1Instituut voor Informatica en Informatiekunde

Magneetstrip-en

chipkaarten

Engelbert Hubbers Erik Poll

Digital Security

Informatica en InformatiekundeRadboud Universiteit Nijmegen

2Instituut voor Informatica en Informatiekunde

pasjes & kaarten

3Instituut voor Informatica en Informatiekunde

1. optisch leesbare kaarten

– streepjescode of tekst

2. magneetstripkaarten

3. chipkaarten

4. contactloze chipkaarten

• RFID

4Instituut voor Informatica en Informatiekunde

Een contactloze chipkaart van binnen

antennechip

5Instituut voor Informatica en Informatiekunde

RFID

• Draadloze chipkaarten heten ook wel RFID tags

een minicomputertje met draadloos netwerk

– RFID = Radio Frequency IDentification

• RFIDs heb je in allerlei soorten & maten

6Instituut voor Informatica en Informatiekunde

RFID toepassing: dieren identificatie

7Instituut voor Informatica en Informatiekunde

Hoe hack je een RFID systeem?

8Instituut voor Informatica en Informatiekunde

replay attack

• luister af wat ov-chipkaart tegen de lezer zegt

communicatie

9Instituut voor Informatica en Informatiekunde

replay attack

• luister af wat ov-chipkaart tegen de lezer zegt

en maak apparaat dat precies hetzelfde zegt

communicatie

10Instituut voor Informatica en Informatiekunde

Hoe voorkom je een replay attack?

• zorg dat communicatie tussen RFID en lezer steeds

anders is (zgn challenge-response mechanisme)

vraag

antwoord

??

11Instituut voor Informatica en Informatiekunde

challenge-response

• hierbij wordt versleuteling gebruikt:

het antwoord is een versleuteling van de vraag met

een geheime sleutel

n

versleutelKEY{n}

12Instituut voor Informatica en Informatiekunde

reverse engineering

Hoe kun je zo'n challenge-response mechanisme kraken?

1. probeer achter het versleutelingsalgoritme te komen

– vaak is dat een openbare standaard, soms niet

2. probeer achter de sleutel te komen, door

– alle mogelijke sleutels te proberen

– kost meestal (te)veel tijd

of

– bij slecht ontworpen versleutelingsalgoritme, is de sleutel

vaak sneller te bepalen

13Instituut voor Informatica en Informatiekunde

Skimmen

14Instituut voor Informatica en Informatiekunde

Iets verdachts?

15Instituut voor Informatica en Informatiekunde

Skimmen

16Instituut voor Informatica en Informatiekunde

Skimvoorzetstuk voor NS kaartjesautomaat

17Instituut voor Informatica en Informatiekunde

18Instituut voor Informatica en Informatiekunde

NS kaartjesautomaat met antiskim-knobbels

19Instituut voor Informatica en Informatiekunde

kaartautomaat met (slecht) anti-afkijkdak op Nijmegen CS

20Instituut voor Informatica en Informatiekunde

Skimmen 2.0

21Instituut voor Informatica en Informatiekunde

afluisteren van chipkaart communicatie

22Instituut voor Informatica en Informatiekunde

afluisteren van draadloze chipkaart communicatie

23Instituut voor Informatica en Informatiekunde

afgelopen zaterdag

24Instituut voor Informatica en Informatiekunde

Vragen?