1.04k likes | 1.19k Views
Informatica: Cyber Security Chipkaarten (Smartcards). Erik Poll Digital Security groep. Overzicht. Wat is cyber security? Chipkaarten , RFID, en NFC Hoe kraak je een chipkaart ? Case study: het electronische paspoort Hoe kraak je een chipkaart ? ( vervolg ).
E N D
Informatica: Cyber SecurityChipkaarten (Smartcards) Erik Poll Digital Security groep
Overzicht • Wat is cyber security? • Chipkaarten, RFID, en NFC • Hoe kraak je eenchipkaart? • Case study: het electronischepaspoort • Hoe kraak je eenchipkaart? (vervolg)
Beveiligen van en met computers die dan zelf natuurlijk ook weer beveiligd moeten zijn
Het belang van cyber security: • Leuke filmpjes over de impact www.youtube.com/user/maxcornelisse
Dat was nep, dit is echt! http://www.youtube.com/watch?v=dZfxdctzX6Q of zoek op youtube startonderbreker
Cyber security: breder dan enkel de techniek Cyber security (en informatica) gaat niet alleen over de techniek van computers & software, maar ook over het gebruik ervan! Bijvoorbeeld • begrijpen van de gebruiker • en social engineering • inschatten van risico’s en besluiten over tegenmaatregelen • organisatie van digitale beveiliging • vervolging & opsporing • juridische aspecten • maatschappelijke impact, bijv mbt privacy
Voorbeeld van juridische vragen Nieuwe technologie vereist ook nieuwe wetgeving • is versturen van spam illegaal? • is inbreken op computer inbraak? • is kopiëren van een DVD diefstal ? • is een film up- of downloaden strafbaar? • moeten ISPs de Pirate Bay blokkeren?
Chipkaarten vs andere computers • Er is geenfundamenteelverschiltussen • chipkaartkandata opslaanen berekeningenuitvoeren • een USB stick kanalleenmaaropslaan • NB erzijnmeerchipkaarten in de werelddan laptops! • Chipkaartheeftbeperkingen • geentoetsenbord en geen display • Maarchipkaart is beterbeveiligd • Je kunt de hardeschijfernietuithalen! • Je kuntergeen software bijzetten • in principewel, maarditstaatmeestal “dicht” • De software is erg simpel, en dushopelijkvrij van security bugs
Chipkaarten: standaard specs • een hele simpele processor single-core 36 MHz ipv multi-core 2GHz processor met in de orde van 1-4 Kbyte RAM • EEPROM geheugen ipv harde schijf vergelijkbaar met flash of SSD geheugen in USB stick of geheugenkaart enkele tientallen Kbytes ipv Gbytes geheugen Welke informatie denk je dat er op je bankpas staat? PIN code, saldo van chipknip, en geheime cryptografische sleutels
Contacten van een chipkaart Externe stroom toevoer (VCC) en klokpuls • Originally 5 V, now also 3V or 1.8V • Vpp – hoger voltage for het schrijven van EEPROM wordt niet meer gebruikt omdat dit een beveiligingszwakheid is
Basisprincipe: authenticatie mbv chipkaart • De chipkaart kan bewijzen dat hij de sleutel weet, zonder de sleutel te verraden: de geheime sleutel verlaat nooit de kaart • NB het verschil met wachtwoorden om te bewijzen wie je bent processor geheugen geheime sleutelK challenge c response versleutelK(c)
Toepassingen van dit basisprincipe • Authenticatie van je SIM kaart door telefoon netwerk • Authenticatie van je bankpas door geldautomaat • Je ziet dit principe ook in actie bij internetbankieren bij Rabobank en ABN-AMRO
Hoe “kraak” je een chipkaart? n versleutelKEY{n}
Hoe “kraak” je een chipkaart? Hoe kraak je een chipkaart die een challenge-response mechanisme gebruikt? • Probeer alle mogelijk sleutels (zgn brute force attack) • meestal kost dat (te) veel tijd • Probeer zwakheden te ontdekken in het versleutelingsalgoritme • bij slechte algoritmes lukt dat soms...
RFID • Draadloze chipkaarten heten ook wel RFID tags en bevatten een minicomputertje met draadloos netwerk • RFID is een verzamelijknaaam voor allerlei soorten tags, in verschillende vormen
Contactloze chipkaart van binnen chip antenne
met verschillende versleutelingsalgoritmes (of geen !) werken op verschillende frequenties & afstanden Andere soorten RFID tags
RFID toepassing: dieren identificatie Veel van deze RFID tags doen niet aan versleuteling, maar communiceren gewoon uniek ID nummer
identificatie (zonder challenge-response) uniek serie nummer (en evt. nog wat data) • zo werkten RFID in honden en de wegwerp-ov chipkaart • gevanceerderde kaarten die wel een challenge-response doen sturen vaak ook eerst nog een uniek serienummer
Hoe “kraak” je een RFID systeem? • Toegangscontrole op basis van een uniek serie nummer is eenvoudig te breken, met een replay attack : gewoon nazeggen wat een echte kaart zegt communicatie wegwerp ov-kaart
Identificatie vs Authenticatie • Identificatie: wie ben je? Een “naam”: je naam, SOFI nummer, email adres, ... • Authenticatie: ben je echt wel wie je zegt dat je bent? • Bijv. met ID-kaart, mbv pasfoto en/of handtekening • Volgende probleem: hoe weet je dat dat deze ID-kaart echt is?
Autorisatie • Autorisatie: Wat mag je? • Soms gaat dit zonder identificatie • Soms gaan dit met identificatie
NFC: RFID op je telefoon • Near Field Communication: Technology voor draadloze communicatie in smartphones • te vergelijken met Bluetooth, maar werkt alleen op veel kortere afstand (1 – 2 cm) • NFC is compatibel met één vd vormen van RFID • namelijk ISO 14443, oftwel `proximity cards’ • zoals: ov-chipkaart, e-paspoort, en contactloze bankpas
e-paspoort • Electronisch paspoort oftewel biometrisch paspoort • bevat RFID chip oftewelcontactloze smartcard e-paspoort logo
e-identiteitskaart • Dezelfde chip zit ook in identiteitskaarten (sinds 2006)
Zelf paspoorten uitlezen Je kunt je eigen paspoort of id-kaart uitlezen met • een NFC telefoon met de NFC passport reader https://play.google.com/store/apps/details?id=nl.novay.nfcpassportreader • een laptop of PC met een RFID reader en de JMRTD software https://jmrtd.org Elke 13.65 MHz reader zou moeten werken Zie http://jmrtd.org/installation.shtml voor voorbeelden
Wat zit er op de paspoort chip? • programma (software) in Nederlandse paspoorten: een Java programma • data (bestanden) • paspoort foto als JPEG • miv 2009 ook vingerafdruk • in toekomst misschien ook iris scan
Beveiling: risico’s & eisen • Wat zijn de beveiligingsrisico’s van een e-paspoort? Welke aanvallen kun je bedenken? • Wat zijn de beveiligingsdoelen van een e-paspoort? Wat zijn de garanties die je wil dat een paspoort biedt? Welke beveiligingsmechanismen zaten er vroeger al in het paspoort, voordat er een chip in zat?
Bedreigingen versus beveiligingeisen Bedreigingen • afluisteren • stiekemuitlezen • neppaspoorten • paspoortenstukmaken (Denial of Service) Eisen • garanderenvertrouwelijkheid • garanderen van toegangscontrole • garanties van de authenticiteit (echtheid, oftewelintegriteit) • resilience
Voor- en nadelen van contactloze ipv contact-chipkaart • voordelen • handig in gebruik • geen slijtage van de contacten • nadelen • communicatie is af te luisteren • je kunt stiekem tegen een paspoort praten, zonder dat de eigenaar het weet • bijv. als het in je broekzak zit
passieve aanval afluisteren van de communicatie tussen paspoort en lezer (bijv op Schiphol) mogelijk op 10-20 meter aktieveaanval oftewelvirtueelzakkenrollen stiekem met het paspoortcommuniceren mogelijk op +/- 25 cm het activeren van de chip vereisteensterkmagnetischveld passieve vs aktieve aanvallen