensten

  7. Slammer Worm (zaterdag 25 januari 2003, 5:29)

  8. Slammer Worm (zaterdag 25 januari 2003, 6:00)

  9. Beveiligen van kritieke infrastructuur

  10. North-east blackout

  11. Het belang van cyber security: • Leuke filmpjes over de impact www.youtube.com/user/maxcornelisse

  12. Dat was nep, dit is echt! http://www.youtube.com/watch?v=dZfxdctzX6Q of zoek op youtube startonderbreker

  13. Cyber security: breder dan enkel de techniek Cyber security (en informatica) gaat niet alleen over de techniek van computers & software, maar ook over het gebruik ervan! Bijvoorbeeld • begrijpen van de gebruiker • en social engineering • inschatten van risico’s en besluiten over tegenmaatregelen • organisatie van digitale beveiliging • vervolging & opsporing • juridische aspecten • maatschappelijke impact, bijv mbt privacy

  14. Voorbeeld van juridische vragen Nieuwe technologie vereist ook nieuwe wetgeving • is versturen van spam illegaal? • is inbreken op computer inbraak? • is kopiëren van een DVD diefstal ? • is een film up- of downloaden strafbaar? • moeten ISPs de Pirate Bay blokkeren?

  15. Chipkaarten

  16. Verschillen? Overeenkomsten?

  17. Chipkaarten vs andere computers • Er is geenfundamenteelverschiltussen • chipkaartkandata opslaanen berekeningenuitvoeren • een USB stick kanalleenmaaropslaan • NB erzijnmeerchipkaarten in de werelddan laptops! • Chipkaartheeftbeperkingen • geentoetsenbord en geen display • Maarchipkaart is beterbeveiligd • Je kunt de hardeschijfernietuithalen! • Je kuntergeen software bijzetten • in principewel, maarditstaatmeestal “dicht” • De software is erg simpel, en dushopelijkvrij van security bugs

  18. Chipkaarten: standaard specs • een hele simpele processor single-core 36 MHz ipv multi-core 2GHz processor met in de orde van 1-4 Kbyte RAM • EEPROM geheugen ipv harde schijf vergelijkbaar met flash of SSD geheugen in USB stick of geheugenkaart enkele tientallen Kbytes ipv Gbytes geheugen Welke informatie denk je dat er op je bankpas staat? PIN code, saldo van chipknip, en geheime cryptografische sleutels

  19. Contacten van een chipkaart Externe stroom toevoer (VCC) en klokpuls • Originally 5 V, now also 3V or 1.8V • Vpp – hoger voltage for het schrijven van EEPROM wordt niet meer gebruikt omdat dit een beveiligingszwakheid is

  20. Basisprincipe: authenticatie mbv chipkaart • De chipkaart kan bewijzen dat hij de sleutel weet, zonder de sleutel te verraden: de geheime sleutel verlaat nooit de kaart • NB het verschil met wachtwoorden om te bewijzen wie je bent processor geheugen geheime sleutelK challenge c response versleutelK(c)

  21. Toepassingen van dit basisprincipe • Authenticatie van je SIM kaart door telefoon netwerk • Authenticatie van je bankpas door geldautomaat • Je ziet dit principe ook in actie bij internetbankieren bij Rabobank en ABN-AMRO

  22. Hoe “kraak” je een chipkaart? n versleutelKEY{n}

  23. Hoe “kraak” je een chipkaart? Hoe kraak je een chipkaart die een challenge-response mechanisme gebruikt? • Probeer alle mogelijk sleutels (zgn brute force attack) • meestal kost dat (te) veel tijd • Probeer zwakheden te ontdekken in het versleutelingsalgoritme • bij slechte algoritmes lukt dat soms...

  24. afgelopen zaterdag

  25. RFIDRadio Frequency IDentification

  26. RFID • Draadloze chipkaarten heten ook wel RFID tags en bevatten een minicomputertje met draadloos netwerk • RFID is een verzamelijknaaam voor allerlei soorten tags, in verschillende vormen

  27. Contactloze chipkaart van binnen chip antenne

  28. met verschillende versleutelingsalgoritmes (of geen !) werken op verschillende frequenties & afstanden Andere soorten RFID tags

  29. RFID binnenkort: contactloos betalen

  30. RFID toepassing: dieren identificatie Veel van deze RFID tags doen niet aan versleuteling, maar communiceren gewoon uniek ID nummer

  31. identificatie (zonder challenge-response) uniek serie nummer (en evt. nog wat data) • zo werkten RFID in honden en de wegwerp-ov chipkaart • gevanceerderde kaarten die wel een challenge-response doen sturen vaak ook eerst nog een uniek serienummer

  32. Hoe “kraak” je een RFID systeem? • Toegangscontrole op basis van een uniek serie nummer is eenvoudig te breken, met een replay attack : gewoon nazeggen wat een echte kaart zegt communicatie wegwerp ov-kaart

  33. Wat theoretische concepten

  34. Identificatie vs Authenticatie • Identificatie: wie ben je? Een “naam”: je naam, SOFI nummer, email adres, ... • Authenticatie: ben je echt wel wie je zegt dat je bent? • Bijv. met ID-kaart, mbv pasfoto en/of handtekening • Volgende probleem: hoe weet je dat dat deze ID-kaart echt is?

  35. Autorisatie • Autorisatie: Wat mag je? • Soms gaat dit zonder identificatie • Soms gaan dit met identificatie

  36. NFC

  37. NFC: RFID op je telefoon • Near Field Communication: Technology voor draadloze communicatie in smartphones • te vergelijken met Bluetooth, maar werkt alleen op veel kortere afstand (1 – 2 cm) • NFC is compatibel met één vd vormen van RFID • namelijk ISO 14443, oftwel `proximity cards’ • zoals: ov-chipkaart, e-paspoort, en contactloze bankpas

  38. Een NFC telefoon kan kaartóf lezer spelen

  39. Het electronische paspoort

  40. e-paspoort • Electronisch paspoort oftewel biometrisch paspoort • bevat RFID chip oftewelcontactloze smartcard e-paspoort logo

  41. e-identiteitskaart • Dezelfde chip zit ook in identiteitskaarten (sinds 2006)

  42. Zelf paspoorten uitlezen Je kunt je eigen paspoort of id-kaart uitlezen met • een NFC telefoon met de NFC passport reader https://play.google.com/store/apps/details?id=nl.novay.nfcpassportreader • een laptop of PC met een RFID reader en de JMRTD software https://jmrtd.org Elke 13.65 MHz reader zou moeten werken Zie http://jmrtd.org/installation.shtml voor voorbeelden

  43. Wat zit er op de paspoort chip? • programma (software) in Nederlandse paspoorten: een Java programma • data (bestanden) • paspoort foto als JPEG • miv 2009 ook vingerafdruk • in toekomst misschien ook iris scan

  44. Beveiling: risico’s & eisen • Wat zijn de beveiligingsrisico’s van een e-paspoort? Welke aanvallen kun je bedenken? • Wat zijn de beveiligingsdoelen van een e-paspoort? Wat zijn de garanties die je wil dat een paspoort biedt? Welke beveiligingsmechanismen zaten er vroeger al in het paspoort, voordat er een chip in zat?

  45. Bedreigingen versus beveiligingeisen Bedreigingen • afluisteren • stiekemuitlezen • neppaspoorten • paspoortenstukmaken (Denial of Service) Eisen • garanderenvertrouwelijkheid • garanderen van toegangscontrole • garanties van de authenticiteit (echtheid, oftewelintegriteit) • resilience

  46. Voor- en nadelen van contactloze ipv contact-chipkaart • voordelen • handig in gebruik • geen slijtage van de contacten • nadelen • communicatie is af te luisteren • je kunt stiekem tegen een paspoort praten, zonder dat de eigenaar het weet • bijv. als het in je broekzak zit

  47. passieve aanval afluisteren van de communicatie tussen paspoort en lezer (bijv op Schiphol) mogelijk op 10-20 meter aktieveaanval oftewelvirtueelzakkenrollen stiekem met het paspoortcommuniceren mogelijk op +/- 25 cm het activeren van de chip vereisteensterkmagnetischveld passieve vs aktieve aanvallen

More Related