"Mifare vollständig kompromittiert"

Dirk Fox beschreibt in “Die Mifare-Attacke” 1) Datenschutz und Datensicherheit 5/2008, S. 348-350 noch einmal den bereits hier erwähnten Mifare-Hack. Sein Fazit:

Die publizierten Analyseverfahren erlauben ein Karten-Kloning mit so einfachen Mitteln, dass auf Mifare Classic basierende Anwendungen als vollständig kompromittiert angesehen werden müssen – bei Anwendungen wie Unternehmens- oder Gebäudezugang wäre eine leere Plastikkarte nahezu ebenso sicher (wiewohl erheblich billiger).

Fox empfiehlt u.a. eine Migration auf sicherere Technologien.

References   [ + ]

1. Datenschutz und Datensicherheit 5/2008, S. 348-350

Mifare Classic vor dem Aus

Via Heise:

Forscher haben einen entscheidenden Durchbruch bei der Kryptanalyse des Verschlüsselungsalgorithmus Crypto1 gemacht, der das RFID-System Mifare Classic schützt. Laut der nun veröffentlichten Arbeit von Nicolas Courtois, Karsten Nohl und Sean O’Neil ist es möglich, ohne aufwendig vorauszuberechnende Tabellen (Rainbow-Tables) die Verschlüsselung innerhalb von wenigen Sekunden mit PC-Hardware zu knacken. Die Sicherheit des Algorithmus, so das Fazit der Forscher, sei “nahe Null”.

Wenn ich mich recht erinnere, wird Mifare Classic unter anderem in der Münchner Stadtbibliothek eingesetzt. Das System Mifare Plus soll allerdings auch betroffen sein.

Unter Sicherheitsaspekten sollten RFID-Etiketten ohnehin spätestens seit Veröffentlichung des RFID-Zappers nicht mehr diskutabel sein. Wer RFID einsetzt, möchte vorwiegend Personal auf die Straße setzen, bzw. keine neuen Mitarbeiter einstellen.