MIFARE系列逻辑加密卡的安全性分析

MIFAREMIFARE 系列逻辑加密卡的安全性分系列逻辑加密卡的安全性分 近来广为讨论的话题 就是 MIFARE 系列的逻辑加密卡可以被破解和复制一事 因国 内发行的这种卡 估计有几亿张在投入使用 它的安全性涉及到众多的运营单位和持卡人 的利益 近日 学者 Flavio D Garcia 宣布 MIFARE class 的安全性存在薄弱环节 在他 的研究室里 通过研究读写器和卡之间的通信数据 找到了这种卡的加密算法和认证通信 的协议 并有两种方法可以得到 MIFARE class 逻辑加密卡的分区密码 第一种方法是假设 MIFAREclass 的密码通信串 最多通过 4096 次组合的认证试验 就可以获得认证通过 反向会滚就可以推算出密码 获取一个认证密码一般需要 4 至 8 小 时 第二种方法是在可以真实的认证过程中 获取通信数据 经过 40 毫秒的计算 仅消耗 8M 的存储单元 就可以得到认证密码 根据这种结论 在这两种方法中 第二种方法只要在真实环境下 一个具备 8M 存储 以上的微处理器的读写侦听装置 就可以轻易的取得卡片的应用密码 成本代价是相当低 的 在非接触卡的应用环境中 我们经常可以看见持卡人将装有卡片的手袋接近读写器 就完成了卡片的使用 假设手袋中有一个这样的侦听装置 后果是不得而知的 第一种破解方式对于攻击者是安全的 其代价就是一个密码的破解需要 8 小时 一 个基本应用需要 4 8 个左右的密码支持 也就是大约在 2 3 天的时间内 可以得到一张卡 片的所有应用密码 相对最终利益这个成本对攻击者来说 仍然是值得的 目前在国内重大应用系统中 如城市一卡通 还没有发现有 MIFARE class 的逻辑 加密卡的密码被破解的报导 这并不能证明 MIFARE class 没有受到过攻击 因为在上千 万的数据处理系统中发现个别非法应用往往需要一段时间 学者 Flavio D Garcia 的论 文 应该得到充分的重视 并准备必要的应对措施 学者 Flavio D Garcia 的论文 没有涉及非接触的 CPU 卡 这是因为在 CPU 的认证 中 参与通信交换的不是密码 而是被公开算法加密后的数据 攻破 CPU 卡的关键在于能 破解公开算法的密钥 因此 在目前的状况下 可以认为 CPU 卡的安全性是远高于逻辑加 密卡的 学者 Flavio D Garcia 的论文所论述的方法 只是可以破解一张 MIFARE class 的 逻辑加密卡的密码 还不至于可以破坏一个设计完备的 IC 卡应用系统 因此 过于的惊 慌和恐惧也是没有必要的 在一个完备的 IC 收费系统和应用系统中 都采用了全球唯一的不可改写的物理卡号 作为卡片唯一的系统标识 即使破解所有密码 也不能实现复制卡片 在一个完备的 IC 卡收费系统和应用系统中 都采用了一卡一密钥方式 即使破解一张卡的所有密码 也不 能影响到绝大多数的持卡人 要实现自制系统内卡片 必须在破解多张卡片的基础上 继 续破解一卡一密钥制的根密钥 而完备系统的密钥系统也都采用公开算法来分散密码 破 解根密钥需要更长的时间周期 学者 Flavio D Garcia 的论文所论述的方法 对目前一个完备的 IC 卡收费系统和 应用系统来说 就是突破了系统外充值控制的所有方法 即使采取在线充值的控制 也不 能用这种方法非法得到充值所需要的密码 而完备的 IC 卡收费系统和应用系统对系统外 充值的事后处理应该是敏捷的 可以在第 2 个工作日发现 并将该卡片置于监视之中 学者 Flavio D Garcia 的论文所论述的方法 对没有遵从上述原则的系统而言 确 实是致命的 可能造成复制卡片 系统外发行伪卡 系统外充值等 一旦形成不可追朔局 面 系统将无法运作 目前 在我国的实际情况下 可能会影响到众多小型的应用场所 例如 饭堂 会馆 小区等 这也需要政府给予支持和重视 对于我国的城市公交收费 城市一卡通 高速公路收费 地铁储值卡等重大 IC 卡应 用系统 特别是采用了 MIFARE class 逻辑加密卡的系统 建议采取以下措施 以防备这 种不安全因素所带来的影响 1 进行实时交易数据上传 实时分析处理非正常充值数据 立即采用黑名单实时下 达到终端设备 2 将读写终端的黑名单容量扩大到 20 万以上 可以实时进行增量更新 3 建立以 GPRS 为主的无线通信方式 保证数据的实时性 对于新上项目 建议慎重采用 MIFARE class 的逻辑加密卡 综合卡片成本 系统性 能统一的原则 鼓励采用智能 CPU 卡作为支付媒介 对于已运行的 IC 卡系统 可以逐步 吸收 CPU 卡 逐步取代 MIFARE class 的逻辑加密卡 从非记名向记名过渡 固定密钥系 统向动态密钥系统发展 做到完全不受逻辑加密卡密码风险的影响 总之 一个完善和完备的收费系统和应用系统 其安全性并不完全依赖于卡片 在 银行系统中使用的磁卡就能轻易复制 在地铁中使用的 ULTRA LIGHT 的单程票 就是一张 存储卡 也是可以复制的 读写没有密码控制 虽然也是 MIFARE 家族的成员 学者 Fla vio D Garcia 的论文的方法根本影响不到 它们使用的安全性和可靠性完全取决于应用 系统的安全性设计 最近 德国研究员亨里克 普洛茨 Henryk Plotz 和弗吉尼亚大学计算机科学 在读博士卡尔斯滕 诺尔 Karsten Nohl 成功地破解了 NXP 的 Mifare 非 接触智能卡 经典芯片的安全算法 这件事掀起轩然大波 Mifare 经典芯片主要用于 RFID 的访问控制卡 以及一些支付卡 应用范围已 覆盖全球 因此这项 成果 引起了不小的恐慌 因为一个掌握该破解技术的 小偷可以克隆任何一个访问控制卡 从而自由进出政府大楼或公司办公室 RFID 读取器厂商费格电子 Feig Electronic 声称他们有办法提高 Mifare 系统安全性 他们通过将卡的序列号和其储存的数据进行连接 并用主程序加 密数据 来提高克隆卡片的困难程度 这样一来 即使 Mifare 经典芯片的安全 密钥被人知道了 数据也不是直接可读的 另一种方案来自 NXP 将使用一个 定制的密匙来给卡上储存的信息进行加密 每张卡将被加上唯一的密码 据该 公司报告称 这种方法 对于未来建设的安防系统是完全可以从系统工程学上去将这种情况加以避免的 前面我 们讲过 一个产品的安全性不能依赖于某一个方面的单个安全 更多的应从一个系统的整 体的逻辑上去完善安全 把可能出现的不安全特征通过整体的系统完善起来 针对原有不安 全的门禁系统进行改造 如仅采用 ID 卡或 IC 卡 ID 号模式的系统增加密码键盘 采用刷 卡加密码方式解决 采用原始密钥体系的 IC 卡门禁系统 改进密钥读写机制 利用 UID 产生 MAC 值 加入一组报文认证 并分散存储密钥 采用 一卡一密 加密模式 MAC 必须 通过终端的安全应用模块 SAM 进行验证 在此层面上的防止使用未授权卡的安全措施 由于假 UID 和真卡 UID 的不同 能够保证卡内的密钥的唯一性 在 MAC 和 UID 正确的 前提下 同时保证密钥体系多样化 实现 SAM 执行密钥的唯一性多样化 能进一步提高系 统的整体安全性 此方式合适于校园卡 公交卡等各个行业的门禁 消费应用等需求 另 外针对消费机在消费记录增加消费流水递增计数 其每笔交易记录产生一个唯一的交易流 水号 并记录使用次数 每次使用及次数的变更 通过 MAC 对动态数据进行保护 交易之 间事先检验数据的完整性 完成之后变更交易计数器的值产生新的 MAC 同时 系统在处 理交易记录时 发现重复流水号自动进行唯一的 UID 进行笔对 发现伪造卡自动下载黑名 单 有效度绝假卡的产生 分散密钥 分散密钥 针对 Mifare 卡密码被破解的问题 我们强调过 一个产品的安全性不能依懒于某一个 方面的安全 密码破解的相对的 不是绝对的 如 我们在产品设计时 如果在设计读写 钥匙加密时 完全可以在其基础上设计成自己一种安全性更高的钥匙算法 如采用达实公 司的 一卡一密 算法 本发明公开了一种智能卡一卡一密 专利号 CN03139612 7 方法和 系统 其方法包括如下步骤 将智能卡系统操作密码与智能卡序列号混合加密后形成智能 卡访问密码 存储于智能卡内 当对智能卡进行访问时 必须先输入访问密码 智能卡核 对访问密码是否正确 如是 可以访问 如否 拒绝访问 其系统包括智能卡 密码输入 装置 管理卡 加密装置一和机具 本发明因为采用了上述技术方案 使得对每一张智能 卡都可以提供一个唯一密码 不仅保证不同客户的智能卡和智能卡读写机具相互不可串用 即使某张智能卡或某台智能卡读写机具的访问密码被意外泄露或被恶意破译 仍然无法 知道其它智能卡的访问密码 也避免了内部人员作弊 其分散密钥的存储认证的做法已完全 改变了原始密钥的单一性 使用破解的可能性大大减低 因此 我们认为 Mifare 卡密码被 破并不会就意味着其将退出历史舞台 而是更大的给这个市场提出一个新的安全课题 提 醒企业不要一味照搬外来原始的东西 而要在其基础上开发有更加安全性的自主产品 浅谈浅谈 CPU 卡的迁移及城市通卡综合业卡的迁移及城市通卡综合业 务平台打造务平台打造 近几年 在建设部 IC 卡管理中心的指导下 在地方政府的扶持下 在各地通卡公司的 努力下 城市 一卡通 的发行量和使用量迅速增长 为市民提供了极大的便利 并且提升 了 一卡通 的品牌知名度 扩大了 一卡通 的市场影响 为全国 一卡通 建设的可持续发 展奠定了良好的基础 面对大好形势 各地通卡公司没有固步自封 而是锐意进取 不断 完善现有应用 不断寻求 一卡通 新的发展 新的突破 厚积薄发 为创造 一卡通 新一 轮的爆发奠定了基础 同时 随着建设部 IC 卡管理中心的 建设事业 IC 卡应用技术 2 0 标准 及 城市互联互通卡通用技术标准 即将颁布 高屋建瓴地指导 一卡通 未来的发 展方向 但是 城市 一卡通 发展目前也碰到了一些瓶颈 一是随着 一卡通 从交通领域向其他 领域的拓展 政策层面 技术层面均存在一些难以解决的问题 政策层面在这里就不做太 多的探讨 技术层面上主要问题是缺乏一个适合多行业应用的统一国家标准 但通卡公司 为了自身发展需要 迫切需要探索出一条符合国家现行主流行业标准的技术道路 其三 一卡通 业务模式的变革 也给现有城市通卡公司系统架构提出了新的挑战 随 着 一卡通 在商场 医院 电影院 游乐场 代缴费等消费应用领域的大量应用 以及通 卡公司的用户推广模式从单一个人购卡发展到整个企事业单位 集团 统一购卡 消费网 点和持卡人都迫切需要城市通卡可以实现较大金额额的消费 但目前的卡片系统 交易处 理系统最初的设计目标只是为了实现交通领域的小额消费 在大额消费上存在着先天上的 安全隐患和处理上的缺陷 面对这些错综复杂的问题 有没有解决的办法了 应该是有 建议通卡公司引入新的技 术标准 即采用 建设事业 IC 卡应用技术 2 0 标准 兼容 中国金融集成电路 IC 卡 规范 2 0 业内简称 PBOC2 0 规范 卡片介质逐步实现从 MIFARE1 卡到非接触 CPU 卡过渡 系统架构从支撑公交领域的离线交易体系过渡到类似于银行的在线交易体系 当 然也兼容原有的离线交易 建立一套符合国家标准 类似于金融机构的城市通卡综合业 务系统 包括发卡 收单 清算系统 下面我们从卡片的迁移 采用的技术标准及城市通卡综合业务平台的打造三个方面来做 一个阐述 第一 卡片迁移第一 卡片迁移 卡片迁移的目的是为了提高安全性及满足新的业务发展需求 在这方面我们可以从金融行业近十几年来的发展历程得到启示 与通卡相似 银行的磁 条卡也遭遇过安全危机 因为日益增长的卡片欺诈造成的损失使金融支付应用面临巨大挑 战 所以国际信用卡组织 VISA 及 MASTER 2000 年 12 月发布了 EMV2000 的 IC 卡规范 中国人民银行也参照制定了 PBOC2 0 的 IC 卡规范 欧洲及亚洲发达国家已经完全实现 了从磁条卡到 IC 卡 智能 CPU 卡 的迁移 我国各专业银行的系统也已经完全实现了 P BOC2 0 的迁移 银行业采用卡片也在逐步实施向 IC 卡过渡 借鉴银行的经验 一卡通 可以采取的应对方法就是升级应用的载体介质 即从 MIFA RE1 卡升级到非接触 CPU 卡 同 MIFARE1 卡相比 CPU 卡采用强大而稳定的安全控制 器 增强了卡片的安全性 而非接触传输接口又能满足快速交易的要求 如公交的快速通 过 其原因在于 首先 非接触式 CPU 卡在现有的技术条件下是不可伪造的 其次 非接触式 CPU 卡具有三种认证方式 持卡者合法性认证 PIN 校验 卡合法性认证 内部认证 系统合法性认证 外部认证 对交易的各个单元 持卡人 卡片 终端设备 进行相互认证 保证交易介质的合法性 再次 在以上认证过程中 密钥是不在线路上 以明文出现的 它每次的送出都是经过随机数加密的 而且因为有随机数的参加 确保每 次传输的内容不同 保证了交易内容的合法性 所以 采用非接触式 CPU 卡可以杜绝伪造 卡 伪造终端 伪造交易 最终保证了交易的安全性 同时 非接触 CPU 卡的大容量存储空间又可以满足预期的大金额消费应用所要求的更 多客户信息的存储 而这时安全就不仅仅是存储在卡内的电子货币的安全 还包括个人信 息的安全 非接触式 CPU 卡的安全机制可以为此提供良好的保障 当然 现下各地城市 一卡通 发行的绝多数是 MIFARE1 卡 使用的设备也主要支持 MI FARE1 卡 为了保护通卡公司现有的庞大投入 直接停止使用 MIFARE1 卡而改用非接触 式 CPU 卡不异于天方夜谭 这里同样可以借鉴银行的 IC 卡升级经验 也就是一段时间内 MIFARE1 卡和非接触式 CPU 卡并存 逐步增加非接触式 CPU 卡发行 回收 MIFARE1 卡 最终实现从 MIFARE1 卡到非接触式 CPU 卡的最终更替 要实现这一目标 需要完成卡片 终端 系统三方面的改造 这样的升级投入的资金是 巨大的 但是采用合适的方法及适当的步骤可以大大减少升级的费用 首先 采用的非接 触 CPU 卡要完全兼容现有的 MIFARE1 卡 即在 CPU 卡中模拟出一个 MIFARE1 卡的钱包 从而使新发行的 CPU 卡完全能够在通卡公司现有的系统及终端设备上能够使用 特别是 在现有的交通领域的车载设备上能够使用 而在大额交易的商业场所 如医院 商场等 又能使用 CPU 卡的本身的电子存折或电子钱包 从而保证交易的安全性 所采用的 CPU 卡的卡片架构如下 第二 技术标准第二 技术标准 城市 一卡通 公司进行 CPU 卡迁移及系统升级的核心问题是所采用的技术标准 应该说城市 一卡通 在多应用拓展 跨地域应用的发展前景是光明的 但是一个权威 开放的标准或规范是支持这一发展的必不可少的条件 系统的升级及 CPU 卡的迁移不是 将 一卡通 原有体系推倒重来 而是在保证现有 一卡通 应用体系正常运行的前提下 在 完全兼容现有技术标准的前提下 采用建设部 IC 卡管理中心提出的 建设事业 IC 卡应用 技术标准 2 0 及 城市互联互通卡 标准为主导 并从兼顾跨行业应用拓展的需求出发 兼容中国人民银行的 中国金融集成电路 IC 卡规范 即 PBOC2 0 标准 这样才能保 证系统的平滑升级及 一卡通 将来发展的需要 第三 城市通卡综合业务平台打造第三 城市通卡综合业务平台打造 城市通卡综合业务平台是一个满足跨行业 多应用需求的类似于金融机构的实时在线交 易处理平台 并兼容交通领域小额脱机交易的准金融业务平台 首先 综合业务平台支持实时在线交易 实时在线交易系统分为两个部分 即联机充值 系统以及实时联机账户消费系统 从安全角度考虑 IC 卡片的充值必须实时联机交易 无论国际金融组织 IC 卡规范 EMV 2000 以及中国人民银行金融 IC 卡规范 PBOC2 0 均强制规定充值交易必须在线进行 这是 因为脱机充值交易系统的充值设备一旦丢失或被别有用心的人员利用 就可以无限制的给 卡片任意充值 在公交小额支付应用领域这个矛盾还不是很突出 但是如果卡内钱包余额 上限比较大或者交易金额较高 那么就极其危险 而各地通卡公司在持卡人群急剧增长的 情况下 为了满足老百姓日常频繁的充值需求 越来越多发展第三方的代理充值点 从管 理及安全角度出发 更必须把脱机充值转变为联机充值 消费也是如此 单纯公交小额支付 脱机固然无妨 但大量跨行业较大金额的支付应用 完全离线交易的话存在着资金安全及资金清算的及时性问题 必然要引入在线账户交易 因此 随着地方政府着力打造真正含义上的城市 一卡通 以方便老百姓的衣食住行 一卡通 必将从公交领域拓展到其他众多商业领域 客户群也必将从个体发展到企业集团 用户 由此带来电子钱包单笔消费金额大大上升 必将推动城市 一卡通 综合业务平台的 更新建设 这个趋势不可逆转 综合业务平台类似于银行交易系统综合业务平台类似于银行交易系统 系统的网络结构如下图 系统的功能划分如下图 系统对卡片的规划主要分为四个部分 电子存折 电子钱包 模拟 MIFARE 钱包 企业钱包 电子存折 电子钱包符合建设事业 IC 卡规范 兼容 PBOC2 0 模拟 MIFARE 钱包是为适用于当前应用环境而保留的电子钱包 可以在现有未 改造的终端上进行使用 升级完成后可以取消该钱包的应用 企业钱包是针对 某些行业客户的特定需求 在企业内部实现 IC 卡的电子支付功能 典型应用有 企业内部食堂卡 商场购物卡 系统对卡片的规划保证了向下兼容性和向上 扩展型 同时提供了 一卡通 在特定行业中推广的物理条件 综合业务系统针对 CPU 卡提供独立的密钥管理系统 提供母卡及控制卡的 生成 应用密钥的生成 应用密钥的下载 洗卡各项功能 条件许可的话 也 可以采用原有的密钥管理系统 并完全在建设部 IC 卡中心指