立林高压:首页 > 新闻中心  
 
[2009-5-4] 阅读6090次
  Mifare密钥破解将引发系统风险  
      2008年2月,荷兰政府发布了一项警告,指出目前广泛应用的NXP公司的Mifare RFID产品所赖以保证安全的密钥被两位大学生(骇客)破解。随后不久,伦敦公交使用的Mifare即被成功克隆。某研究小组甚至使用克隆的预付费公交卡免费乘坐了伦敦地铁。其可能引发的连锁反应已使Mifare芯片技术的所有者——荷兰恩智浦(NXP)半导体切实感到了问题的严重性。而不出NXP所料,荷兰政府很快便宣布推迟了基于同样技术的预付费智能交通卡的实施,并且更换了用于政府大楼门禁系统的Mifare卡。同年8月,MIFARE的破解软件及硬件已在网络上公开售卖,售价仅为500美金。2009年2月,中国政府相关部门也对该问题发表相应声明及关注,此举一出,业界哗然!
    自1994年Mifare卡问世以来,1995年,第一个利用Mifare技术生产的装置被开始应用在英国、法国、加拿大、澳大利亚、芬兰及捷克等国的公共交通系统上。该年十月第一个停车场收费系统在马来西亚被投入使用。到今,全球共有五十个国家、650个城市在使用,其中中国有140个城市在使用,目前市场已销售十亿张卡,八亿多张标签,全球注册登记的共有7800家卡片及读写器生产商,在四十多种应用跨行业使用。仅从数量来看,Mifare卡可能引起的安全问题无疑是巨大的。但是,其密钥危机只是针对使用标准钥匙算法中出现的一种风险事件,并不代表所有加密机制全部直接采用原有钥匙,钥匙的破解还要求提供本系统原厂读写器通过特定的算法反推出KA及KB内的加密数据。因此其破解的根源应在于其加密机制的机械化,缺乏技术创新,一味依赖于原始钥匙的算法造成的。密钥危机会不会演变成一场安全灾难,要根据不同的行会用户和单位针对相关应用开发中的钥匙安全性决定,其可能破解的风险性是针对其设计是否完全单纯依靠Mifare卡原始密钥的安全性。
    因此,所有不安全的因素及原因是由于大多数生产厂家忽视了Mifare卡的缺陷,延用原始密钥方法,没有去研发自己的安全钥匙体系所造成的。如,目前国内80%的产品均是采用原始IC卡的ID号或ID卡的ID号去做门禁卡,根本没有去进行加密认证或开发专用的密钥,其安全隐患远远比Mifare卡的破解更危险,因为破解Mifare卡要专业的技术手段,而破解中国的门禁,一个普通的技术人员或熟悉电脑的工程师即可完成对所有国内门禁的破解,其危害程度比起Mifare卡的破解,完全在不同的数量级。所谓真正不堪一击的不完全是Mifare卡的自身安全,而是在其基础上的二次开发中采用的系统技术是否安全。
    Mifare卡在我国拥有大量的用户,多个行业在使用,包括教育行业,企业、公共事业等,如公共交通、停车场、酒店、路桥收费、电子机票、付费电话、付费电视等,都广泛采用了Mifare卡,其安全风险远远已超过企业针对现有安全上的认识;从长远性来讲,门禁一卡通在各个领域的安全问题是我们目前最大的问题,片面的追求经济利益而忽视安全的存在都会付出沉重的代价。
    对于未来建设的安防系统是完全可以从系统工程学上将这种情况加以避免。一个产品的安全性不能依赖于某一个方面的单个安全,更多的应从一个系统的整体逻辑上去完善安全、把可能出现的不安全特征通过整体的系统完善起来。针对原有不安全的门禁系统进行改造,不要采用ID卡作为门禁打卡媒介(其可复制性是100%,无须专用技术即可复制),选用IC卡(需专业技术及专用设备才可复制标准的钥匙信息)的门通过增加多重密钥进行双向、分区存储密钥认证、卡加密码认证、卡+指纹辅助认证等各种方式解决。采用原始密钥体系的IC卡门禁系统,改进密钥读写机制,利用UID产生MAC值,加入一组报文认证,并分散存储密钥,采用“一卡一密”加密模式,MAC必须通过终端的安全应用模块(SAM)进行验证。在此层面上的防止使用未授权卡的安全措施,由于假UID和真卡UID的不同,能够保证卡内的密钥的唯一性,在MAC和UID正确的前提下,同时保证密钥体系多样化,实现SAM执行密钥的唯一性多样化,能进一步提高系统的整体安全性,此方式合适于校园卡、公交卡等各个行业的门禁、消费应用等需求。另外针对消费机在消费记录增加消费流水递增计数,其每笔交易记录产生一个唯一的交易流水号,并记录使用次数,每次使用及次数的变更,通过MAC对动态数据进行保护,交易之间事先检验数据的完整性,完成之后变更交易计数器的值产生新的MAC。同时,系统在处理交易记录时,发现重复流水号自动进行唯一的UID进行笔对,发现伪造卡自动下载黑名单,有效度绝假卡的产生。
    因此,本次Mifare卡被破解的事件,我们认为不仅仅是向所有安防行业敲个醒钟,更多是的提醒安防行业要从单纯的技术引进到发展拥有自主知识产权的技术转变;把安防的安全指标上升到国家安全的高度去,鼓励企业发展有自主知识产权的专业技术产品和密钥体系。