mifare-story - IME-USP

Transcrição

A História do MIFARE Classic
Wellington Baltazar de Souza
Instituto de Matemática e Estatı́stica
Laboratório de Segurança de Dados
5 de Maio de 2011
Introdução Definições Ataques Conclusões
Agenda
1
Introdução
Apresentação
Restrições
2
Definições
RFID e Cartões Inteligentes
Variantes
O MIFARE Classic
3
Ataques
Fraquezas e Ataques
Repercussão
4
Conclusões
Conclusões
Referências
Perguntas
Apresentação Restrições
O cartão MIFARE Classic
Alguns Detalhes
Introduzido no mercado em 1994 pela Philips (hoje NXP
Semiconductors);
É um dos Cartões Inteligentes sem contato mais utilizados no
mundo (3,5 bilhoes produzidos, 200 milhões em uso);
Utiliza RFID (Radio Frequence Identification);
Em 2008 foram publicados sérios problemas de segurança;
Devemos levar em conta
Antes de considerar os ataques que minaram a confiança do
cartão MIFARE Classic;
Considerar para que ele foi projetado (cartão sem contato
RFID)
Projetos de Software
Boas práticas em projetos de software
Levantamento de requisitos primeiro momento;
Tecnologia e Implementação segundo momento.
Mas também faz parte do Levantamento de Requisitos
Avaliação de riscos de segurança e como influenciam
Medidas de segurança dentro do sistema;
Escolha de tecnologias e produtos.
Mas com Cartões Inteligentes e RFID ...
As funcionalidades passı́veis de implementação podem ser
fortemente limitadas por recursos;
Talvez exista apenas uma abordagem técnica viável do ponto
de vista de negócio.
Mesmo que haja mais que uma, devemos avaliar riscos e
possı́veis medidas de contorno via back-office ou processos
humanos.
MIFARE foi Considerado Adequado
Durante muitos anos, foi considerado adequado;
Tinha um compromisso equilibrado entre funcionalidade,
velocidade, segurança e custo.
Conclusão Errônea?
Publicações (de Koning Gans et al.; Nohl et al., 2008) e
(Courtois, 2009; Garcia et al., 2009) expõe as vulnerabilidades
de segurança;
Confiança ao MIFARE Classic foi minada;
É difı́cil argumentar que o sistema é tão seguro quanto os
projetistas esperavam ser;
Considerar que foi criado para caber em smart cards usando
RFID.
RFID e Cartões Inteligentes Variantes O MIFARE Classic
Diferenças
RFID = Cartões Inteligentes?
Existe uma confusão ao definir o que é um cartão inteligente e
o que é um RFID;
Terminologia vem de diferentes setores da indústria que tem
produtos com caracterı́sticas que se sobrepõem;
RFID = alguma coisa que se comunica e se identifica por
rádio-frequência;
Não significa tag pequena que associamos com o nome;
Não implica que é seguro.
RFID
Exemplos de RFID
Radar de Identificação Amigo ou Inimigo (primitivo);
Celular pode ser considerado como um RFID de longo alcance
muito sofisticado.
Tipos de RFID
Ativo: Possui fonte de alimentação e transmissores;
Passivo: Utilizam campo eletromagnético de um leitor para
alimentação em uma certa distancia.
Cartões Inteligentes
Cartões Chipados
Os cartões inteligentes como o nome sugere são cartões que
podem ser usados de ”forma inteligente”.
Cartão de Contato: o cartão será inserido em um leitor que
faz o contato fı́sico com a placa dourada do cartão;
Os cartões mais sofisticados possuem resistência à ataques,
micro-controlados, de modo geral são considerados cartões
inteligentes;
A classificação de outros cartões com chip como
”inteligente”é mais subjetiva;
Cartão sem contato: é colocado na proximidade de um leitor,
sendo alimentado e se comunica através do campo
eletromagnético;
O cartão chipado sem contato e RFID são da mesma famı́lia.
Requisitos
RFID, Cartões Inteligentes
Os requisitos de segurança também variam de acordo com as
suas diferentes aplicações;
Proteção criptográfica pode nem sempre ser necessário:
RFID passivas que simplesmente transmitir seu ID;
Ex: Controle de Estoque.
Alguns casos necessitam de mecanismos de segurança mais
robustos:
Questões de privacidade;
Não repúdio;
Não permitir clonagem (unclonability).
ID/Tag Simples
Caracterı́sticas
É o membro mais simples da famı́lia;
A propriedade de segurança é o ID que é somente leitura e
único em dispositivos legı́timos;
Fácil de escutar a transmissão e replicá-lo através de um
emulador ou ID/Tag que permite o controle do campo ID;
ID/Tag com Memória
Caracterı́sticas
Normalmente usada em cartões que têm:
ID único (como o ID/Tag Simples);
Memória com permissão de leitura/escrita;
Não há segurança no protocolo:
É possı́vel ler o conteúdo de dados e / ou utilizar as
informações em um emulador ou clone da plataforma;
Se o emitente acrescenta proteção de integridade dos dados
(MAC), o atacante pode ser impedido de modificar dados;
ID/Tag com Memória Segura
Caracterı́sticas
Usada em cartões que implementam protocolos criptográficos
para controle de acesso da memória:
Normalmente o ID/tag e leitor se autenticam mutuamente
antes de permitir o acesso à memória;
Geralmente com transferência de dados criptografados com
chaves de sessão;
Algumas dividem a memória em partições menores com
diferentes chaves permitindo o suporte a multi-aplicação, com
diferentes chaves atribuı́das a diferentes fornecedores de
aplicações;
ID/Tag com Microcontrolador Segura
Caracterı́sticas
Este é o high-end do grupo;
Com um microcontrolador, você pode apenas armazenar
dados e também de carregar funcionalidades personalizadas;
Existem padrões maduros para a gestão de segurança;
Os produtos mais avançados incluem co-processadores para
criptografia simétrica e assimétrica, criptografia e verificação e
assinatura.
Faixa Genérica entre Cartões Inteligentes e RFID
Aplicações do MIFARE Classic
O que o promete
Utilizado em diversos sistemas do mundo real como uma
ID/Tag Memória Segura;
Afirma que possui as funcionalidades necessárias para a classe
de produto:
Rápido o suficiente para aplicações exigentes;
Custo relativamente Baixo.
O que muda?
O produto agora deve ser considerado como um cartão
simples de memória não garantida;
Isso não significa automaticamente que é inútil, mas a
aplicação que o produto diz se destinar precisa ser revisto.
Caracterı́sticas do MIFARE Classic
Caracterı́sticas
Comunicação baseada no padrão ISO 14443 (ISO/IEC 14443
2008);
Algumas partes do protocolo de comunicação implementados
fora do padrão pela NXP;
A memória é dividida em blocos de dados e agrupados em
setores;
Cada setor contém duas chaves secretas de 48 bits
compartilhadas com o leitor;
Layout de um cartão MIFARE 4K
Caracterı́sticas do MIFARE Classic
Caracterı́sticas
Autenticação mútua de 3 passos com base no protocolo ISO
9798-2 (ISO/IEC 9798-2, 1999), com alguns componentes
proprietários;
Após a identificação do UID, o cartão e o leitor se autenticam
entre si, usando nonces de 32 bits gerados por um PRNG;
Após a autenticação a comunicação entre o leitor e o cartão é
cifrada;
Na autenticação e cifragem usa o algoritmo CRYPTO1, uma
cifra proprietária da NXP que se baseia em um LFSR (Linear
Feedback Shift Register)
GSM e MIFARE Classic
Problema
É um projeto bastante antigo, de 1994, que logo se tornou um
produto de sucesso;
Outro cartão de sucesso parecido foi o SIM usado no GSM,
mais ou menos da mesma época.
Pontos de fraqueza no MIFARE Classic
Caracterı́sticas
O tamanho da chave do MIFARE é bem menor que o GSM;
Telefonia celular na época era muito sem muita preocupação
com privacidade;
A indústria ainda sofria ataques no sistema analógico,
roubando o destaque;
Ainda sim, tentaram um design robusto resistente a ataque,
cerca de 280x mais resistente que o MIFARE Classic;
A cifra de bloco DES, na época com 18 anos de idade e
chaves com 56 bits precisava 28x > MIFARE Classic;
Pode não ser tão simples concluir que o tamanho da chave do
MIFARE Classic teve uma escolha de design ruim;
É certo que o produto nunca teve intenção de alta segurança
e/ou sistemas de proteção de valor elevado.
Caracterı́sticas
Quebra do DES em pouco mais de 22h no final da década de
90 em um esforço patrocinado pela Electronic Frontier
Foundation;
Se em 2000 houvesse uma revisão no MIFARE Classic
provavelmente diria que o produto era vulnerável a ataques de
força bruta, se ele tornasse público e um cracker dedicado
fosse implementado;
Princı́pio de Kerckhoffs, um criptosistema não deve confiar no
sigilo do algoritmo para a sua segurança;
Segurança por obscuridade é amplamente considerada um
princı́pio falho para sistemas de segurança.
Caracterı́sticas
É amplamente aceito que um algoritmo fechado um dia
poderá vazar pelos colaboradores ou será recuperado por
engenharia reversa;
Por volta de 2004 houve rumores de vazamento de
informações confidenciais ou engenharia reversa para
fabricantes asiáticos não autorizados;
Existia uma forte suspeita que o produto fora recuperado por
engenharia reversa para fins comerciais, mas esta informação
não veio a público.
Fraquezas e Ataques Repercussão
Fraquezas do MIFARE Classic
Pontos Fracos
É amplamente aceito que um algoritmo fechado um dia
poderá vazar pelos colaboradores ou será recuperado por
engenharia reversa;
Por volta de 2004 houve rumores de vazamento de
informações confidenciais ou engenharia reversa para
fabricantes asiáticos não autorizados;
Existia uma forte suspeita que o produto fora recuperado por
engenharia reversa para fins comerciais, mas esta informação
não veio a público.
Pontos Fracos
Apesar de ser mantido em segredo pela NXP, o MIFARE
Classic foi aberto publicamente após o trabalho de dois
grupos de pesquisadores, de forma independente, (Nohl et al.,
2007) e (de Koning Gans et al., 2008);
Nohl et al.(2007) fez engenharia reversa reconstruindo o CI
com ajuda de um Microscópio;
de Koning Gans et al.(2008) fez engenharia reversa
espionando a comunicação entre o cartão e o leitor;
Pontos Fracos
Apesar dos nonces serem de 32 bits, o PRNG foi concebido
para usar LFSR com estado de 16 bits;
A geração é redefinida para um estado conhecido do LFSR,
sendo fácil prever e controlar valores ”aleatórios”;
Como era público que a cifra CRYPTO1 usava chaves de 48
bits, foi possı́vel fazer um projeto de hardware dedicado para
recuperar a chave por força bruta;
Além disso, a CRYPTO1 apresentou falhas estruturais que
levaram a otimizações no ataque exaustivo de forma bastante
eficiente para encontrar as chaves (Courtois et al., 2008;
Garcia et al., 2008).
Pontos Fracos
Apesar dos nonces serem de 32 bits, o PRNG foi concebido
para usar LFSR com estado de 16 bits;
A geração é redefinida para um estado conhecido do LFSR,
sendo fácil prever e controlar valores ”aleatórios”;
Como era público que a cifra CRYPTO1 usava chaves de 48
bits, foi possı́vel fazer um projeto de hardware dedicado para
recuperar a chave por força bruta;
Além disso, a CRYPTO1 apresentou falhas estruturais que
levaram a otimizações no ataque exaustivo de forma bastante
eficiente para encontrar as chaves (Courtois et al., 2008;
Garcia et al., 2008).
Repercussão
Repercussão
Os cartões inteligentes, etiquetas RFID e segurança tornou-se
notı́cia de primeira página;
O esforço de engenharia reversa pelas duas equipes fizeram
acender debates éticos;
Um dos argumentos era que foi equivalente invadir e roubar
documentos confidenciais da NXP;
Se a investigação tem objetivo de descobrir coisas novas,
então o máximo que a poderiam fazer era descobrir o que era
conhecido para os designers da NXP em 1994;
Com conhecimento adquirido a indústria poderia projetar
dispositivos mais resistentes;
No entanto, o ponto de vista preferido é que é muito difı́cil
manter um segredo do projeto.
Repercussão
Por que chamou a atenção
Na época ocorria a implantação de um novo sistema de
transporte na Holanda (OV-Chipkaart);
Virou problema polı́tico Top Nacional;
Os investigadores também postaram vı́deo explorando as
vulnerabilidades na internet, despertando ainda mais o
interesse público.
Repercussão
Resultados
O Ministério Holandês de Transportes solicitou uma avaliação
técnica de segurança para TLS (Trans Link Systems);
Por sua vez, o TLS encomendou ao TNO, um centro de
pesquisa holandês independente amplamente respeitado para
realizar este trabalho e produzir um relatório (TNO, 2008),
que de acordo com os crı́ticos minimizou a gravidade e
urgência da situação.
Além disso o Ministério dos Transportes decidiu usar um
perito independente para realizar a revisão do estudo realizado
pelo TNO.
Repercussão
Resultados
A grande gama de ataques (a maioria deles foram
demonstrados na prática) foi possı́vel após a liberação do
relatório do TNO.
Interagir com um leitor e um catão, espionando a
comunicação;
Integarir com um único cartão para realizar diversos tipos de
ataque:
Reproduzir/transmitir informações;
Modificar dados cifrados;
Recuperar Informações das chaves;
Clonar o cartão.
Repercussão
Resultados
Quanto ao segundo ponto é importante salientar que o
sistema está em um estado frágil;
Enquanto isso pode existir indefinidamente sem adversos, mas
há um risco de um evento que poderia prejudicar
drasticamente as medidas de segurança do sistema;
Por exemplo, uma contra-medida da segurança residual do
MIFARE é que o UID é imutável que impedir a clonagem de
um cartão legı́timo.
No entanto, emuladores podem emular o UID e entusiastas
podem andar com estes equipamentos, mas em pequeno
número;
Repercussão
Resultados
Parece que o propósito de um NFC phone relay não está
muito longe que ser uma ameaça a qualquer sistema de
contato, e não apenas MIFARE Classic;
Além disso, se algoritmos de cifra de fluxo são implantados
usando mecanismos de integridade de dados não
criptográficos (como CRCs ao invés de MACs), assim ataques
ativos parecem ser possı́veis, onde os dados do cartão podem
ser modificados usando um phone relay e algum tipo de
software bit-flipping relay.
Conclusões Referências Perguntas
Conclusões
O cartão MIFARE Classic e sua segurança tem recebido muita
atenção recentemente;
Este artigo pode ser visto talvez como a previsão do fim do
MIFARE Classic;
O projeto do cartão é bastante antigo, de 1994. Logo se
tornou um procuto de sucesso, embora podemos concluir que
os recuros de segurança do MIFARE Classic foram resultados
de um projeto de ”más escolhas”;
Pode-se argumentar, que o produto nunca teve a intenção de
alta segurança ou proteção de alto valor;
Conclusões
Isto demonstra a necessidade de uma profunda análise de risco
de qualquer sistema que faz uso de cartões inteligentes e
etiquetas RFID, para garantir que é suficiente para o uso
pretendido;
Se existem outras deficiências no sistema, independentemente
da tecnologia e algoritmos.
Referências
[Mayes, Keith E Cid, Carlos, 2010]
The MIFARE Classic story
Information Security Group, Smart Card Centre, Royal Halloway,
University of London.
[de Koning Gans, Gerhard E Hoepman, Jaap-Henk E Garcia,
Flavio, 2008]
A Practical Attack on the MIFARE Classic.
Springer Berlin Heidelberg.
[Nohl, Karsten E Evans, David E Starbug, S E Plotz, Henryk,
2008]
Reverse-Engineering a Cryptographic RFID Tag.
USENIX Association.
Referências
[Garcia, Flavio E de Koning Gans, Gerhard E Muijrers, Ruben E
van Rossum, Peter E Verdult, Roel E Schreur, Ronny E Jacobs,
Bart, 2008]
Dismantling MIFARE Classic.
ESORICS 2008.
[Kerckhoffs, Auguste, 1883]
La cryptographie militaire.
Perguntas?

mifare-story - IME-USP

Transcrição

Documentos relacionados

A Viagem de Chihiro

evento - Combat Sport

Rallye da Meia Noite - Classic do RS - classic car club

XI Rally Internacional - CCC-RS - classic car club

Habbo e comercio de bens virtuais por criancas

Processo da Respiração de Liberação da

História da América – Independência

- SESCON-ES

O bjectivos

Clique aqui para ter acesso a Revista - cbp