< Return to Video

Sicherheit von 125kHz Transpondern am Beispiel Hitag S

  • 0:00 - 0:09
    Vorspannmusik
  • 0:09 - 0:13
    Herald: RFID-Transponder...
    sind etwas
  • 0:13 - 0:19
    sie werden sehr verbreitet eingesetzt.
    Ich denke fast jeder von Euch
  • 0:19 - 0:23
    nutzt für das ein oder andere
    solche Transponder
  • 0:23 - 0:29
    und besonders beliebt sind sie ja
    auch gerne mal als Zugangssystem.
  • 0:29 - 0:32
    Wir hören jetzt einen
    Vortrag über den Hitag S,
  • 0:32 - 0:36
    der eigentlich eingesetzt werden
    soll für unkritische Systeme
  • 0:36 - 0:41
    wie Logistik oder
    Wäscherei-Automatisierung.
  • 0:41 - 0:46
    Spannende Themen. Aber der ein oder
    andere, wie das so gerne ist, denkt sich:
  • 0:46 - 0:50
    Ach was dafür super funktioniert, ey dafür
    mach‘ ich auch mein Zugriffskontrollsystem
  • 0:50 - 0:54
    oder Zutrittskontrollsystem,
    dass Leute in meine Räume können.
  • 0:54 - 0:57
    Das ist natürlich ein bisschen mutig.
  • 0:57 - 1:01
    Und was unsere Speaker
    (Sprecher) hier gemacht haben,
  • 1:01 - 1:05
    ist mal zu gucken, ob sie nicht auch
    diese Systeme angreifen können;
  • 1:05 - 1:08
    von bereits geknackten
    Systemen das mal übertragen
  • 1:08 - 1:12
    und das werden sie uns heute zeigen
    und erklären, was sie gemacht haben.
  • 1:12 - 1:15
    Und dass es vielleicht
    doch nicht so eine gute Idee ist,
  • 1:15 - 1:21
    den Hitag S
    für das Zugriffssystem zu benutzen.
  • 1:21 - 1:26
    Also heißt sie willkommen
    mit einem schönen Applaus,
  • 1:26 - 1:32
    unsere Speaker Ralf Spenneberg
    und Oguzhan Cicek!
  • 1:32 - 1:39
    Applaus
  • 1:39 - 1:43
    Ralf: Ja hallo,
    ich freu‘ mich hier sein zu dürfen.
  • 1:43 - 1:44
    Mein Name ist Ralf Spenneberg.
  • 1:44 - 1:47
    Das ist Oguzhan, der dritte der hier
    auf der Folie steht, ist leider erkrankt
  • 1:47 - 1:51
    und konnte deswegen nicht mitkommen.
    Aber mit dreien hier auf der Bühne
  • 1:51 - 1:55
    wär‘s vielleicht auch ein wenig lächerlich
    gewesen bei nur 30 Minuten...
  • 1:55 - 1:59
    Aber wir hätten uns dann irgendwie
    aufgeteilt; aber schauen wir mal.
  • 1:59 - 2:02
    Was machen wir?
    Wir machen Widerstandsanalysen etc.,
  • 2:02 - 2:04
    das ist die einzige Folie
    zur Werbung.
  • 2:04 - 2:09
    Ansonsten haben wir uns halt
    mit RFID-Systemen beschäftigt.
  • 2:09 - 2:12
    Warum mit RFID-Systemen?
    Was gibt‘s an RFID-Systemen?
  • 2:12 - 2:16
    Vielleicht kurz ein,
    zwei Sachen zum Hintergrund.
  • 2:16 - 2:18
    Die von euch,
    die eben diese Transponder kennen
  • 2:18 - 2:21
    die man so am Schlüsselbund teilweise hat,
    oder die in der Mensa damit bezahlen
  • 2:21 - 2:28
    mit solchen Scheckkarten,
    die also drahtlos bezahlen,
  • 2:28 - 2:32
    die verwenden üblicherweise immer
    irgendeine Art von Transpondertechnologie.
  • 2:32 - 2:37
    Es gibt dort in Abhängigkeit von der
    Frequenz die diese Transponder sprechen
  • 2:37 - 2:40
    drei Bereiche, die
    üblicherweise eingesetzt werden.
  • 2:40 - 2:43
    Es gibt die Low-Frequency-Transponder,
    die High-Frequency-Transponder und
  • 2:43 - 2:45
    und die Ultra-High-
    Frequency-Transponder.
  • 2:45 - 2:49
    Wir beschäftigen uns hier nur mit
    den Low-Frequency-Transpondern.
  • 2:49 - 2:55
    Die Low-Frequency-Transponder werden
    eingesetzt in erster Linie eben,
  • 2:55 - 2:59
    wo ich einen sehr engen Kontakt
    herstellen kann
  • 2:59 - 3:02
    oder auch herstellen möchte
    oder herstellen muss.
  • 3:02 - 3:05
    Ihre Reichweite ist relativ gering.
    Darüber hinaus
  • 3:05 - 3:09
    können sie leider Gottes auch häufig
    nur sehr wenig Energie transferieren.
  • 3:09 - 3:10
    Wenn ich also einen
    passiven Transponder einsetze,
  • 3:10 - 3:16
    kann er nur recht gering angeregt werden
    und kann damit keine
  • 3:16 - 3:19
    großartigen mathematischen
    Operationen durchführen,
  • 3:19 - 3:22
    was bei den High-Frequency-
    Transpondern ein wenig anders ist.
  • 3:22 - 3:25
    Bei den Low-Frequency-Transpondern
    kann man das letzte Problem
  • 3:25 - 3:28
    eigentlich nur dadurch beheben,
    dass ich einen aktiven Transponder verwende,
  • 3:28 - 3:32
    der über eine eigene
    Batterie verfügt.
  • 3:32 - 3:34
    Low- und High-Frequency- werden
    eingesetzt in Schließanlagen,
  • 3:34 - 3:38
    da werde ich am Ende nochmal
    wieder darauf zurückkommen.
  • 3:38 - 3:41
    Ultra-High-Frequency wird verwendet
    vor allem in der Logistik,
  • 3:41 - 3:44
    wo ich noch größere Reichweiten brauche,
    wenn ich also eine Palette
  • 3:44 - 3:46
    aus einer größeren Entfernung auslesen möchte.
  • 3:46 - 3:49
    Ansonsten werden Low- und
    High-Frequency-Transponder
  • 3:49 - 3:56
    eben für alles Mögliche eingesetzt, in Büchereien,
    in Wäschereien, allgemein Logistik, etc.
  • 3:56 - 3:58
    Der Hitag S ist ein 125kHz-Transponder.
  • 3:58 - 4:04
    Es gibt ihn in 3 verschiedenen Varianten.
    Die Varianten mit 256 bit und 2048 bit
  • 4:04 - 4:07
    verfügen über einen eingebauten
    Authentifizierungsmechanismus.
  • 4:07 - 4:12
    Dieser Authentifizierungsmechanismus
    verwendet einen 48bit-Schlüssel,
  • 4:12 - 4:15
    d.h. grundsätzlich ist er
    per Brute Force brechbar,
  • 4:15 - 4:19
    das ist im Grunde inzwischen trivial geworden.
    Er hat darüber hinaus
  • 4:19 - 4:22
    noch ein 24bit-Passwort, was in dem
    Transponder gespeichert wird,
  • 4:22 - 4:26
    mit dem der Transponder sich dann
    selbst wieder authentifizieren kann,
  • 4:26 - 4:30
    dazu gleich mehr, und verwendet dabei
    einen bisher nicht dokumentierten
  • 4:30 - 4:35
    Verschlüsselungs-Cypher.
    Das heißt der Hitag S gilt offiziell
  • 4:35 - 4:39
    bis heute als ungebrochen
    oder als sicher.
  • 4:39 - 4:41
    Es sind weitere Transponder
    aus der Hitag-Familie
  • 4:41 - 4:45
    in der Vergangenheit gebrochen worden
    und wir haben uns eben angeschaut,
  • 4:45 - 4:49
    ob man nicht diese Angriffe tatsächlich auf
    den Hitag S übertragen kann, denn...
  • 4:49 - 4:52
    Warum machen wir das Ganze überhaupt?
  • 4:52 - 4:55
    Wir haben bei uns
    in unserem eigenen Gebäude
  • 4:55 - 4:59
    eine RFID-basierte Schließanlage.
    Die habe ich irgendwann mal
  • 4:59 - 5:04
    2007 eingeführt und ich hatte
    immer ein ungutes Gefühl dabei.
  • 5:04 - 5:06
    Und wir haben uns mit dieser
    Schließanlage beschäftigt,
  • 5:06 - 5:10
    wir haben diese Schließanlage
    ziemlich böse gebrochen.
  • 5:10 - 5:12
    Wir haben Kontakt zum Hersteller aufgenommen,
  • 5:12 - 5:17
    der Hersteller hat es inzwischen gefixt,
    und zum 01.01.2016 werden wir
  • 5:17 - 5:21
    das entsprechende Advisory veröffentlichen
    in dem dann nachlesbar ist,
  • 5:21 - 5:25
    was alles kaputt war und dass man eben entsprechend
    seine Firmware updaten muss.
  • 5:25 - 5:28
    Von daher kann ich da jetzt noch nichts
    drüber sagen, weil ich mich dem Hersteller
  • 5:28 - 5:32
    gegenüber verpflichtet habe, tatsächlich
    bis zum 01.01. zu warten.
  • 5:32 - 5:34
    Wir haben dann nach einer Alternative gesucht
    und wir haben uns Demosysteme
  • 5:34 - 5:39
    verschiedener Hersteller zeigen lassen,
    u.a. ein System was den Hitag S verwendete.
  • 5:39 - 5:42
    Ich hätte es besser wissen müssen, aber
    der Hersteller hat eben unter anderem
  • 5:42 - 5:46
    die Tatsache, dass der Hitag S
    als noch nicht gebrochen gilt
  • 5:46 - 5:49
    als eine besondere Eigenschaft beworben.
    Und dann haben wir uns den Hitag S
  • 5:49 - 5:52
    ein wenig genauer angeschaut.
    Ganz kurz zu Schließanlagen:
  • 5:52 - 5:58
    Schließanlagen gibt es in 2 Varianten: es
    gibt Schließanlagen die online arbeiten.
  • 5:58 - 6:01
    D.h. ihr haltet euren
    Transponder an ein Lesegerät,
  • 6:01 - 6:04
    das Lesegerät kommuniziert irgendwo
    mit einem zentralen Server,
  • 6:04 - 6:08
    der zentrale Server sagt, ob dieser
    Transponder die Berechtigung aufweist,
  • 6:08 - 6:10
    die Tür zu öffnen oder nicht
    zu öffnen.
  • 6:10 - 6:14
    In solchen Fällen
    wird üblicherweise
  • 6:14 - 6:16
    nur die Identifikation
    des Transponders ausgelesen.
  • 6:16 - 6:19
    D.h. in dem Moment wo ich den
    Transponder emulieren kann, oder
  • 6:19 - 6:23
    in dem Moment wo ich einen Transponder
    kaufen kann, dessen Identifikationsnummer
  • 6:23 - 6:26
    – die wird üblicherweise vom Hersteller
    reingeschrieben, ist üblicherweise
  • 6:26 - 6:30
    eindeutig vom Hersteller garantiert – in
    dem Moment wo ich einen Transponder
  • 6:30 - 6:33
    bauen kann indem ich diese
    Identifikationsnummer ändern kann,
  • 6:33 - 6:38
    habe ich einen Schlüsselklon und verfüge
    über genau dieselben Schließberechtigungen.
  • 6:38 - 6:40
    Teilweise gibt es dort aber auch
    inzwischen Schließanlagen,
  • 6:40 - 6:45
    gerade bei den High-Frequency-
    Transpondern, wenn sie die verwenden
  • 6:45 - 6:49
    die dann auch zusätzlich noch die Authentifizierung
    des Transponders mitbenutzen und dann
  • 6:49 - 6:54
    z.B. einen Mifare, Desfire
    oder ähnliches einsetzen.
  • 6:54 - 6:58
    Offline-Schließanlagen – das sind die,
    die wir bei uns z.B. haben und die
  • 6:58 - 7:02
    jetzt auch in diesem Fall eingesetzt
    wurde, die wir uns angeschaut haben –
  • 7:02 - 7:05
    speichern die Schließberechtigung
    auf dem Transponder selbst drauf.
  • 7:05 - 7:10
    D.h. wenn ich in der Lage bin,
    den Transponder auszulesen,
  • 7:10 - 7:13
    möglicherweise selbst zu
    beschreiben und die Informationen,
  • 7:13 - 7:17
    die Schließberechtigungen, nicht besonders
    gesichert sind gegen Manipulation,
  • 7:17 - 7:21
    bin ich sogar in der Lage, die
    Schließberechtigungen zu ändern.
  • 7:21 - 7:23
    Ist bei vielen Schließanlagen
    tatsächlich der Fall.
  • 7:23 - 7:27
    Dort sind ganz grobe Schnitzer
    gemacht worden teilweise
  • 7:27 - 7:31
    in der Art und Weise, wie die Daten drauf
    gespeichert werden. Wie gesagt, am 01.01.
  • 7:31 - 7:36
    gibt‘s ein Advisory dazu. In einigen
    Fällen wird aber zusätzlich auch noch
  • 7:36 - 7:39
    eine Authentifizierung durchgeführt und
    das ist eben beim Hitag S auch der Fall.
  • 7:39 - 7:44
    In dem Moment, wo ich einen derartigen
    Transponder aber auslesen kann
  • 7:44 - 7:50
    und emulieren kann, habe ich
    eine Schlüsselkopie hergestellt.
  • 7:50 - 7:54
    Und jetzt ist das Problem bei den
    Transpondern, dass das ja häufig einfach
  • 7:54 - 7:58
    im Vorbeigehen passieren kann. Ich
    sitze in der Straßenbahn, habe meinen
  • 7:58 - 8:03
    Transponder in der Tasche, habe nicht
    so ein RFID-Shield wie man‘s hier kaufen
  • 8:03 - 8:08
    kann auf dem C3 und jemand setzt sich
    neben mich mit ‘nem Rucksack und liest aus
  • 8:08 - 8:14
    30cm Entfernung meinen Transponder aus.
    Und hat dann eine Schlüsselkopie.
  • 8:14 - 8:17
    Und das sollte so ein
    Transponder verhindern
  • 8:17 - 8:21
    und das haben wir uns halt ein wenig
    angeschaut. Und jetzt übergebe ich
  • 8:21 - 8:23
    an Oguzhan der ein bisschen was zu
    den technischen Details erzählen wird.
  • 8:23 - 8:27
    Oguzhan: Ja, danke Ralf. Das erste was wir
    gemacht haben ist: wir haben uns mal
  • 8:27 - 8:30
    die Authentifizierung angeguckt. Wie wird
    zwischen dem Lese-Schreibe-Gerät
  • 8:30 - 8:34
    und dem Transponder authentifiziert?
    Das sieht so aus, dass als erstes
  • 8:34 - 8:40
    allen Transpondern in der Reichweite die
    UID abgefragt wird.
  • 8:40 - 8:45
    Daraufhin antworten alle Transponder
    mit ihrer eindeutigen 32 bit UID,
  • 8:45 - 8:48
    dann schickt das Lese-Schreibe-Gerät
    einen sogenannten Select-Befehl
  • 8:48 - 8:52
    und wählt einen dieser Transponder aus,
    mit dem es kommunizieren möchte.
  • 8:52 - 8:57
    Dieser ausgewählte Transponder schickt
    dann seine Konfiguration Byte 0..2
  • 8:57 - 9:00
    dem Lese-Schreibe-Gerät; und aus diesen
    Bytes kann man alles über den Transponder
  • 9:00 - 9:04
    entnehmen, was man benötigt. Also: welche
    Speichergröße hat dieser Transponder,
  • 9:04 - 9:07
    möchte der sich überhaupt authentifizieren,
    welche Seiten darf ich überhaupt lesen,
  • 9:07 - 9:11
    welche darf ich beschreiben. Dann kommt
    noch hinzu: welche Modulation muss ich
  • 9:11 - 9:14
    verwenden, mit welchen Geschwindigkeiten.
    Dies kann ich alles aus diesen
  • 9:14 - 9:17
    Konfigurations-Bytes herausnehmen.
  • 9:17 - 9:20
    Falls jetzt gelesen wurde „es
    möchte sich authentifizieren“,
  • 9:20 - 9:25
    dann geht das Lese-Schreibe-Gerät hin
    und bestimmt ‘ne 32bit-Zufallszahl.
  • 9:25 - 9:30
    Mit dieser Zufallszahl wird sogenannte
    Secret-Data berechnet, 32bit lang.
  • 9:30 - 9:33
    Und diese Kombination dieser, auch
    „Challenge“ genannt, dem Transponder
  • 9:33 - 9:38
    übermittelt. Wenn der Transponder nun
    auch auf dieselbe Secret-Data schließt,
  • 9:38 - 9:42
    wird impliziert, dass das Lese-Schreibe-
    Gerät diesen geheimen Key kennen muss.
  • 9:42 - 9:46
    Jetzt geht der Transponder hin und
    verschlüsselt seine 3 Passwort-Bytes
  • 9:46 - 9:50
    und ein Byte der Konfiguration und
    schickt‘s dem Lese-Schreibe-Gerät.
  • 9:50 - 9:55
    Wenn der diese entschlüsselt und
    das richtige Passwort ausliest,
  • 9:55 - 9:59
    sind beide gegenseitig authentifiziert.
    Danach kann die unverschlüsselte
  • 9:59 - 10:04
    Datenübertragung zwischen
    diesen Komponenten stattfinden.
  • 10:04 - 10:08
    Die nächste Frage ist natürlich: womit
    wurde da diese Secret-Data berechnet
  • 10:08 - 10:11
    und wie wird verschlüsselt
    und entschlüsselt.
  • 10:11 - 10:14
    Wenn man sich das Memory-Layout vom
    Hitag S mal genauer anschaut und es
  • 10:14 - 10:19
    mit dem bereits gebrochenen Transponder
    vom Hitag 2 mal vergleicht,
  • 10:19 - 10:22
    dann erkennt man sehr große
    Unterschiede, insbesondere da, wo die
  • 10:22 - 10:26
    Konfigurations-Bytes sich befinden und wo
    der Key und das Passwort gespeichert sind.
  • 10:26 - 10:31
    Zudem wird im Datenblatt erwähnt,
    dass ein Lese-Schreibe-Gerät, das sich
  • 10:31 - 10:34
    authentifizieren möchte, einen ganz be-
    stimmten Co-Prozessor implementieren muss.
  • 10:34 - 10:39
    Und zwar den Philips HT RC130. Dieser wird
    von allen Transpondern der Hitag-Familie
  • 10:39 - 10:46
    verwendet und wir haben uns diesen mal
    genauer angeschaut, und zwar das Kommando-
  • 10:46 - 10:50
    Interface; welche Kommandos kann man da
    überhaupt senden, auf diesen Co-Prozessor.
  • 10:50 - 10:54
    Und da erkennt man ziemlich schnell, es
    gibt spezifische Kommandos, um das
  • 10:54 - 10:59
    Hitag 1, 2 und S Verschlüsselung
    anzustoßen. Aber es gibt keine
  • 10:59 - 11:03
    Hitag-S-spezifischen Kommandos um
    die Daten ins EPROM zu speichern.
  • 11:03 - 11:07
    Daraus kann man schließen, dass dort
    ähnliche Parameter verwendet wurden
  • 11:07 - 11:08
    wie bei den anderen Transpondern.
  • 11:08 - 11:12
    Zudem kommt noch die Tatsache hinzu,
    dass ein Co-Prozessor, der bei drei
  • 11:12 - 11:16
    verschiedenen Transpondern verwendet
    wird, sehr unwahrscheinlich drei komplett
  • 11:16 - 11:18
    verschiedene Cypher implementiert.
  • 11:18 - 11:22
    Unter diesen Annahmen haben wir einfach
    behauptet, die Annahme getroffen,
  • 11:22 - 11:27
    dass dieser Cypher vom Hitag S
    ähnlich oder gleich des Hitag 2 ist.
  • 11:27 - 11:32
    Der Hitag-2-Cypher ist schon seit knapp 10
    Jahren bekannt, den hat der Herr C. Wiener
  • 11:32 - 11:36
    reverse-engineered und publiziert.
    Der sieht so aus.
  • 11:36 - 11:41
    Der besteht im Grunde aus 2 Dingen:
    Einer nichtlinearen, zweistufigen
  • 11:41 - 11:46
    Überführungsfunktion f() und
    einem 48bit-Schieberegister.
  • 11:46 - 11:50
    Eine Eigenschaft dieses Cyphers werden
    wir für die folgenden Angriffe benötigen.
  • 11:50 - 11:57
    Und zwar: wenn man sich die
    Initialisierung dieses Cyphers anschaut,
  • 11:57 - 12:02
    dann erkennt man, dass die OUT-Bits
    erst verwendet werden können,
  • 12:02 - 12:05
    wenn dieser Cypher initialisiert wurde.
    Also wir müssen in diesem 48bit-
  • 12:05 - 12:09
    Schieberegister einen sogenannten
    Initial-Zustand erreichen.
  • 12:09 - 12:15
    Das wird so gemacht, dass dort die
    32bit-UID des Transponders und die
  • 12:15 - 12:20
    hinteren 16bit des Keys genommen werden,
    und damit wird der Cypher initialisiert.
  • 12:20 - 12:22
    Erstmal. Also das Schieberegister
    wird damit initialisiert.
  • 12:22 - 12:27
    Dieses wird nun 32mal ge-shifted, und beim
    Shiften wird die Neustelle ganz rechts
  • 12:27 - 12:35
    immer aufgefüllt. Und wenn ich 16bit des
    Keys in ein 48bit Schieberegister stecke,
  • 12:35 - 12:38
    und dann 32mal shifte, dann fallen diese
    ja nicht raus, in diesem Initialzustand.
  • 12:38 - 12:41
    Sondern die befinden sich
    weiterhin in der ersten Position.
  • 12:41 - 12:44
    Was wir jetzt mit diesem Cypher gemacht
    haben, ist: wir haben den Proxmark
  • 12:44 - 12:47
    genommen – das ist ein RFID-Tool, darauf
    komme ich gleich noch zu sprechen –
  • 12:47 - 12:53
    und haben das Hitag-S-Cypher implementiert
    mit diesem Cypher des Hitag 2.
  • 12:53 - 12:57
    Und damit haben wir erstmal einen Hitag-S-
    Transponder in den Authentifizierungsmodus
  • 12:57 - 13:02
    versetzt mit einem uns bekannten Key.
    Und damit war es tatsächlich möglich,
  • 13:02 - 13:07
    bei dem Hitag S sich zu authentifizieren.
    Damit ist die Annahme erstmal bestätigt
  • 13:07 - 13:10
    worden, dass dort derselbe Cypher
    verwendet wurde den Sie hier sehen können.
  • 13:10 - 13:14
    Der wird zwar nicht exakt für das gleiche
    verwendet, der Cypher an sich, ist aber
  • 13:14 - 13:19
    derselbe. Bevor wir jetzt mit den
    Angriffen starten, brauchen wir erstmal
  • 13:19 - 13:22
    ein bisschen Hardware und Software. Als
    Hardware haben wir den sogenannten
  • 13:22 - 13:25
    Proxmark – wie gesagt – genommen.
    Das ist ein General-Purpose-RFID-Tool.
  • 13:25 - 13:28
    Der kann eben sowohl im Low- als auch im
    High-Frequency-Bereich alle möglichen
  • 13:28 - 13:34
    Daten empfangen und senden. Da haben
    wir einige Software dazu geschrieben,
  • 13:34 - 13:37
    z.B. ein Lese- und Schreibe-Gerät, um
    für den Transponder zu lesen und zu
  • 13:37 - 13:40
    beschreiben natürlich. Und einen Emulator,
    um anschließend, wenn ich diesen Key
  • 13:40 - 13:44
    erstmal gebrochen habe, auch mal so
    einen Transponder emulieren zu können.
  • 13:44 - 13:47
    Jetzt bevor wir überhaupt zu den
    komplizierteren Angriffen kommen, erstmal
  • 13:47 - 13:50
    die einfachen. Und zwar ein Replay-Angriff
    ist möglich. Vielleicht hat‘s der eine
  • 13:50 - 13:57
    oder andere schon gesehen: und zwar in
    der Authentifizierung haben wir nur eine
  • 13:57 - 14:02
    einzige Zufallsvariable und die wird
    vom Lese-Schreibe-Gerät bestimmt.
  • 14:02 - 14:06
    Wenn ein Angreifer also diese komplette
    Kommunikation mitschneidet, z.B. mit
  • 14:06 - 14:10
    dem Proxmark, dann kann er diese
    Challenge-Nachricht erneut dem Transponder
  • 14:10 - 14:15
    schicken. Und das einzige was dem
    übrigbleibt, ist, zu implizieren, dass ich
  • 14:15 - 14:20
    den Key kennen muss. Weil ich kann ja
    natürlich als Angreifer seine Antwort
  • 14:20 - 14:22
    darauf nicht entschlüsseln, um
    seine Passwort-Bytes auszulesen.
  • 14:22 - 14:26
    Aber die interessieren mich ja nicht.
    Weil ich kann hiernach, also nach
  • 14:26 - 14:28
    einem einfachen Replay-Angriff,
    dieselben Befehle ausführen
  • 14:28 - 14:30
    wie ein echtes Lese-Schreibe-Gerät.
  • 14:35 - 14:37
    Dann hat der Ralf das schon kurz erwähnt:
  • 14:37 - 14:48
    Brute-Force-Angriffe. Ist nur 48bit-Key,
    der Cypher ist nicht wirklich komplex.
  • 14:48 - 14:53
    Wenn man da paar Server nimmt, kann man
    den Key bereits in einigen Wochen brechen.
  • 14:53 - 14:55
    Dann gibt‘s einen weiteren Angriff.
  • 14:55 - 14:58
    Und zwar das ist ein Angriff gegen den
    Hitag 2, der wurde vor knapp 4 Jahren
  • 14:58 - 15:02
    veröffentlicht. In dem Paper „Gone
    in 360 seconds“ auf der Usenix.
  • 15:02 - 15:07
    Der benötigt 150 Challenges, also 150
    verschiedene Authentifizierungen.
  • 15:07 - 15:11
    Und wenn ich die aber erstmal habe,
    brauche ich für diesen Angriff
  • 15:11 - 15:14
    nur 5 Minuten. Das ist ein rein
    mathematischer Angriff, der eine andere
  • 15:14 - 15:19
    Schwachstelle des Cyphers ausnutzt auf die
    wir jetzt nicht weiter eingehen werden.
  • 15:19 - 15:22
    Dann gibt‘s noch ‘nen
    – das ist eher ein
  • 15:22 - 15:25
    Design-Fehler von ihrer Seite – und zwar
  • 15:25 - 15:28
    wenn man sich die Konfigurations-Bits
    mal anschaut, dann gibt‘s 3 Bits, die
  • 15:28 - 15:32
    interessieren uns besonders. Das
    OUT-Bit – wenn das gesetzt ist, möchte
  • 15:32 - 15:36
    der Transponder sich authentifizieren.
    Wenn das LCON-Bit gesetzt ist, dann kann
  • 15:36 - 15:38
    ich die Konfiguration
    nicht mehr bearbeiten,
  • 15:38 - 15:42
    und das „Locked Key and Password“ schützt
    meinen Key und mein Passwort vor lesenden
  • 15:42 - 15:46
    und schreibenden Zugriffen. Das Problem
    hier ist, ich kann die getrennt setzen.
  • 15:46 - 15:49
    Also die sind komplett unabhängig.
    Ich kann also Transponder verkaufen, die
  • 15:49 - 15:53
    sich authentifizieren wollen, und die auch
    die richtigen Speicherbereiche schützen,
  • 15:53 - 15:56
    aber wo ich einfach die Konfiguration
    wieder neu schreiben kann.
  • 15:56 - 16:02
    Davor ist der Transponder leider nicht
    geschützt. Ein weiterer Angriff,
  • 16:02 - 16:06
    der besonders effektiv ist, ist ein
    sogenannter SAT-Solver.
  • 16:06 - 16:10
    Was ist ein SAT-Solver? Ja, SAT-Solver wie
    der MiniSat oder der CryptoMiniSat 4 sind
  • 16:10 - 16:15
    mathematisch optimierte Algorithmen,
    die versuchen, Formeln zu lösen.
  • 16:15 - 16:19
    Also die Erfüllbarkeit zu beweisen.
    Die Formeln sind meistens in der
  • 16:19 - 16:22
    Konjugierten Normalform und bei diesen
    Beispielen hier, die Sie hier sehen können
  • 16:22 - 16:25
    würden SAT-Solver jetzt versuchen,
    eine Belegung für A, B und C zu finden,
  • 16:25 - 16:28
    so dass das Ganze den
    Wahrheitswert TRUE ergibt.
  • 16:28 - 16:31
    SAT-Solver kommen ursprünglich eigentlich
    aus der Elektrotechnik, wo ich eine
  • 16:31 - 16:35
    logische Schaltung verifizieren möchte.
    Aber ich kann damit jedes Problem lösen,
  • 16:35 - 16:38
    wenn ich das Problem in eine
    Formel umwandeln kann.
  • 16:38 - 16:40
    Und genau das möchten wir machen.
  • 16:40 - 16:43
    Wir wollen sagen: so sieht der Cypher
    aus, diese Bits habe ich als Angreifer
  • 16:43 - 16:47
    mitgelesen, baue mir bitte
    eine Formel und löse das.
  • 16:47 - 16:52
    Bevor wir diese Formel erstmal aufbauen,
    brauchen wir erstmal die Keystream-Bits.
  • 16:52 - 16:57
    Wie kommen wir an die Keystream-Bits ran?
    Ja, ganz einfach: dieses Secret Data, das
  • 16:57 - 17:01
    sind die ersten 32 bit, und zwar negiert.
    Wenn ich die also zurück-negiere,
  • 17:01 - 17:03
    erhalte ich die ersten 32bit.
  • 17:03 - 17:06
    Dann – es kommen 2 Bit, einmal
    verschlüsselt, einmal nicht verschlüsselt
  • 17:06 - 17:11
    geschickt. Wenn ich die also wieder XOR
    rechne, habe ich die nächsten 8 Bits.
  • 17:11 - 17:15
    Das bedeutet ich kann pro Authentifizierung
    genau 40 Keystream-Bits herausbekommen.
  • 17:15 - 17:20
    Das ist ein Problem. Weil ich suche ja
    einen Initialzustand, einen 48bit-
  • 17:20 - 17:24
    Initialzustand, womit ich diese Bits
    berechnen kann.
  • 17:24 - 17:27
    Und je weniger Bits ich habe, desto höher
    ist die Wahrscheinlichkeit, dass dieser
  • 17:27 - 17:30
    Initialzustand falsch ist. Und bei 40 Bits
    tritt das leider schon auf.
  • 17:30 - 17:34
    Beim Hitag 2 hat man dieses Problem nicht.
    Weil beim Hitag 2 wird auch die
  • 17:34 - 17:38
    Datenübertragung verschlüsselt, also da
    komme ich an viel mehr als 40 Bits ran.
  • 17:38 - 17:44
    Wie lösen wir das beim Hitag S? Wir nehmen
    2 Cypher, also 2 verschiedene
  • 17:44 - 17:49
    Verschlüsselungen und lesen dort die
    Keystream-Bits aus. Wie oben beschrieben.
  • 17:49 - 17:52
    Sozusagen finden wir einen Initialzustand
    dafür und einen Initialzustand dafür.
  • 17:52 - 17:56
    Und dann verwenden wir die Eigenschaft von
    der Folie vorher, wo wir gesagt haben,
  • 17:56 - 18:01
    der Initialzustand ist ja in den ersten
    16 Bit... die ersten 16 Bit vom Key, und
  • 18:01 - 18:04
    der ändert sich ja nicht, wenn ich mich
    zweimal authentifiziere.
  • 18:04 - 18:07
    Also füge ich die Nebenbedingung hinzu:
    Diese 2 Initialzustände, die du suchen
  • 18:07 - 18:11
    sollst, sollen in den
    ersten 16 Bit gleich sein.
  • 18:11 - 18:15
    Diese Formel erstelle ich mir dann, die
    wird dann mit den SAT-Solvern innerhalb
  • 18:15 - 18:20
    von, ja unter 5 Tagen meistens, gelöst
    und das Ergebnis ist ein Initialzustand.
  • 18:20 - 18:26
    Das bedeutet 16 Bit vom Key. Ja, wie komme
    ich an die restlichen Daten ran?
  • 18:26 - 18:30
    Also, der Key ist ja 48bit lang und ich
    habe ja erst 16.
  • 18:30 - 18:33
    Natürlich: brute-forcen, weil die
    restlichen 32bit ist keine große Zahl,
  • 18:33 - 18:36
    das muss ich keinem jetzt, glaube ich,
    erwähnen.
  • 18:36 - 18:40
    Und ich kann einen sogenannten Rollback
    ausführen. Was ist ein Rollback?
  • 18:40 - 18:45
    Ja, der Initialzustand ist ja quasi
    das Ergebnis der Initialisierung.
  • 18:45 - 18:51
    Und in die Initialisierung fließen 3
    Parameter ein: Die Zufallszahl, die UID
  • 18:51 - 18:55
    und der Key. Ich kenne das Ergebnis, den
    Initialzustand, die UID und die Zufallszahl
  • 18:55 - 18:59
    aus der Authentifizierung. Dann kann ich
    die einzige Unbekannte natürlich mit einer
  • 18:59 - 19:03
    XOR-Operation wieder herausrechnen. Das
    bedeutet ich rechne Schritt-für-Schritt
  • 19:03 - 19:07
    den vorigen Zustand hervor – also von dem
    aktuellen Zustand zu dem vorigen und
  • 19:07 - 19:12
    bekomme immer einen weiteren Key. Das
    geht so fort, das sind nur 32 Operationen.
  • 19:12 - 19:16
    Und wenn ich den Key erstmal habe, das
    heißt noch nicht direkt, dass ich den
  • 19:16 - 19:20
    kompletten Transponder lesen kann.
    Weil, wie gesagt, da gibt‘s ein LKP-Bit,
  • 19:20 - 19:25
    der schützt Key und Passwort. Den Key
    kenne ich und das Passwort, das wurde ja
  • 19:25 - 19:27
    verschlüsselt in der Authentifizierung
    übertragen. Das kann ich wieder
  • 19:27 - 19:31
    entschlüsseln. Weil ich jetzt ein
    Angreifer bin, der den Cypher
  • 19:31 - 19:35
    und den Key kennt. Wenn ich natürlich
    jetzt den kompletten Inhalt
  • 19:35 - 19:38
    des Transponders habe und ich weiß wie
    der Cypher aussieht, wie das Protokoll
  • 19:38 - 19:41
    aussieht, kann ich so einen Transponder
    auch natürlich emulieren.
  • 19:41 - 19:46
    Was kann man als Hardware nehmen?
    Wie wir, den Proxmark oder RFIDler, oder
  • 19:46 - 19:49
    in dem Frequenzbereich kann man auch sich
    selber was zusammenbauen, ist relativ
  • 19:49 - 19:53
    einfach. Der Angriff besteht aus drei
    Teilen. Also einmal die Trace, also die
  • 19:53 - 19:57
    Authentifizierung zu sammeln und den
    Key zu brechen. Das ist abhängig davon,
  • 19:57 - 20:01
    welchen Angriff man nimmt. Krypto-
    analytischer Angriff oder SAT-Solver
  • 20:01 - 20:05
    um den Transponder komplett auszulesen
    und die Emulation zu starten.
  • 20:05 - 20:08
    Das geht sofort.
  • 20:08 - 20:14
    Ralf: Gut. D.h. wenn ich jetzt eine
    Schließanlage habe, die den Hitag-S-
  • 20:14 - 20:17
    Transponder einsetzt – und ich komme
    gleich noch einmal dazu, wo es sowas
  • 20:17 - 20:24
    möglicherweise geben kann – dann besteht
    tatsächlich die Gefahr, dass jemand
  • 20:24 - 20:28
    während ich z.B. den Schlüssel ins Schloss
    reinstecke oder während ich meinen
  • 20:28 - 20:33
    Transponder davorhalte, mit einer
    entsprechenden Antenne diese
  • 20:33 - 20:38
    Authentifizierungsvorgänge mitliest. Ich
    brauche von einem Schlüssel, wie wir
  • 20:38 - 20:42
    gesehen haben, beim SAT-Solver 2
    Challenges, also 2 Austausche des
  • 20:42 - 20:46
    Schlüssels mit dem Schloss bzw. wenn ich
    einen krypto-analytischen Angriff fahren
  • 20:46 - 20:52
    möchte, 150, das ist sicherlich ein wenig
    schwieriger so irgendwie zu machen.
  • 20:52 - 20:55
    Dafür müsste ich schon kurzzeitig Zugang
    zu dem Schlüssel haben, ich müsste ihn in
  • 20:55 - 20:59
    meine eigene Gewalt bringen, dann dahin
    gehen, um diese 150 Challenges auszulesen.
  • 20:59 - 21:03
    Und kann damit den Key brechen, der
    von diesem Schlüssel verwendet wird und
  • 21:03 - 21:07
    anschließend eben auch sämtliche andere
    Daten, die dieser Schlüssel besitzt,
  • 21:07 - 21:13
    auslesen bzw. ableiten. D.h. ich bin in der
    Lage, tatsächlich einen Klon herzustellen.
  • 21:13 - 21:17
    Wenn darüber hinaus möglicherweise bei der
    einen oder anderen Schließanlage die Daten
  • 21:17 - 21:21
    auf dem Schlüssel nicht richtig gesichert
    sind, kann ich vielleicht sogar
  • 21:21 - 21:24
    die Schließberechtigungen erweitern. D.h.
    ich kann aus den Schließberechtigungen
  • 21:24 - 21:28
    eines Praktikanten die Schließberechtigungen
    des Geschäftsführers machen.
  • 21:28 - 21:31
    Auch das haben wir tatsächlich bei einer
    gewissen Anlage gesehen. Das war aber
  • 21:31 - 21:36
    nicht eine Anlage die auf Hitag S
    basierte. Wir haben uns dann umgeschaut
  • 21:36 - 21:39
    und haben geschaut, was gibt es sonst
    noch an Low-Frequency-Transpondern.
  • 21:39 - 21:41
    Und alle anderen Low-Frequency-
    Transponder, die wir gefunden haben,
  • 21:41 - 21:47
    waren entweder schon gebrochen oder
    verwenden Verfahren, die wahrscheinlich
  • 21:47 - 21:52
    genauso einfach zu brechen sind wie
    jetzt dieses Verfahren vom Hitag S. D.h.
  • 21:52 - 21:56
    die Low-Frequency-Transponder verfügen
    grundsätzlich nicht über genügend Energie
  • 21:56 - 22:00
    – unserer Ansicht nach – um
    sichere Verfahren wie ein AES-Verfahren
  • 22:00 - 22:05
    oder etwas ähnliches einzusetzen.
    D.h. ich brauche tatsächlich, wenn ich
  • 22:05 - 22:08
    Schließanlagen sicher implementieren
    möchte, Zutritts-Kontroll-Systeme
  • 22:08 - 22:11
    sicher implementieren
    möchte, High-Frequency-Transponder.
  • 22:11 - 22:13
    High-Frequency-Transponder
    heißt aber jetzt nicht grundsätzlich,
  • 22:13 - 22:16
    meine Schließanlage ist sicher, weil
    auch dort gibt es z.B. auch Sachen wie
  • 22:16 - 22:20
    den Mifare Classic. Und dass der Mifare
    Classic gebrochen ist, weiß glaube ich
  • 22:20 - 22:23
    inzwischen jeder. Wenn man sich die
    Hersteller anschaut, die dann eben z.B.
  • 22:23 - 22:27
    auch den Desfire unterstützen, stellt man
    fest, dass ich in deren Schließanlagen
  • 22:27 - 22:30
    aber ohne weiteres auch weiterhin ein
    Mifare Classic verwenden kann.
  • 22:30 - 22:34
    D.h. die Schließanlagen sind rückwärts
    kompatibel. Und wenn die Schließanlage
  • 22:34 - 22:38
    vielleicht auch schon 5, 6, 7, 8 Jahre
    im Einsatz ist, besteht auch
  • 22:38 - 22:40
    eine große Gefahr, dass möglicherweise
    noch so ein klassischer
  • 22:40 - 22:43
    Mifare-Classic-Transponder irgendwo im
    Einsatz ist. Weil man den damals
  • 22:43 - 22:47
    gekauft hat und vielleicht nicht ersetzt
    hat. D.h. die moderneren Verfahren
  • 22:47 - 22:49
    können sicher sein, müssen
    aber nicht sicher sein.
  • 22:49 - 22:53
    Wir haben dann einfach mal geschaut,
    welche Hersteller tatsächlich
  • 22:53 - 22:57
    Low-Frequency-Transponder einsetzen,
    oder sogar den Hitag S einsetzen.
  • 22:57 - 23:01
    Und es gibt eine Vielzahl von Schließ-
    Systemen. Das heißt jetzt nicht
  • 23:01 - 23:04
    automatisch, dass wenn Ihr Hersteller
    auf dieser Liste ist, Ihr Schließsystem
  • 23:04 - 23:10
    kaputt ist. Weil einige Hersteller
    haben eben auch Alternativen dazu.
  • 23:10 - 23:16
    D.h. z.B. bei Uhlmann & Zacher, dort
    wird eben auch die Schließanlage mit
  • 23:16 - 23:22
    High-Frequency-Transpondern angeboten. Und
    ich kann dort auch den Desfire einsetzen.
  • 23:22 - 23:27
    Wenn Sie aber eine Low-Frequency-Anlage
    gekauft haben, können Sie dort nur
  • 23:27 - 23:32
    den Hitag – ich glaube der Hitag 1
    ist es dort, oder war es der Hitag 2 –
  • 23:32 - 23:38
    und irgendwie einen EM4450,
    der noch weniger Schutz bietet
  • 23:38 - 23:45
    und bei dem tatsächlich das Klonen dieser
    Transponder dann trivialst einfach ist.
  • 23:45 - 23:50
    Sie müssen sich im Grunde nur ein Stück
    Hardware bauen für vielleicht 20..30 Euro
  • 23:50 - 23:53
    und Sie haben eine Kopie des
    Schlüssels, der sich genauso verhält
  • 23:53 - 23:56
    wie der Originalschlüssel. Und
    wenn dann eben nachts um 3 Uhr
  • 23:56 - 23:59
    eingebrochen wird und Sie schauen in Ihrer
    Schließanlage nach – das ist ja einer der
  • 23:59 - 24:01
    großen Vorteile dieser Schließanlagen,
    sie protokollieren ja genau, wer die Tür
  • 24:01 - 24:04
    geöffnet hat – dann sehen Sie dass der
    Geschäftsführer die Tür nachts um 3 Uhr
  • 24:04 - 24:09
    geöffnet hat. Und es ist keine Möglichkeit
    nachzuvollziehen, wer es wirklich war.
  • 24:09 - 24:14
    Wenn man dann die Hersteller konfrontiert
    – das vielleicht noch so zum Abschluss –
  • 24:14 - 24:18
    und sie fragt, wie sie denn so ein
    Schließsystem verkaufen können,
  • 24:18 - 24:24
    dann wird einem entweder geantwortet,
    „Ja das war vor 7 Jahren state-of-the-art“
  • 24:24 - 24:28
    oder „Wir sehen keinen Grund, den Kunden
    zu informieren, dass das vielleicht heute
  • 24:28 - 24:34
    nicht mehr der Fall ist“ oder man kriegt
    als Antwort „Wir haben nie behauptet,
  • 24:34 - 24:37
    dass das sicher ist!“ – „Wir machen
    keine Sicherheitssysteme, wir machen
  • 24:37 - 24:41
    Zutrittskontroll- oder
    Zutrittsorganisations-Systeme!“
  • 24:41 - 24:45
    Und dann geht man hin und sucht auf der
    Web-Seite des Herstellers nach dem Wort
  • 24:45 - 24:50
    „Sicherheit“, und es taucht zumindest
    in dem Bereich nicht einmal auf.
  • 24:50 - 24:54
    Und dann fragt man sich, ob der Hersteller
    das nicht vielleicht schon lange weiß,
  • 24:54 - 24:58
    und einen die ganze Zeit für dumm
    verkaufen will. Weil...
  • 24:58 - 25:04
    wo überall sind diese Systeme?
    Krankenhäuser, Behörden etc.
  • 25:04 - 25:09
    Damit möchte ich schließen,...
    Fragen?
  • 25:09 - 25:18
    Und danke für die Aufmerksamkeit!
    Applaus
  • 25:18 - 25:22
    Herald: Vielen Dank! Also ich hab‘ gelernt
    ich werde jetzt auf jeden Fall genauer auf
  • 25:22 - 25:26
    Herstellerseiten lesen, wenn ich damit zu
    tun habe. Was da so steht und was nicht.
  • 25:26 - 25:31
    Wir haben noch 5 Minuten für Fragen. Wenn
    ihr Fragen stellen möchtet, geht bitte
  • 25:31 - 25:39
    zu einem der 6 Mikrofone, die hier in den
    Gängen stehen. Und natürlich auch an alle
  • 25:39 - 25:43
    die uns in den Streams folgen: es gibt die
    Möglichkeit im IRC Fragen zu stellen,
  • 25:43 - 25:48
    die dann nette Engel hier
    uns vor Ort vorlesen.
  • 25:48 - 25:52
    An Mikrofon 3, sehe ich da ‘ne Frage?
  • 25:52 - 25:57
    Frage: Ja, eine Frage: Kann man
    dann ohne Besitz des Transponders
  • 25:57 - 26:02
    Paare sammeln von Challenge und
    vom Reader generierter Response,
  • 26:02 - 26:05
    wenn man einfach zum Leser hingeht?
  • 26:05 - 26:11
    Ralf: Nein. Der Punkt ist ja, ich brauche,
    der Leser muss glauben, dass er mit
  • 26:11 - 26:15
    dem Transponder spricht und muss dem
    Transponder eben Daten schicken.
  • 26:15 - 26:21
    Also was man machen kann, wenn du Zugang
    hast zu dem Transponder, also die ID
  • 26:21 - 26:24
    des Transponders irgendwie anders aus
    größerer Entfernung auslesen kannst,
  • 26:24 - 26:28
    kannst du natürlich einen Emulator bauen,
    der erstmal behauptet, diese ID zu sein.
  • 26:28 - 26:31
    Damit kannst du dann zu dem Lesegerät
    hingehen. Das Lesegerät wird dir dann die
  • 26:31 - 26:37
    Challenge schicken. Weil es ja diesen
    Transponder aktivieren möchte.
  • 26:37 - 26:43
    D.h. so ja, aber ich muss einmal
    eine gültige ID ausgelesen haben.
  • 26:43 - 26:45
    Wobei es kommt ein bisschen auf das
    Schließsystem an. Wir haben auch
  • 26:45 - 26:53
    ein Schließsystem gesehen, wo die Hardware
    IDs nicht wirklich intern sich merkt.
  • 26:53 - 26:57
    D.h. das arbeitet ein bisschen anders.
    Also da kann man wahrscheinlich sogar
  • 26:57 - 27:00
    mit einer beliebigen ID dahin gehen
    und man bekommt ein Challenge
  • 27:00 - 27:03
    von dem Lesegerät geschickt.
    Frage: OK, danke.
  • 27:03 - 27:09
    Herald: Gut, die nächste Frage von
    Mikrofon Nr. 5 da hinten!
  • 27:09 - 27:12
    Frage: Ich habe zuletzt c‘t gelesen,
    da war so ein schöner Artikel
  • 27:12 - 27:17
    über Mercedese die über
    Relay-Angriffe geöffnet werden.
  • 27:17 - 27:21
    Habt ihr sowas auch ausprobiert? Sprich,
    einer fährt mit der Straßenbahn
  • 27:21 - 27:25
    und dem Schlüsselhalter mit
    und der andere steht an der Tür.
  • 27:25 - 27:30
    Ralf: Wir haben‘s nicht direkt ausprobiert
    aber trivial einfach mit dem Transponder.
  • 27:30 - 27:34
    Frage: Also keine Timing-Geschichten?
    Ralf: Nein.
  • 27:34 - 27:37
    Herald: Gut. Mikrofon Nr. 4?
  • 27:37 - 27:42
    Frage: Ja, meine Frage ist: Werden
    Sie die Proxmark-Sourcen releasen?
  • 27:42 - 27:45
    Ralf: Ich denke schon, ja. Also
    zumindest Teile davon, ja.
  • 27:45 - 27:50
    Frage: Okay.
    Ralf: Also... ja.
  • 27:50 - 27:53
    Ralf: Also... ja. Nee, NXP ist übrigens...
    also NXP ist der Hersteller dahinter...
  • 27:53 - 27:57
    ursprünglich hat Philips das Ding gebaut,
    NXP ist kontaktiert worden von uns vor...
  • 27:57 - 28:01
    das erste Mal vor 4 oder 5 Monaten, da
    hatten wir keine Antwort. Dann nochmal
  • 28:01 - 28:08
    vor irgendwie 60 Tagen, oder 45..50 Tagen,
    NXP ist informiert und hat eben auch
  • 28:08 - 28:11
    seine Kunden angeschrieben. Also wenn
    hier ein Kunde drin sitzen sollte, der
  • 28:11 - 28:16
    diese Transponder einsetzt, in eigenen
    Applikationen: Verlassen Sie sich nicht,
  • 28:16 - 28:20
    eben, mehr auf die Identität des
    Transponders... also wenn die Identität
  • 28:20 - 28:23
    des Transponders wichtig ist für die
    Sicherheit Ihrer Applikation...
  • 28:23 - 28:31
    sorry Ihrer Applikation, dann ist die
    Applikation kaputt. Schließsysteme
  • 28:31 - 28:36
    – nebenbei – bestehen häufig aus 500..1000
    oder mehreren Schlössern und so
  • 28:36 - 28:45
    10000 Transponder die ich da tauschen muss
    in größeren Gebäuden. Schwer zu tauschen.
  • 28:45 - 28:49
    Herald: Dann schließe ich noch mal mit...
    Haben wir noch ‘ne Frage? Ah, hier kommt
  • 28:49 - 28:52
    noch eine Frage aus dem Internet. Gut,
    für eine haben wir noch Zeit. Bitte!
  • 28:52 - 28:58
    Signal Angel: Könnte man, wenn man diese
    Kommunikation aufzeichnen will bei 125kHz
  • 28:58 - 29:01
    auch Soundkarten einsetzen dafür?
  • 29:01 - 29:07
    Ralf: Gute Frage. Keine Ahnung. Haben wir
    nicht gemacht, wir haben Oszilloskope
  • 29:07 - 29:14
    eingesetzt um uns das anzuschauen, was da
    übertragen wird. Aber wenn die Soundkarte
  • 29:14 - 29:20
    die 125kHz auflösen kann, dann wäre das
    wahrscheinlich sogar machbar...
  • 29:20 - 29:24
    dort das zu machen. Man muss sich dann
    eben ein wenig mit der Modulation
  • 29:24 - 29:29
    und ähnlichem beschäftigen. Das ist nicht
    ganz trivial bei den Transpondern.
  • 29:29 - 29:32
    Herald: Gut, dann nochmal einen
    herzlichen Applaus und vielen Dank
  • 29:32 - 29:37
    für diesen wundervollen Talk!
    Applaus
  • 29:37 - 29:41
    Abspannmusik
  • 29:41 - 29:47
    Untertitel erstellt von c3subtitles.de
    im Jahr 2016. Unterstütze uns!
Title:
Sicherheit von 125kHz Transpondern am Beispiel Hitag S
Description:

Der Hitag S Transponder wird in verschiedensten Applikationen eingesetzt. Während Angriffe für den Hitag 2 bereits bekannt sind, gilt der Hitag S in der Literatur noch nicht als gebrochen. Wir haben die beschriebenen Angriffe auf den Hitag S übertragen. Wir sind in der Lage den Schlüssel zu brechen und Informationen wie das Kennwort zu ermitteln, obwohl diese zusätzlich vor Lesezugriff geschützt sind. In Abhängigkeit des gewählten Angriffs benötigen wir für das Brechen des Schlüssels zwischen mehreren hundert Tagen und 5 Minuten. Wir haben einen Emulator gebaut, der jeden Hitag S Transponder nachbilden kann. Wird der Transponder in einem Schließsystem eingesetzt, können wir so eine Schlüsselkopie erstellen.
Basierend auf unseren Ergebnissen und den Erfahrungen mit anderen Transpondern aus dem 125kHz Bereich können wir nur vor dem Einsatz in sicherheitskritischen Bereichen warnen.

Ralf Spenneberg, Hendrik Schwartke, Oguzhan Cicek
more » « less
Video Language:
German
Duration:
29:48

German subtitles

Revisions

Our website uses cookies for analysis purposes.