Bezkontaktní karty Mifare DESFire prolomeny

Petr Krčmář 12. 10. 2011

Německým vývojářům se podařilo prolomit šifrovací algoritmus používaný na bezkontaktních kartách Mifare DESFire. Tyto karty byly doposud považovány za bezpečné, protože dříve nebyla publikována zranitelnost, která by dovolovala ohrozit obsah karty či jej zkopírovat.

Vědcům z německé Ruhr University se podařilo klíče z karty dostat za sedm hodin s vybavením asi za 50 tisíc korun. Kartu je možné zkopírovat či modifikovat její obsah, aniž by to na ní zanechalo sebemenší stopy. Celý útok je založen na technice postranních kanálů, kdy je sledováno elektromagnetické pole kolem karty,  podle kterého jsou následně odhadnuty pochody uvnitř šifrovacího čipu.

Představitelé společnosti NXP, která karty vyrábí, uklidňují zákazníky a tvrdí, že zranitelný je pouze model MF3ICD40 a novější varianta EV1 je zatím v bezpečí. Na konci roku také bude výroba zranitelných karet zcela ukončena. Starší karty bude ale opět potřeba vyměnit a není známo, kolik jich mezi uživateli je. Víme jen, že celkem firma do světa vypustila 3,5 miliardy různých typů karet.

O bezpečnosti kontaktních karet se v Česku začalo hovořit především v souvislosti s městskými kartami (například pražská OpenCard), které byly dříve založeny na zranitelné technologii Mifare Classic. Bylo možné je kopírovat nebo si v některých městech uměle navyšovat stav elektronické peněženky. Později byly ale karty nahrazeny bezpečnějšími modely Mifare DESFire EV1, které zatím ohroženy nejsou.

Našli jste v článku chybu?
120na80.cz: Kam umístit silikony?

Kam umístit silikony?

DigiZone.cz: Vláda schválila digitální vysílání ČRo

Vláda schválila digitální vysílání ČRo

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

DigiZone.cz: E! a zákulisí turné Mariah Carey

E! a zákulisí turné Mariah Carey

Vitalia.cz: Je bílý kokos fakt tak úžasný? Ano, je!

Je bílý kokos fakt tak úžasný? Ano, je!

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

DigiZone.cz: ČTÚ zveřejnil aktualizovaný D-Book

ČTÚ zveřejnil aktualizovaný D-Book

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Podnikatel.cz: Týká se vás EET? Chtějte od berňáku posudek

Týká se vás EET? Chtějte od berňáku posudek

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo