Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für...
Transcript of Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für...
![Page 1: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/1.jpg)
Angriffsverfahren auf 125kHz Transponder für
ZutrittskontrollsystemeOguzhan Cicek
Hendrik SchwartkeRalf Spenneberg
OpenSource Security Ralf Spenneberg
![Page 2: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/2.jpg)
OpenSource Security
● Linux Sicherheit● Widerstandsanalysen
– Embedded Systems
– RFID Systems
– Industrial Control Systems
![Page 3: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/3.jpg)
Schließanlagen Konzepte
● Online– Schließberechtigungen zentral gespeichert
– Häufig lediglich eine Identifikation des TAG's
– Teilweise auch eine Authentifizierung
● Offline– Schließberechtigungen auf dem TAG– Manipulations- und Integritätsschutz erforderlich– Teilweise Authentifizierung
![Page 4: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/4.jpg)
Frequenzbereiche
● Low frequency:– 125 – 134 kHz
● High frequency:– 13,56 MHz
● Ultra-high frequency:– 433 und 860 – 960 MHz
![Page 5: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/5.jpg)
Hitag S
● 125 kHz● 32, 256 und 2048 Bit● “Target Markets: Animal Identification,
Laundry Automation [...]”● Authentifizierung
– 48 Bit Key, 24 Bit Passwort
– Undokumentierte Verschlüsselungscipher
![Page 6: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/6.jpg)
Warum Hitag S ?
● Hitag S “offiziell” noch sicher● Systeme teilweise an Hitag S gebunden● Ersatz der Schließanlage
– Demo Systeme verschiedener Hersteller
![Page 7: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/7.jpg)
Hitag S – Authentifizierung
![Page 8: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/8.jpg)
Cipher?
● Hitag S Datenblatt– Hitag S Memorylayout wie Hitag 2
● Philips Co Processor HT RC130– Hitag 1/2/S
– Keine Hitag S spezifischen Kommandos
● Hitag S Cipher = Hitag 2 Cipher ?● Hitag 2 Cipher: I. C. Wiener 2006
![Page 9: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/9.jpg)
Hitag 2 Cipher = Hitag S Cipher
https://web.archive.org/web/20120127012528/http://cryptolib.com/ciphers/hitag2
![Page 10: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/10.jpg)
Hitag S - Angriffe
● Proxmark 3– Hitag S Lesegerät– Hitag S Schreibgerät– Hitag S Emulator
● Replay Angrif● Brute Force
– CPU (Intel Core i5 3210m) = 700 Tage– GPU (NVIDIA GeForce GTX 760) = 180 Tage
![Page 11: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/11.jpg)
Hitag S - Angriffe
● Cryptoanalytischer Angriff (Usenix 2012)
– 150 Challenges = 5 min● Konfiguration-Bits
– AUT = Authentication– LCON = Lock CONfiguration– LKP = Lock Key and Password
![Page 12: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/12.jpg)
SAT Solver
● SAT = satisfiability● Tools: Minisat, CryptoMiniSat4, … ● Konjunktive Normalform (CNF)
–
● Hitag S Cipher => CNF
![Page 13: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/13.jpg)
SAT Solver
● Keystream Bits: – Ersten 32 Bit vom 'Secret Data'– Nächsten 8 Bit vom {Con2}
=> Pro Authentifizierung 40 Bits
● Nur 2 Challenges benötigt
● Ergebnis: 16 Bit vom Key in 2-5 Tagen
![Page 14: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/14.jpg)
Restlichen 32 Bit des Keys
● Brute Force (~ 10 min)● Rollback Cipher (< 100ms)
– 32 UID und 32 UID RND bekannt
– “Rollt” den Cipher zum Zustand 0 zurück
![Page 15: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/15.jpg)
Hitag S vollständig auslesen
● Lesegeschützte Seiten– Key (48 Bit)– Passwort (24 Bit)
● Passwort wird in der Authentifizierung verschlüsselt übertragen
![Page 16: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/16.jpg)
Hitag S klonen
● Hitag S Lese-/Schreibgerät und Emulator– Proxmark 3
● Dauer– Traces sammeln: > 1sec
– 48 Bit Key brechen: ~ 5 min
– Transponder klonen: < 1 sec
![Page 17: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/17.jpg)
RFID Transponder Security Overview
Vendor Tag Frequency Function Mem (bits) Authentication Encryption UID (bits) Secure Doc
AtmelTemic T5557
125 kHz
r/w
330no 40
yes
no1
Temic T5567 2Temic T5577 363 2
NXP
Hitag1
125 kHz
2048yes
32no
3
Hitag2256
4HitagS-256
no5
HitagS-2048 2048 5Mifare Classic
13,56 MHz
8K und 32K 48Bit Key
yes
32 oder 56 13Mifare Desfire 32K 112Bit Key
56
no 14Mifare Desfire EV1
16K, 32K, 64K 56, 112, 128, 168 Bit no yesMifare Desfire EV2
EM4450
125 kHz
1024
no
32
yes
no
6EM4550 6EM4205
512
7EM4305 7
EM4469 8
EM4200
0 no
128
no
9EM4100
64
10EM4102 11TK4100 12
LegicPrime
13,56 MHz r/w1-16K no no 32 yes no 15
Advant 16-64K 56, 112, 128, 168 Bit yes 56 no yes
Updated: 2016-01-08/2 Am Bahnhof 3-548565 Steinfurt http://[email protected]
EmulationPossible
32Bit Password Send in clear
2x32Bit Keys and 4x32 Bit Passwords
48Bit Key and 24 Bit Password
EM Microelectronic
32Bit Password Send in clear
32 plus 10 Bit CustomerCode
Readonly(UID)
![Page 18: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/18.jpg)
Fazit
● Low frequency– Wenig Energie– Kein sicherer Transponder am Markt verfügbar
● High frequency– KannKann sicher sein (z.B. Mifare Desfire EV1)
● Tabelle– http://www.os-s.net/transponder-overview.pdf
![Page 20: Angriffsverfahren auf 125kHz Transponder für ... · Angriffsverfahren auf 125kHz Transponder für Zutrittskontrollsysteme Oguzhan Cicek Hendrik Schwartke Ralf Spenneberg OpenSource](https://reader031.fdocuments.in/reader031/viewer/2022020306/5e0160b97fc76c4e526d6bff/html5/thumbnails/20.jpg)
Quellenverzeichnis
● Hitag S Transponder Datenblatt
http://www.proxmark.org/files/Documents/125%20kHz%20-%20Hitag/HitagS.V11.pdf
● HT RC130 00 HITAG(TM) Co Processor Datenblatt
http://www.electro-tech-online.com/attachments/dshtrc130-v1-13-pdf.43694/
● Gone in 360 Seconds: Hijacking with Hitag2
https://www.usenix.org/conference/usenixsecurity12/technical-sessions/presentation/verdult
● C. Wiener. Software optimized 48-bit Philips/NXP Mifare Hitag2 stream cipher algorithm
https://web.archive.org/web/20110816014938/http://cryptolib.com/ciphers/hitag2/hitag2.c