Mifare

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 2 de diciembre de 2021; las comprobaciones requieren 4 ediciones .

MIFARE es una marca de una familia de tarjetas inteligentes sin contacto . La marca combina varios tipos de chips de tarjetas inteligentes, chips de lectores y productos basados ​​en ellos. La marca registrada es propiedad de NXP Semiconductors .

Considerada la marca de tarjetas inteligentes sin contacto más utilizada en el mundo con más de 10 mil millones de tarjetas inteligentes y 150 millones de lectores vendidos .

Historia [1]

Posicionamiento y tecnología

Todos los productos MIFARE se basan en el estándar de tarjetas inteligentes sin contacto ISO 14443 Tipo A de 13,56 MHz . Diseñado principalmente para identificación personal y sistemas de micropagos [2] . Se caracterizan por un rango de lectura bajo, de hasta 10 cm [3] .

Etiquetas (mapas) normas

Actualmente se producen boletos inteligentes y tarjetas inteligentes de los siguientes estándares: [4]

Algunos otros tipos de tarjetas se han discontinuado (MIFARE DESFire) o no se han desarrollado más allá de la etapa de proyecto piloto (MIFARE PRO, MIFARE PROX, MIFARE Lite).

También se producen una serie de productos bajo otras marcas comerciales, de una forma u otra relacionadas con las tecnologías MIFARE:

MIFARE Classic, MIFARE Classic EV1, MIFARE ID, MIFARE Mini, MIFARE Plus

La familia MIFARE Classic está formada por las tarjetas MIFARE Classic 1K, MIFARE Classic 4K, MIFARE Classic EV1 1K, MIFARE Classic EV1 4K, MIFARE ID y MIFARE Mini. MIFARE Classic 1K fue históricamente el primero.

Las tarjetas MIFARE Classic ofrecen un complemento a ISO 14443A-3 con protección de datos criptográficos. Contiene un código único de tarjeta inmutable de 4 o 7 bytes y 1 o 4 KB de datos de usuario y configuración de la tarjeta. MIFARE ID y MIFARE Mini son MIFARE Classic recortados a uno y cinco sectores respectivamente (capacidad de 64 y 320 bytes, incluidos los bloques de tecnología).

MIFARE Classic EV1 1K y 4K: lo mismo que MIFARE Classic, pero con un UID de 7 bytes. Además de las diferencias en los procedimientos ISO14443, Anticollision y Select tienen diferencias en el procedimiento de autorización. Se agregó un comando para poder cambiar el mapa al modo clásico con un UID de 4 bytes.

La familia Mifare Plus es una evolución de Mifare Classic que utiliza criptografía AES estándar . Mifare Plus tiene el modo de compatibilidad Mifare Classic. Se producen 4 tipos de etiquetas, que difieren en la cantidad de memoria (2 o 4 KB), la longitud del código único (4 o 7 bytes) y el conjunto de comandos.

Para proteger los datos, este tipo de tarjetas utilizan el algoritmo criptográfico patentado Crypto-1 con licencia .

Especificaciones de Mifare Classic [5]
  • La capacidad de memoria de la tarjeta es de 1 o 4 KB, estándar EEPROM, no requiere batería.
  • 16 o 40 sectores separados de forma segura entre sí, compatibles con aplicaciones multifuncionales. Cada sector tiene su propio conjunto de claves de acceso, lo que le permite diferenciar el acceso a diferentes aplicaciones.
  • Cada sector consta de 4 bloques (3 bloques de información y 1 almacenamiento de claves).
  • El bloque es el componente más pequeño direccionado por el usuario y consta de 16 bytes.
  • El período de almacenamiento de datos en la memoria es de hasta 10 años.
  • Hasta 100.000 ciclos de escritura.
  • El tiempo necesario para obtener los identificadores de tarjetas es de 3 ms (inicio, respuesta a solicitud, anticolisión, selección).
  • El tiempo de lectura de un bloque de 16 bytes es de 2,5 ms (sin autenticación), 4,5 ms (con autenticación).
  • Lectura completa de tarjeta + lectura de control - min. 8,5 ms (sin autenticación), mín. 10,5 ms (con autenticación).
  • Operación típica de emisión de ticket < 100 ms, incluyendo identificación de tarjeta, lectura de seis bloques (768 bits, 2 sectores de autenticación) y escritura de dos bloques (256 bits) con redundancia.
  • Las operaciones son posibles cuando la tarjeta está en movimiento.

MIFARE Ultralight, MIFARE Ultralight C, MIFARE Ultralight EV1

MIFARE Ultralight son las tarjetas más sencillas de la familia. De hecho, el estándar MIFARE Ultralight es un tamaño de memoria reducido (hasta 64 bytes) MIFARE Classic, sin protección criptográfica. Las tarjetas contienen un identificador de tarjeta único (UID) inalterable de 7 bytes y 64 bytes de datos de usuario y configuración.

MIFARE Ultralight C es una evolución de MIFARE Ultralight que utiliza criptografía 3DES estándar y mayor capacidad de memoria (192 bytes).

MIFARE DESFire EV1

Desarrollo del producto MIFARE DESFire. Las tarjetas más complejas y caras de la familia. Cumple totalmente con la norma ISO 14443A . Ofrece un sistema de archivos criptoprotegido (3DES, AES), con condiciones de acceso altamente personalizables. Las tarjetas basadas en MIFARE DESFire EV1 se utilizan para pagar el transporte en más de 60 ciudades (incluidas San Francisco, Miami, Londres, Dubai), en varios países (Nueva Zelanda, Finlandia) son el estándar nacional. Las tarjetas basadas en MIFARE DESFire EV1 también se usan ampliamente para sistemas de control de acceso altamente seguros: los casos de uso más famosos incluyen sistemas de control de acceso para BASF, Daimler Benz, Nestlé y organizaciones como la NASA y la Comisión de la UE.

SmartMX, SmartMX2, eID inteligente

Las tarjetas de marca SmartMX, SmartMX2 y Smart eID no son formalmente MIFARE, pero tienen el modo de emulación de tarjeta MIFARE Classic, MIFARE Plus y MIFARE DESFire (las 2 últimas solo están en SmartMX2). Cumple totalmente con la norma ISO 14443A . Son tarjetas inteligentes completas con un microprocesador integrado ( núcleo Intel 8051 ), criptoprocesador, gran memoria de programa (hasta 256 KB) y datos (hasta 144 KB EEPROM). Cuentan con todos los certificados necesarios y están diseñados para trabajar en sistemas de identificación personal estatales y bancarios.

Reader ICs, NFC y MIFARE SAM

Chips de lector estándar

Actualmente, NXP produce una serie de chips [6] necesarios para construir lectores de tarjetas MIFARE. Varias combinaciones admiten ISO 14443A , ISO 14443B , ISO 15693 . Los chips también contienen un módulo de acceso de seguridad.

Chips para lectores NFC

Se está produciendo una familia de microcircuitos para Near Field Communication PN532, PN533 [6] . Estos chips pueden leer y emular tarjetas Mifare.

Mifare SAM

NXP Semiconductors ha desarrollado módulos criptográficos integrados Mifare SAM [7] (Módulo de acceso seguro), con soporte integrado para algoritmos de cifrado Crypto-1, 3DES , AES , PKI , RSA , CMAC . Estos módulos se posicionan como criptoprocesadores certificados seguros para sistemas con mayor seguridad.

La idea principal de integrar la mayoría de los criptoalgoritmos en un módulo es que la seguridad física de los microcontroladores de uso general en los lectores se vuelve mucho más baja que la seguridad de todos los demás componentes del sistema (criptoalgoritmos y seguridad física de las etiquetas). Para nivelar la situación, se propone utilizar un procesador Mifare SAM especializado como coprocesador criptográfico en el lector. Por supuesto, esto solo se aplica a 3DES y AES. El soporte para Crypto-1 en Mifare SAM es necesario principalmente para la uniformidad en el uso de las tarjetas. Así, el uso de Mifare SAM como coprocesador criptográfico, según los desarrolladores, permite alcanzar el mayor nivel posible de seguridad de datos, independientemente del tipo de procesador principal del lector, y posibilita el soporte de tarjetas de la mayoría de los estándares. .

Seguridad de la tarjeta Mifare

Organizaciones de seguridad e investigadores independientes han descubierto una serie de vulnerabilidades en las tarjetas sin contacto ampliamente utilizadas de los estándares Mifare Classic, Mifare DESFire y Mifare Ultralight, que comprometen el funcionamiento de muchos sistemas de acceso, pago y almacenamiento de datos confidenciales que utilizan estos estándares.

Cripto-algoritmo Crypto-1

Las tarjetas Mifare Classic utilizan un algoritmo criptográfico Crypto-1 con licencia patentada . Inicialmente, la fuerza de un algoritmo se basaba en su secreto . El algoritmo no se reveló, solo podría usarse como parte de los chips Philips (más tarde NXP Semiconductors ). Sin embargo, la baja fortaleza criptográfica del algoritmo y la popularidad de la tecnología han llevado al hecho de que hoy en día el algoritmo no es un secreto y es relativamente fácil de descifrar [8] .

Pero en los sistemas reales, no toda la seguridad se basa en el cifrado por hardware de la tarjeta. Como factor de seguridad adicional, por ejemplo, se pueden utilizar sellos de tiempo . Sin embargo, incluso los sistemas cuya seguridad no se basa completamente en el algoritmo Crypto-1 (o incluso no lo usan en absoluto, como Mifare Ultralight) pueden ser pirateados debido a las características de hardware de las tarjetas [9] .

Todos los chips lectores Mifare modernos de NXP Semiconductors pueden funcionar con Crypto-1. Sin embargo, no todo el mundo tiene la capacidad de almacenar claves de forma segura y no volátil. En los chips MFRC52x y NFC , las claves se cargan antes de cada transacción a través de una interfaz no segura. A modo de comparación, en otros microcircuitos, la clave se escribe una vez de forma no volátil y no se puede leer desde el exterior.

Cronología de la investigación de seguridad en tarjetas Mifare

En diciembre de 2007, en el Chaos Communication Congress, los investigadores Karsten Nohl y Sean O'Neil demostraron los resultados de la ingeniería inversa parcial del algoritmo utilizado en Mifare Classic. Un artículo [10] que describe el proceso de ingeniería inversa se presentó en la conferencia USENIX y se publicó en abril de 2008.

En 2008, un grupo de investigación de la Universidad holandesa de Radbau publicó 3 artículos sobre la piratería de tarjetas Mifare Classic.

Cabe destacar que el fabricante de tarjetas Mifare, NXP , intentó en los tribunales detener la publicación de artículos sobre la piratería de Mifare Classic en 2008. El tribunal rechazó la solicitud de prohibir la publicación de un artículo sobre la piratería de Mifare Classic, argumentando que "En una sociedad democrática, la publicación de investigaciones en el campo de la seguridad de la información tiene un peso enorme, ya que informa al público sobre fallas graves en tecnologías existentes y evita grandes riesgos" [11] [12] .

Después de eso, se publicaron muchos artículos sobre temas de investigación de seguridad y piratería de tarjetas Mifare Classic. Como resultado de estos estudios, la potencia informática requerida para hackear Mifare Classic se ha reducido significativamente. Entonces, si en 2008 hackear Crypto-1 requería alrededor de 200 segundos en una computadora portátil estándar [13] , en 2009 tomó alrededor de 40 ms encontrar la clave secreta [14] . Se han desarrollado variantes de ataque que no requieren un lector válido [15] . Esto hizo posible llevar a cabo un ataque desde un teléfono inteligente, sin el uso de equipos especializados [16] .

En noviembre de 2010, un grupo de investigadores de seguridad de la Universidad del Ruhr publicó un artículo que detallaba el ataque a las tarjetas Mifare DESFire [17] .

Por primera vez, Interpidus Group demostró un ataque exitoso a un sistema que utiliza tarjetas Mifare Ultralight en septiembre de 2012 en la Conferencia de Seguridad Aplicada EUSecWest celebrada en Ámsterdam.

Mifare Clásico

El estándar de tarjeta Mifare más comprometido es Mifare Classic. Desde 2008, se han propuesto muchas formas de hackear este tipo de tarjetas. La mayoría de ellos se basan en la vulnerabilidad del PRNG interno de la tarjeta . Las características de su trabajo quedaron claras después de la ingeniería inversa parcial del chip de la tarjeta. Se encontró que el generador de números pseudoaleatorios del mapa es un registro de desplazamiento de retroalimentación de 48 bits. Esto significa que la secuencia pseudoaleatoria está determinada únicamente por el tiempo de ejecución del generador. Durante el proceso de autenticación, la tarjeta envía una respuesta ( Nt ) al lector, cuyo valor está indirectamente relacionado con el estado del generador de números pseudoaleatorios. Este hecho permite averiguar dos números generados secuencialmente, de modo que, conociendo el dispositivo del generador de números pseudoaleatorios de la tarjeta, determinar el siguiente número en la secuencia. Por lo tanto, el algoritmo de ataque (llamado ataque anidado) asume el conocimiento de la clave de al menos uno de los sectores del mapa, y se ve así [18] :

  1. Autenticar y leer un sector de la tarjeta usando una clave conocida. Guardando la respuesta del mapa ( Nt ).
  2. Vuelva a autenticarse con la misma clave. Guardando el valor de la respuesta de la tarjeta.
  3. Cálculo del estado del PRNG a partir de dos valores consecutivos de Nt .
  4. Enumeración de claves a otros sectores, utilizando conocimiento del estado del PRNG

Pero, incluso sin utilizar las vulnerabilidades del generador de números pseudoaleatorios, es posible enumerar las claves en la FPGA en unas 10 horas por clave [18] .

Los entusiastas desarrollaron el paquete de software de código abierto nfc-tools [19] para trabajar con tarjetas sin contacto. El paquete nfc-tools contiene una biblioteca separada libfreefare [20] diseñada para trabajar con tarjetas estándar Mifare, así como una utilidad que implementa el ataque anterior en Mifare Classic: mfoc [21] .

Mifare DESFire

El ataque a Mifare DESFire, que utiliza el cifrado de bloque Triple DES , se hizo posible después de la ingeniería inversa del chip MF3ICD40. Como resultado de analizar la energía consumida por el chip de la tarjeta, así como la estructura del chip bajo un microscopio, los investigadores pudieron determinar las claves de cifrado. Cuando se utilizan equipos que cuestan alrededor de $ 3000, un ataque se puede completar en 7 horas [17] .

Mifare ultraligero

Las tarjetas Mifare Ultralight se utilizan principalmente como billetes de transporte público. Hay 2 tipos principales de ataques a los sistemas que utilizan Mifare Ultralight.

Ataque de bloqueo: un ataque que utiliza la capacidad de cambiar los bits de bloqueo del mapa. Por regla general, las tarjetas de transporte almacenan varios billetes. Al cambiar los candados, en algunos casos es posible hacer que sea imposible volver a escribir el boleto con el torniquete, mientras se mantiene el acceso al sistema de transporte. Como resultado - billete único "eterno" [9] .

Time Attack - Man in The Middle Un ataque que intercepta datos sobre el tiempo de grabación de una tarjeta válida por parte de un intermediario y luego emula la tarjeta. La mayoría de los sistemas de transporte que utilizan Mifare Ultralight consideran que el billete es válido durante algún tiempo después de la activación, por lo que este enfoque le permite eludir el sistema de acceso sin resolver el problema de descifrar los datos de tiempo. En algunos casos, el ataque puede llevarse a cabo tanto con la ayuda de equipos especializados como con la ayuda de un teléfono inteligente [22] [9] .

Existen implementaciones de código abierto de ataques a Mifare Ultralight [23] .

MIFARE en Rusia

En Rusia se están implementando decenas de proyectos públicos y privados basados ​​en el uso de MIFARE. Casi todos los residentes de las ciudades más grandes de Rusia usan la tarjeta MIFARE todos los días.

El uso más extendido es el pago por servicios de transporte. El transporte terrestre y metropolitano, por regla general, utiliza los estándares Classic 1k y Ultralight, la tarjeta Troika utiliza el formato Mifare Plus. Los nuevos tipos de pasaportes internacionales y algunas visas utilizan la tecnología SmartMX.

Véase también

Notas

  1. Historia de MIFARE , Mifare.net , < https://www.mifare.net/en/videos/mifare-history/ > 
  2. Folleto sobre Mifare
  3. Mifare Ultralight  (enlace inaccesible)
  4. Circuitos integrados de tarjetas MIFARE , < https://www.mifare.net/en/products/chip-card-ics/ > 
  5. Especificaciones de la tarjeta Mifare , < https://www.mifare.net/wp-content/uploads/2015/02/MIFARE-Contactless-IC-portfolio.pdf > 
  6. 1 2 Tabla IC de Mifare , NXP , < http://www.nxp.com/documents/line_card/MIFARE_ICs_939775017001_v9_HR.pdf > . Consultado el 18 de diciembre de 2016. Archivado el 20 de diciembre de 2016 en Wayback Machine . 
  7. Mifare SAM ic , NXP , < http://www.nxp.com/products/identification-and-security/nfc-and-reader-ics/mifare-sams-for-reader-systems > 
  8. Criptoanálisis de Crypto-1 , Karsten Nohl, Universidad de Virginia , < https://www.cs.virginia.edu/~kn5f/Mifare.Cryptanalysis.htm > 
  9. 1 2 3 OPT eludiendo en MIFARE ULTRALIGHT , Matteo Beccaro, Matteo Collura, 2013-08-10 , < https://www.defcon.org/images/defcon-21/dc-21-presentations/bughardy-Eagle1753/DEFCON -21-bughardy-Eagle1753-OPT-eludiendo-en-MIFARE-ULTRALIGHT-WP-Updated.pdf > 
  10. Courtois, Nicolás T.; Karsten Nohl; Sean O'Neil. Ataques algebraicos en el cifrado de flujo Crypto-1 en MiFare Classic y Oyster Cards (enlace no disponible) . Cryptology ePrint Archive (14 de abril de 2008). Archivado desde el original el 21 de septiembre de 2012.  
  11. ^ Servicios de juez de la corte de Arnhem. Pronunciación, reclamo principal (enlace inaccesible) . Rechtbank Arnhem (18 de julio de 2008). Consultado el 26 de noviembre de 2016. Archivado desde el original el 15 de febrero de 2012. 
  12. El juez niega la orden judicial de NXP contra los investigadores de seguridad , The Standard (18 de julio de 2008). Archivado desde el original el 5 de enero de 2009. Consultado el 13 de febrero de 2010.
  13. Courtois, Nicolás T.; Karsten Nohl; Sean O'Neil. Ataques algebraicos al cifrado de flujo Crypto-1 en MiFare Classic y Oyster Cards . Cryptology ePrint Archive (14 de abril de 2008).
  14. García, Flavio D.; de Koning Gans, Gerhard; Muijrers, Rubén; van Rossum, Pedro; Verdult, Roel; Schreur, Ronny Wichers; Jacobs, Bart. Desmontaje de MIFARE Classic . 13th European Symposium on Research in Computer Security (ESORICS 2008), LNCS, Springer (4 de octubre de 2008).
  15. García, Flavio D.; Peter van Rossum; Roel Verdult; Ronnie Wicher Schreur. Robo inalámbrico de una tarjeta Mifare Classic . 30º Simposio IEEE sobre Seguridad y Privacidad (S&P 2009), IEEE (17 de marzo de 2009).
  16. Courtois, Nicolas T. El lado oscuro de la seguridad mediante la oscuridad y la clonación de pases de tren y edificios clásicos MiFare en cualquier lugar, en cualquier momento . Archivo de preimpresión de criptología de IACR (4 de mayo de 2009).
  17. 1 2 Breaking Mifare DESFire MF3ICD40 , Horst Görtz Institute for IT Seurity, 2010 , < http://www.emsec.rub.de/media/crypto/veroeffentlichungen/2011/10/10/desfire_2011_extended_1.pdf > 
  18. 1 2 Robo inalámbrico de una tarjeta Mifare Classic , Flavio D. Garcia, Radboud University Nijmegen , < http://www.cs.ru.nl/~flaviog/publications/Pickpocketing.Mifare.pdf > 
  19. herramientas nfc , GitHub , < https://github.com/herramientas-nfc > 
  20. libfreefare , GitHub , < https://github.com/nfc-tools/libfreefare > 
  21. mfoc , GitHub , < https://github.com/nfc-tools/mfoc > 
  22. Time attack on MIFARE ULTRALIGHT , Matteo Beccaro, Matteo Collura, 2013-29-12 , < https://media.ccc.de/v/30C3_-_5479_-_en_-_saal_6_-_201312291215_-_building_a_safe_nfc_ticketing_system_-_bughardy_-_eagle1753#video&t= 746 > 
  23. NFC Ultralight Toolkit , GitHub , < https://github.com/securenetwork/NFCulT > 

Enlaces