März 28, 2008 Archives

Fr 28. M�r 17:17:24 UTC 2008

Chipkarten der Uni Göttingen unsicher

Wie heute die Netzeitung in einem Artikel veröffentlichte, wurde nun erstmals ein weit verbreiteter Funk-Chip des Typs MIFARE-Classic geknackt. Die Online-Zeitung bezieht sich damit auf einen Artikel in der aktuellen Ausgabe der Zeitschrift c't: Demnach war es den Experten möglich, die Verschlüsselung des entsprechenden RFID-Chips zu knacken, die darauf gespeicherten Daten auszulesen und zu kopieren.

Die Netzeitung erwähnt in ihrem Artikel wie beliebt dieser Chip sei, und dass möglicherweise Hunderttausende Studierende betroffen seien, die mit solchen Chipkarten beispielsweise in der Mensa bezahlen...

Auch die Universität Göttingen hat gerade vor wenigen Semestern auf Studierenden-Ausweise mit RFID-Chips umgestellt, und setzt dabei auf den Mifare-1-Chip, wie sie selbst auf ihrer Homepage kundtut, der eben jenem oben verlinkten Mifare-Classic entspricht. Auf den Chipkarten der Universität Göttingen sind nicht nur Matrikelnummer und Bibliotheksnummer der BesitzerInnen gespeichert, sondern werden diese auch als elektronische Geldbörse eingesetzt.

Das Sicherheitsmerkmal, das die Göttinger Universität veröffentlichte:

Ein Auslesen der Schlüssel während der Kommunikation des Chips mit einer Kartenleseeinheit wird durch Verschlüsselung dieser Kommunikation unterbunden.

ist also nun besser zu streichen. Währenddessen warten wir auf explosionsartig ansteigende Essensausgaben in der Mensa und Buchausleihen aus der Bibliothek - durch imaginäre DoppelgängerInnen nichtsahnender Studierender...

UPDATE I:
Nähere Informationen darüber, wie der Hack vonstatten ging, finden sich bei Karsten Nohl und in einem Vortrag des letzten Chaos Communications Congress, dem 24C3.
update via Vorlon

UPDATE II:
Interessant dazu dieser Artikel auf den Seiten von golem.de:

Die Verschlüsselung der weit verbreiteten MiFare-RFID-Chips des Herstellers NXP lässt sich in Sekundenschnelle brechen, ohne direkten Zugang zum Chip zu haben. Es genügt, die verschlüsselten Daten aus ein paar Metern Entfernung abzuhören.

Auch Heise titelt nun: Aus für RFID-System Mifare Classic?


Posted by cpunk | Categories: encryption