Автор: Киви Берд

В первых числах марта коллектив студентов и сотрудников исследовательской группы "Цифровая безопасность" в университете Radboud города Неймеген (Нидерланды) обнаружил серьезнейшую уязвимость в бесконтактных смарт-картах широко распространенного типа. Подобные устройства, иногда называемые проксимити-картами, построены на основе RFID-чипов, то есть микросхем радиочастотной идентификации.

На сегодняшний день пластиковые и картонные карточки с запрессованным в них RFID используются в самом разном качестве: как пропуска, средства оплаты проезда, цифровые кошельки для мелких покупок, дисконтные карты в торговых сетях и т. д. и т. п. Голландцам удалось взломать защиту в чипах типа Mifare Classic, изготовляемых компанией NXP, в прошлом - полупроводниковым подразделением корпорации Philips. Чипы Mifare занимают доминирующее положение на рынке бесконтактных карт, причем на долю Mifare Classic, имеющих оптимальное соотношение цена/безопасность, приходится около 90%. Общее число проданных карт компания Mifare оценивает в 500 млн. штук (другие источники сообщают об 1–2 млрд.).

В современной жизни Голландии карты Mifare Classic занимают особое место, поскольку на их основе реализован гранд-проект OV-chipkaart - разворачиваемая ныне общенациональная система единой оплаты проезда в общественном транспорте - от метро и автобусов до железных дорог. Нечто подобное делается во многих мегаполисах планеты - Лондоне, Гонконге, Милане. Так, в Москве карточки Mifare Classic - это не только проездные в метро, но и "социальная карта москвича", перезаряжаемые карточки студентов и школьников, проездные для электричек и т. д. Но, вероятно, еще важнее, что чипы Mifare Classic широко используются по всему миру в картах пропусков для прохода в здания корпораций и правительственных учреждений.

Все это означает, что слабости в защите таких карт будут иметь очень серьезные последствия. Если карту нетрудно клонировать, то становится возможным проход посторонних лиц на охраняемые объекты. Осуществимо ли это, решили проверить "на себе" голландские исследователи из университета Radboud, в котором допуск в здания контролируется, как и повсюду в Нидерландах, с помощью Mifare Classic.

Члены группы Digital Security поставили перед собой цель отыскать слабости в собственных пропусках, а найдя их, попытаться клонировать карты. Результатом исследований стало обнаружение серьезных дефектов в механизме аутентификации Mifare Classic, позволивших:

1) полностью восстановить секретную схему алгоритма шифрования Crypto-1, запечатанного в чип для защиты данных;

2) отыскать относительно простой и дешевый метод для извлечения криптоключей из чипа.

В результате удалось смоделировать атаку и успешно клонировать карточку-пропуск Mifare Classic для входа в здания университета.

Платформа Mifare до последнего времени включала в себя пять основных типов микросхем для карт с бесконтактным, двойным (чип/магнитная полоса) и тройным (чип/полоса/USB) интерфейсом. В связи с компрометацией Mifare Classic фирма NXP только что объявила о вводе до конца 2008 года нового, криптографически более сильного чипа Mifare Plus, в основе которого лежит алгоритм AES.

Самые простые, а потому самые дешевые и распространенные в реальных приложениях типы - это Ultralight (MF0 U10, U11) и Classic или Standard (MF1 S50, S70). У этих чипов нет процессора и, соответственно, операционной системы, а у Ultralight нет и никакой криптографии. Объем памяти EEPROM - от 512 байт (Ultralight) до 1 и 4 Кбайт (Classic).

Остальные три типа построены на основе процессора 80С51. Они имеют более развитую функциональность на основе Java, но и стоят существенно дороже - доллары, а не десятки центов, как Mifare Classic или копеечный Ultralight. Самый дешевый чип из числа дорогих, DESFire (MF3 D40), реализует крепкий шифр 3DES и имеет перезаписываемую память 4 Кбайт. Карта Mifare ProX (P8RF) имеет двойной интерфейс (плюс магнитная полоса), 3DES и криптографию с открытым ключом, от 32 до 64 Кбайт оперативной памяти. Самый продвинутый чип для бесконтактных карт, SmartMX (P5xD, P5CT), оснащен тройным интерфейсом (плюс USB), более вместительной памятью ROM и EEPROM, а в наборе шифров дополнен стойким современным криптостандартом AES. В приложениях, связанных с оснащением новых "электронных" паспортов технологией RFID, чипы SmartMX являются общепринятым стандартным решением.

Бесконтактная смарт-карта Mifare Classic была разработана в середине 1990-х годов. По сути, это чип памяти с дополнительными функциями защиты содержимого. Поскольку здесь нет процессора, функциональность карты не программируется. Криптографические операции, которые способен выполнять чип, реализованы на аппаратном уровне в виде так называемого регистра сдвига с линейной обратной связью, или LFSR (linear feedback shift register), и "фильтр-функции" для усложнения генерируемой шифр-последовательности. Этот криптоалгоритм, носящий имя Crypto-1, является коммерческой тайной NXP и никогда не публиковался для независимого анализа. Таким образом, безопасность карт Mifare Classic в значительной степени опирается на то, что устройство криптоалгоритма хранится в тайне. Такой подход принято именовать "безопасность через неясность" (security by obscurity), причем среди большинства серьезных криптографов он считается в корне ошибочным и бессчетное количество раз скомпрометированным. Не стал исключением и случай с Crypto-1.

Типичный способ применения криптографии карт Mifare Classic - в процедурах аутентификации. Цель таких процедур, как известно, состоит в том, что две связывающиеся стороны неким формальным способом доказывают друг другу, кем они являются. Делается это предъявлением какой-либо известной обеим сторонам секретной информации, так называемого разделяемого секрета (или, иначе, общего криптоключа). Обе стороны, в данном случае карта Mifare и считывающий ее прибор, выполняют определенные операции, а затем сверяют получившиеся результаты, дабы быть уверенными в легитимности оппонента.