Bezkontaktní karty Mifare DESFire prolomeny

Petr Krčmář 12. 10. 2011

Německým vývojářům se podařilo prolomit šifrovací algoritmus používaný na bezkontaktních kartách Mifare DESFire. Tyto karty byly doposud považovány za bezpečné, protože dříve nebyla publikována zranitelnost, která by dovolovala ohrozit obsah karty či jej zkopírovat.

Vědcům z německé Ruhr University se podařilo klíče z karty dostat za sedm hodin s vybavením asi za 50 tisíc korun. Kartu je možné zkopírovat či modifikovat její obsah, aniž by to na ní zanechalo sebemenší stopy. Celý útok je založen na technice postranních kanálů, kdy je sledováno elektromagnetické pole kolem karty,  podle kterého jsou následně odhadnuty pochody uvnitř šifrovacího čipu.

Představitelé společnosti NXP, která karty vyrábí, uklidňují zákazníky a tvrdí, že zranitelný je pouze model MF3ICD40 a novější varianta EV1 je zatím v bezpečí. Na konci roku také bude výroba zranitelných karet zcela ukončena. Starší karty bude ale opět potřeba vyměnit a není známo, kolik jich mezi uživateli je. Víme jen, že celkem firma do světa vypustila 3,5 miliardy různých typů karet.

O bezpečnosti kontaktních karet se v Česku začalo hovořit především v souvislosti s městskými kartami (například pražská OpenCard), které byly dříve založeny na zranitelné technologii Mifare Classic. Bylo možné je kopírovat nebo si v některých městech uměle navyšovat stav elektronické peněženky. Později byly ale karty nahrazeny bezpečnějšími modely Mifare DESFire EV1, které zatím ohroženy nejsou.

Našli jste v článku chybu?
Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Podnikatel.cz: Spropitné a EET? Podle toho, kdo ho bere

Spropitné a EET? Podle toho, kdo ho bere

Podnikatel.cz: Selhala pokladna k EET. Kdo zaplatí pokutu?

Selhala pokladna k EET. Kdo zaplatí pokutu?

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

DigiZone.cz: Test Noxon A560+: kvalitka do vaší věže

Test Noxon A560+: kvalitka do vaší věže

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Vitalia.cz: Jak může být v uzenině 150 % masa?

Jak může být v uzenině 150 % masa?

DigiZone.cz: Android TV: s jakým pracuje rozlišením?

Android TV: s jakým pracuje rozlišením?

Podnikatel.cz: Od baletu k požární ochraně. A jiné rarity

Od baletu k požární ochraně. A jiné rarity

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Podnikatel.cz: Prodej na Alibabě? Malí hráči utřou nos

Prodej na Alibabě? Malí hráči utřou nos

Vitalia.cz: Taky je nosíte? Barefoot není pro každého

Taky je nosíte? Barefoot není pro každého

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

DigiZone.cz: Samsung uvolnil nástroj pro Tizen

Samsung uvolnil nástroj pro Tizen

Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

Lupa.cz: Největší torrentový web KickassTorrents padl

Největší torrentový web KickassTorrents padl

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion