{"id":447,"date":"2007-12-30T16:19:47","date_gmt":"2007-12-30T14:19:47","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/447-24c3-smartcard-protocol-sniffing"},"modified":"2018-05-31T22:31:33","modified_gmt":"2018-05-31T21:31:33","slug":"24c3-smartcard-protocol-sniffing","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/447-24c3-smartcard-protocol-sniffing","title":{"rendered":"24C3: Smartcard Protocol Sniffing"},"content":{"rendered":"

Nun gab es doch noch den bereits vermissten<\/a> Vortrag zur Schweizer Postcard<\/a>. Die beiden Referenten hatten schon auf dem letzten CCC<\/a> gezeigt, dass die Schweizer Karte nur einen 320-Bit RSA-Key verwendet, der innerhalb von 24 Stunden gecrackt werden konnte. Damit ist nicht nur diese eine Karte kompromittiert, da es sich um den Privaten Schl\u00fcssel der Issuing Party handelt, d.h. mit diesem Schl\u00fcssel k\u00f6nnen neue Karten digital signiert werden. Interessanterweise hat das die Schweizer Presse nicht wirklich interessiert.<\/p>\n

In diesem Jahr ging der kompakte Vortrag \u00fcber die M\u00f6glichkeiten, SmartCards zu clonen, d.h. komplette identisch funktionierende Kopien herzustellen. Dazu musste jedoch zuerst das verwendete Kommunikationsprotokoll analysiert werden, was sich recht m\u00fchsam herausstellte. Zum Einsatz kamen eine Javacard, eine Prozessorcard und die \u00dcberlegung, das ganze mit spezieller Hardware zu machen wie es die Briten<\/a> kurz vorher vorgef\u00fchrt hatten.<\/p>\n\n\n\n\n\n\n\n\n\n
Funktion<\/th>\nHardware<\/th>\nJavacard<\/th>\nProzessorcard<\/th>\n<\/tr>\n
Timing<\/td>\nX<\/td>\n–<\/td>\n–<\/td>\n<\/tr>\n
T1 Sniffing<\/td>\nX<\/td>\n–<\/td>\nX<\/td>\n<\/tr>\n
Direct Convention<\/td>\nX<\/td>\n–<\/td>\nX<\/td>\n<\/tr>\n
Indirect Convcention<\/td>\nX<\/td>\nX<\/td>\nX<\/td>\n<\/tr>\n
Ease of Use<\/td>\nlow<\/td>\nhigh<\/td>\nmed<\/td>\n<\/tr>\n
Secrecy<\/td>\nlow<\/td>\nhigh<\/td>\nhigh<\/td>\n<\/tr>\n
Special Hardware<\/td>\nX<\/td>\n–<\/td>\nX<\/td>\n<\/tr>\n<\/table>\n

Die komplette verwendete Hardware und Software und weitere relevante Informationen sind auf der Webseite Postcard-Sicherheit.ch<\/a> ver\u00f6ffentlicht.<\/p>\n

Meiner Meinung nach ist hier neben der technischen Sicherheit vor allem die politische Implikation interessant. Die Schweizer \u00d6ffentlichkeit hat von den Sicherheitsproblemen gar keine Kenntnis genommen (im Gegensatz zum Bericht aus Gro\u00dfbritannien, dort hat die BBC eine Fernsehsendung zu den L\u00fccken der Chip&PIN-Karte gesendet). Ebenso werden vom Anbieter, der Schweizerischen PTT die Probleme kleingeredet oder komplett abgestritten. Das Risiko liegt also wie in Deutschland alleine beim Kunden. Ein Umkehrung der Beweislast<\/a> bei s\u00e4mtlichen unklaren Zahlungen solcher Karten, d.h. die Bank muss dem Kunden grob fahrl\u00e4ssigen Umgang nachweisen, ist daher dringend geboten.<\/p>\n

URLs zum Thema:<\/p>\n