Post on 13-May-2015
1Instituut voor Informatica en Informatiekunde
Magneetstrip-en
chipkaarten
Engelbert Hubbers Erik Poll
Digital Security
Informatica en InformatiekundeRadboud Universiteit Nijmegen
2Instituut voor Informatica en Informatiekunde
pasjes & kaarten
3Instituut voor Informatica en Informatiekunde
1. optisch leesbare kaarten
– streepjescode of tekst
2. magneetstripkaarten
3. chipkaarten
4. contactloze chipkaarten
• RFID
4Instituut voor Informatica en Informatiekunde
Een contactloze chipkaart van binnen
antennechip
5Instituut voor Informatica en Informatiekunde
RFID
• Draadloze chipkaarten heten ook wel RFID tags
een minicomputertje met draadloos netwerk
– RFID = Radio Frequency IDentification
• RFIDs heb je in allerlei soorten & maten
6Instituut voor Informatica en Informatiekunde
RFID toepassing: dieren identificatie
7Instituut voor Informatica en Informatiekunde
Hoe hack je een RFID systeem?
8Instituut voor Informatica en Informatiekunde
replay attack
• luister af wat ov-chipkaart tegen de lezer zegt
communicatie
9Instituut voor Informatica en Informatiekunde
replay attack
• luister af wat ov-chipkaart tegen de lezer zegt
en maak apparaat dat precies hetzelfde zegt
communicatie
10Instituut voor Informatica en Informatiekunde
Hoe voorkom je een replay attack?
• zorg dat communicatie tussen RFID en lezer steeds
anders is (zgn challenge-response mechanisme)
vraag
antwoord
??
11Instituut voor Informatica en Informatiekunde
challenge-response
• hierbij wordt versleuteling gebruikt:
het antwoord is een versleuteling van de vraag met
een geheime sleutel
n
versleutelKEY{n}
12Instituut voor Informatica en Informatiekunde
reverse engineering
Hoe kun je zo'n challenge-response mechanisme kraken?
1. probeer achter het versleutelingsalgoritme te komen
– vaak is dat een openbare standaard, soms niet
2. probeer achter de sleutel te komen, door
– alle mogelijke sleutels te proberen
– kost meestal (te)veel tijd
of
– bij slecht ontworpen versleutelingsalgoritme, is de sleutel
vaak sneller te bepalen
13Instituut voor Informatica en Informatiekunde
Skimmen
14Instituut voor Informatica en Informatiekunde
Iets verdachts?
15Instituut voor Informatica en Informatiekunde
Skimmen
16Instituut voor Informatica en Informatiekunde
Skimvoorzetstuk voor NS kaartjesautomaat
17Instituut voor Informatica en Informatiekunde
18Instituut voor Informatica en Informatiekunde
NS kaartjesautomaat met antiskim-knobbels
19Instituut voor Informatica en Informatiekunde
kaartautomaat met (slecht) anti-afkijkdak op Nijmegen CS
20Instituut voor Informatica en Informatiekunde
Skimmen 2.0
21Instituut voor Informatica en Informatiekunde
afluisteren van chipkaart communicatie
22Instituut voor Informatica en Informatiekunde
afluisteren van draadloze chipkaart communicatie
23Instituut voor Informatica en Informatiekunde
afgelopen zaterdag
24Instituut voor Informatica en Informatiekunde
Vragen?