Transcript Document 7477975

"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Die Geldkarte
Eine „sichere“ elektronische Geldbörse?
Marcel Selhorst, 04.07.2002
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Übersicht
•
•
•
•
•
Das System „Geldkarte“
Hardware / Software
Sicherheit der Geldkarte
Angriffsmöglichkeiten
Zusammenfassung
2
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Das System „Geldkarte“
•
Geldkarte
–
–
•
elektronische, wiederaufladbare Geldbörse
geringer Verfügungsrahmen (max. 200,- €)
einfache Handhabung für Händler und Kunden
–
–
–
•
keine Online-Verifikation
keine PIN-Eingabe notwendig
niedrige Kosten (Händler spart ca. 80% zu ec)
1997 deutschlandweite Einführung
–
–
Einführung von Kundenkarten mit Microcontroller (Smartcards
als Kunden, Giro- oder ec-Karten mit Chip)
Vorbild für weitere elektronische Geldbörsen in Luxemburg
(MiniCash) und Frankreich (Moneo)
3
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Geldkartentypen
•
Zwei unterschiedliche Typen:
1) Kundenkarte
•
Kontogebunden
–
–
–
•
ec-Karte mit Chip
Kontoinformationen
Transaktionsinformationen
Kontoungebunden
–
–
–
–
White Card
Aktueller Betrag
Transaktionsinformationen
Pseudonym (fehlender Kontobezug)
2) Händlerkarte
•
•
Terminal oder Software
Kommunikationspartner für Kundenkarte
4
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Evidenzzentralen
•
Verwaltung der Geldkarten durch Evidenzzentralen
–
–
Führung von Schattenkonten
Prüfung von Buchungen
•
•
•
Erkennung von Mißbrauch
Reklamationsbearbeitung
Abrechnungsstelle für Händler
 Keine Anonymität möglich
5
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Lade- / Bezahlvorgang
6
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Übersicht
•
•
•
•
•
Das System „Geldkarte“
Hardware / Software
Sicherheit der Geldkarte
Angriffsmöglichkeiten
Zusammenfassung
7
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Hardware
•
Smartcard mit integriertem Microcontroller
–
–
–
–
–
–
–
•
Meist Cryptocontroller SLECX160S von Infineon (Siemens)
32 kB ROM
16 kB EEPROM
512 Byte RAM
8-Bit-Befehle
16-Bit breiter Datenbus
4,9 MHz Taktfrequenz (von außen angelegt)
Struktur ähnelt der 8051-Microcontroller-Familie
8
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Software
•
Betriebssystem
–
Bis 2000 MultiFunctionCard (MFC)
•
–
Ab Oktober 2000 Version 4.1 (ZKA)
•
•
•
•
•
•
Gemplus / Giesecke & Devrient / Orga Kartensysteme
Betriebssystem in Assembler programmiert
21 Kommandos zur Steuerung der Karte
unvollständig im ROM untergebracht
wird durch Tabellen im EEPROM bei der Initialisierung ergänzt
Aufgaben
–
–
–
–
•
IBM / Siemens Nixdorf / Telekom
Ablaufsteuerung
Datenübertragung
Dateiverwaltung
Kryptographie
Geldkarte läuft als Unterprogramm des Betriebssystems
9
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Ablauf der Befehlsabarbeitung
10
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Kommunikation zwischen Terminal und Geldkarte
•
unterliegt Master-Slave-Verhältnis
–
Terminal =Master
–
Geldkarte=Slave
 darf unaufgefordert keinerlei Informationen preisgeben
Kommunikationsabfolge:
11
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Übersicht
•
•
•
•
•
Das System „Geldkarte“
Hardware / Software
Sicherheit der Geldkarte
Angriffsmöglichkeiten
Zusammenfassung
12
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Sicherheit der Geldkarte
•
Ziele
–
–
–
•
Integrität
Vertraulichkeit
Verfügbarkeit
(keine absichtliche / unabsichtliche Änderung der Daten)
(Geheimhaltung der gespeicherten Daten)
(Daten dürfen nicht absichtlich verloren gehen)
Hohe Sicherheitsanforderungen an die Smartcard
–
•
Herausgeber haben keinen Einfluss auf Manipulationsversuche
 Aufwand >> Nutzen
Sicherheitsfaktoren
–
–
–
–
–
Physikalische Sicherheit
Logische Sicherheit
Dateisystem
Zugriffsrechte
Kryptographie
13
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Physikalische Sicherheit
•
Aktiver Schutz (Betriebsgesteuert):
–
–
–
–
•
Sensoren überwachen Funktions- und Speicherelemente
Überwachung der angelegten Stromversorgung
Überwachung der angelegten Taktfrequenz
Widerstands- und Kapazitätsmessung zum Erkennen fehlender
Schichten
Passiver Schutz (Smartcardaufbau):
–
–
–
–
–
–
Hohe Transistordichte
Immer gleiche Stromaufnahme pro Befehl
Adress- und Datenleitungen sind „wild durcheinander“
( keine Bauelementenzuordnung möglich)
Passivierungsschicht gegen chemische Prozesse
Smartcard nur über Außenkontakte ansprechbar
Testmodus zum wahlfreien Zugriff auf Speicherelemente
 Durchbrennen einer Sicherung im Inneren der Smartcard
14
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Logische Sicherheit
•
Initialisierung:
–
–
–
–
•
Prüfsummenberechnung für wichtige Teile des EEPROM
Laden des Betriebssystems aus dem ROM
Betriebssystemkomplettierung aus Tabellen im EEPROM
Kartendeaktivierung (mit Löschen des EEPROMs) jederzeit
möglich
Design:
–
Schichtenmodell für wenige Konzeptions- und
Programmierfehler
15
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Dateisystem
•
Verwaltung der Daten im EEPROM über Dateien und Verzeichnisse
–
–
–
Masterfile (MF)
Dedicated File (DF)
Elementary File (EF)
 Baumstruktur mit 3 Ebenen
•
Identifizierung:
–
File Identifier (FID)
•
–
Eindeutige Namensgebung
Application Identifier (AID)
•
•
Eindeutige Applikationszuordnung
Applikationen in eigenem Unterverzeichnis
 Ausführbare Verzeichnisse (DF_BÖRSE)
16
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
17
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Zugriffsrechte
•
Access Conditions (ACs)
–
–
Beschränken den Zugriff auf Dateien und Verzeichnisse
Bei Erzeugung festgelegt
•
•
–
–
•
Dateien: Schreib- und Leserechte
Verzeichnisse: Zugriff, Erzeugung von Unterverzeichnissen und
Dateien
Unterscheidung zwischen „Globalen ACs“ und „DFspezifischen ACs“
Kombination von ACs möglich
Zugriffsbeschränkung
–
–
–
Passwort
Verschlüsselung
Authentifikation
18
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Kryptographie
•
Symmetrische Verschlüsselungsalgorithmen
–
–
–
•
Authentifizierung
Integritätsprüfung
Verschlüsselung
Aktuelle Generation verwendet „DES“ und „Triple-DES“
–
–
–
–
DES (Data Encryption Standard) arbeitet mit 64-Bit-Blöcken
Verschlüsselung erfolgt mit 56-Bit-Schlüssel
sehr schneller Algorithmus (1 Block bei 4,9 MHz ca. 7,5ms)
Niedrige Schlüssellänge
 Triple-DES
–
–
–
•
Doppelte Schlüssellänge (2 x 56 Bit = 112-Bit Schlüssellänge)
3 Verschlüsselungs – Entschlüsselungs – Operationen
Erfordert längere Berechnungszeit (1 Block bei 4,9 MHz ca. 25ms)
MAC – Bildung zur Integritätsprüfung:
–
„einfacher MAC“ mit DES (56-Bit-Schlüssel)
–
„Retail MAC“
mit 3DES (112-Bit-Schlüssel)
19
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Globale Schlüssel
Schlüsselbildung:
•
1 Masterkey
–
–
–
–
•
Gültig für das gesamte Geldkartensystems
gesplittet in zwei Teilschlüssel
XOR addiert ergeben sie den Hauptschlüssel
Sicher aufbewahrt an zwei unterschiedlichen Orten
2 Reduced-Masterkeys
 Kein Rückschluss auf Masterkey möglich
–
1 x für Kundenkarten
•
•
–
in sichere Hardwaremodule eingebettet
Für Kommunikation mit Kundenkarten notwendig
1 x für Händlerterminals
•
Für Kommunikation mit Händlerkarten notwendig
20
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Geldkartenschlüssel
•
Schlüssel
–
–
Individuell für jede Karte
Berechnet sich aus Seriennummer und Reduced-Masterkey
•
•
–
Händler-Reduced-Masterkey für Händlerkarten
Geldkarten-Reduced-Masterkey für Kundenkarten
Verschlüsselte Kommunikation nur mit diesem Schlüssel
21
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Authentifizierung
•
Gegenseitige Authentifizierung
–
–
Zu Beginn der Kommunikation zwischen Terminal und Geldkarte
Über Challenge-Response-Verfahren
•
•
–
–
Geldkarte prüft Echtheit des Terminals
Terminal prüft Gültigkeit der Karte
Zufallszahlen werden für die Sitzungsdauer gespeichert
Danach ausschließlich verschlüsselte Kommunikation
22
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Übersicht
•
•
•
•
•
Das System „Geldkarte“
Hardware / Software
Sicherheit der Geldkarte
Angriffsmöglichkeiten
Zusammenfassung
23
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Angriffsmöglichkeiten
•
Systemschlüssel:
–
–
–
•
Diebstahl der beiden Teilschlüssel
Social Engineering
Bestechung
Reduced-Masterkey für Kundenkarten
–
–
Aufbrechen / Analyse der Sicherheitsmodule
Dekompilierung der Softwarelösung



•
Erzeugen von (Geldkarten-ID || Geldkartenkey)-Tupeln
Eigene Karten erstellen
Betrug wird auf jeden Fall entdeckt (Schattenkonten)
Fehlersuche im Betriebssystemquellcode
24
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Angriffe auf die Smartcard
•
Geldkartenspezifische Schlüssel
–
Brute-Force-Attacke auf DES-Schlüssel
(Latenzzeiten der Antwort)
Hardwaremanipulation
–
•
•




Sicherung zum Speicherzugriff wiederherstellen (Testmodus)
Analyse (laut Ross Anderson mit genug Aufwand möglich)
Aufladen der Karte möglich
Änderung des Einheitenfaktors: (von 10-2 auf 100)
Mißbrauch wird bei Prüfung der Schattensalden erkannt
Kontoungebundene Karte verwenden (Pseudonym)
25
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Übersicht
•
•
•
•
•
Das System „Geldkarte“
Hardware / Software
Sicherheit der Geldkarte
Angriffsmöglichkeiten
Zusammenfassung
26
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Zusammenfassung
•
Pro
•
•
•
•
•
•
•
•
Sichere und manipulationsgeschütze Smartcard
Sehr guter Bargeldersatz für kleine Beträge
Sicheres Bezahlen übers Internet möglich
Beschränkter Verfügungsrahmen limitiert Schaden bei Verlust
Niedrige Kosten für Händler
Viele Ladeterminals (> 22.000), viele Händlerterminals (> 70.000)
Purse Application for Cross Border Use in Euro
(PACE - Deutschland, Frankreich, Luxemburg)
Contra
•
Kaum Akzeptanz beim Kunden (ca.½ Transaktion pro Karte und
Jahr)
–
–
•
Viele Kunden wissen nicht um die Funktionen der Geldkarte
Dresdner Bank hat letzte Woche die Auslieferung der Geldkarte
eingestellt
Keine Anonymität
27
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Zusammenfassung
•
Lohnenswerte Angriffe
•
Gewinnung des Reduced-Masterkeys durch Dekompilierung der
Softwarelösung für Händlerkarten
 Erzeugen von (Geldkarten-ID || Geldkartenkey)-Tupeln
 Eigene Karten erstellen
•
Zukunft
•
•
•
Neue Generation mit RSA-Chip signaturfähig für HBCI
Common Electronic Purse Specifications (CEPS - International)
Allround-Karte durch offene Spezifikationen
–
–
–
–
Studienausweis
Fahrausweis
Zutrittskontrolle
Bonusprogramme
28