由Mifare1卡破解帶来的危险以及应对方法.docVIP

由Mifare 1卡破解带来的危险以及应对方法 今年年初以来，一个消息的传出震惊了整个IC卡行业。最近，德国和美国的研究人员成功地破解了NXP的Mifare1芯片的安全算法。Mifare1芯片主要用于门禁系统访问控制卡，以及一些小额支付卡，应用范围已覆盖全球。因此这项“成果”引起了不小的恐慌，因为一个掌握该破解技术的小偷可以克隆任何一个门禁卡，从而自由进出政府机关大楼或公司办公室；可以批量的克隆或伪造各种储值卡大肆购物而不被发现。国内发行的这种卡，估计有几亿张在投入使用，它的安全性涉及到众多的运营单位和持卡人的利益。近日，有研究人员宣布MIFARE 系列产品的安全性存在薄弱环节，在他的研究室里，通过研究读写器和卡之间的通信数据，找到了这种卡的加密算法和认证通信的协议，并有两种方法可以得到MIFARE class逻辑加密卡的分区密码。通过这种方法，破坏者可以使用非常廉价的设备在40ms内就可以轻易获得一张M1卡的密码。面对这种灾难性的事实，有些公司宣称他们有办法弥补这一漏洞，用户可以继续使用这种卡片而不必担心。那么，M1卡的破解真的有那么大的破坏力么，目前的一些“安全”手段真的有效么。回答这一问题，我们需要先从了解Mifare1系列卡片的结构和安全认证机制开始。 Mifare系列非接触IC卡是荷兰Philips公司的经典IC卡产品（现在Philips公司IC卡部门独立为NXP公司，产品知识产权归NXP所有）。它主要包括在门禁和校园、公交领域广泛使用的Mifare one S50（1K字节）、S70(4K字节)，以及简化版Mifare Light和升级版MifarePro 4种芯片型号。这几种芯片中，除Mifare Pro外都属于逻辑加密卡，即内部没有独立的CPU和操作系统，完全依靠内置硬件逻辑电路实现安全认证和保护的IC卡。其主要结构如图所示：  在Mifare 1芯片结构中，Authentication Access Control 认证与访问控制单元用于完成卡片的密码认证，控制各个数据扇区的读写权限；Crypto Unit数据加密单元就是其认证和加解密运算的算法引擎。Mifare系列IC卡是NXP公司的专利产品，它采用了一种NXP特有的加密算法来完成认证和加解密运算。由于这种算法是NXP特有且不公开的算法，Mifare系列IC卡采用了一种特殊的手段来实现在不公开算法的前提下完成认证，即将同样的算法引擎放置在NXP出产的专用Mifare读写基站芯片中（如常用的RC500和RC531），认证过程由基站芯片“代替”用户系统与Mifare芯片之间完成。这一认证过程就是常常被Mifare系列芯片宣传的“三重认证”，其实质就是基站芯片与Mifare芯片之间相互传递随机数以及随机数的密文，通过对随机数密文的解密比对实现对卡片的认证。Mifare芯片所引以为豪的“数据加密传输”也是由基站芯片加密后传送给Mifare芯片的。这个过程可以简化为下图所示： 这样就可以通过截获单片机与RC500之间的通讯来获取M1卡的密钥。而要做到这一点，一个使用过RC500的对单片机技术稍微了解的技术人员都能够轻而易举的实现。 那么，在读卡器中安装SAM卡，通过SAM卡计算卡片密钥实现一卡一密是否就安全了呢。想法非常美好，然而结果却非人所愿，这样的做法不但没有增加安全，反而更加加大了安全漏洞。如下图所示： 如图所示，M1卡通过SAM卡实现一卡一密本质上是将SAM卡内的主密钥通过对M1卡的卡号分散后得到M1卡的子密钥，但是这个子密钥仍然要通过终端单片机明文传送给RC500芯片完成对M1卡的认证。更为严重的是SAM卡送出的是Mifare1卡的明文密码，黑客只要获得一张SAM卡，就能够通过它获得所有卡片的密码，连破解手段都不用。 这样，我们可以假设一下几种情况： 外部人员作案： 作案人盗取一个正式使用的终端设备，通过线路截获方式获取单片机发送给RC500的密钥，从而破解M1卡的密钥。 作案人盗取终端内的PSAM卡，通过向PSAM卡发送密钥分散指令的方式得到每一张M1卡的子密钥。 内部人员作案： 终端设备的开发人员利用工作之便盗取终端内的M1卡密钥明文或经过单片机发送给RC500的M1卡密钥明文。 发卡机构工作人员利用工作之便截取PC机通过M1卡读卡器发送给M1卡的密钥明文。或直接操作PSAM卡盗取密钥明文。 系统开发人员利用工作之便盗取PSAM卡密钥明文。 无论哪种可能，都会对整个系统的安全造成致命的影响。实质上，这种一卡一密的做法是借用了CPU卡认证机制中的一卡一密概念，然而它在有意无意间忽略了一个非常重要的事实，即CPU卡和逻辑加密卡是完全不同的两种卡片，它们的认证机制完全不同。CPU卡由于内部具有CPU处理器和操作系统C