(Впервые опубликовано – март 2008)
Подробности о взломе секретной криптосхемы RFID-чипов Mifare.
В первых числах марта (2008) коллективом студентов и сотрудников исследовательской группы «Цифровая безопасность» в голландском университете Radboud, г. Неймеген, была выявлена серьезнейшая уязвимость в бесконтактных смарт-картах широко распространенного типа (см. И грянул гром).
Подобные устройства, иногда называемые проксимити-картами, построены на основе RFID-чипов, то есть микросхем радиочастотной идентификации.
На сегодняшний день пластиковые и картонные карточки с запрессованным в них RFID массово используются по всему миру в таких качествах, как пропуска для автоматизированного контроля доступа на охраняемые объекты, карты оплаты проезда в транспорте, цифровые кошельки для мелких покупок, дисконтные карты в сетях торговли и куча других самых разных приложений.
Голландцами же была взломана система защиты в чипах типа Mifare Classic, изготовляемых компанией NXP, в прошлом – полупроводниковым подразделением корпорации-гиганта Philips.
Разных типов чипы Mifare на нынешнем рынке бесконтактных карт занимают абсолютно доминирующее положение, причем на Mifare Classic, имеющие оптимальное соотношение цена / безопасность, приходится доля порядка 90%. В более же конкретных цифрах, общемировое число продаж этих карт в разных источниках оценивается количествами от 1 до 2 миллиардов штук.
В современной жизни Голландии карты Mifare Classic занимают вообще особое место, поскольку на их основе реализован гранд-проект OV-chipkaart – разворачиваемая ныне общенациональная система единой оплаты проезда в общественном транспорте от метро и автобусов до железных дорог.
Похожая ситуация характерна для многих мегаполисов планеты вроде Лондона, Гонконга или Милана. В Москве, в частности, карточки Mifare Classic – это не только проездные в метро, но еще и «социальная карта москвича», перезаряжаемые карточки студентов и школьников, проездные для электричек и так далее.
Еще более важно, возможно, то, что чипы Mifare Classic очень широко используются и в Голландии, и по всему миру в картах пропусков для прохода в здания корпораций и правительственных учреждений.
Все это означает, естественно, что слабости в защите подобной системы будут иметь весьма широкие и серьезные последствия. Если такую карту несложно клонировать, то в принципе становится, к примеру, возможен доступ на охраняемые объекты под видом чужой, украденной у кого-то личности. Читать «Ясно, что небезопасно» далее
kiwi arXiv 