Golem:
--------------------------------------------------------------------------------
> Sie sei aber seitdem nicht geschlossen worden, obwohl das relativ einfach wäre.
>
> Die Karten haben einen Mifare Ultralight Chip von NXP. Mifare-Funkchips hatten sich
> schon früher als anfällig gegen Angriffe erwiesen.
Wie kann denn diese Sicherheitslücke einfach geschlossen werden? Solange es vorgesehen ist die Infos über die Gültigkeit direkt auf der Fahrkarte zu speichern - und es somit notwendig ist ihn beim entwerten neu zu beschreiben - seh ich da keine einfache Möglichkeit.
Ich nehme an, dass aus Kostengründen gegen eine vernetzte Variante, bei der nur eine ID auf dem Chip gespeichert und die Gültikkeitsinfos auf nem Server liegen, entschieden wurde.
Benutzer wird von Ihnen ignoriert. Anzeigen
Es ist nicht lösbar.
Selbst mit einem Zertifikat nicht. Man kopiert ja den gesamten Chipinhalt inklusive Zertifikat. Also stimmen die Hashes auch überein.
Wie du schon sagtest hätte man einfach eine ID in dem Chip speichern sollen, die beim dranhalten per Mobilfunk an einen Cloudserver in einem Sicherheitunsternehmen gesendet wird und dort die entsprechende Entwertung stattfindet.
Das Ganze mit Zertifikaten und Verschlüsselung abgesichert hätte ein solches Hacking unmöglich gemacht.
Aber nein, RFID ist ja so 90er. Wir nehmen lieber NFC, ist ja so schön neu und unsicher...
Grüße vom Planeten Deviluke!
2 mal bearbeitet, zuletzt am 21.09.12 20:15 durch Lala Satalin Deviluke.
Benutzer wird von Ihnen ignoriert. Anzeigen
Bis jetzt hast du nicht so gewirkt, als hättest du keine Ahnung von dem, das du sagst.
Benutzer wird von Ihnen ignoriert. Anzeigen
Ich möchte Dir nahelegen, Dich mit dem Thema Funktionsweise von NFC, Sicherheit der MiFare UL Tags - und damit es nicht zu weiteren peinlichen Verwechslungen kommt auch mit dem Thema RFID - auseinanderzusetzen. Sofern dies geschehen ist und Dir das Prinzip erschlossen ist, solltest Du mit diesem neu erworbenen Wissen Deine Antwort nochmals überprüfen.
Danke.
//Edith wies mich darauf hin, dass ich auch golem nochmals korrigieren sollte: Es werden keine Mifare UL Tags sondern UL C Tags eingesetzt. Der Unterschied ist die 3DES-verschlüsselte Authentifizierung beim Zugriff auf den Payload des Tags. Der Angriff auf diese Tags ist iirc seit 2009 erfolgreich, auf die DesFire-Tags seit letztem Jahr.
Dieser Forums-Account kann gelöscht werden.
1 mal bearbeitet, zuletzt am 21.09.12 21:53 durch schwar2ss.
Benutzer wird von Ihnen ignoriert. Anzeigen
Wozu die Lücke schließen?
Reicht doch, Smartphones in seinen Transportmitteln zu verbieten.
Benutzer wird von Ihnen ignoriert. Anzeigen
Oder man verbietet einfach das zurücksetzen. Reicht auch aus. :)
Benutzer wird von Ihnen ignoriert. Anzeigen
schwar2ss schrieb:
--------------------------------------------------------------------------------
> Ich möchte Dir nahelegen, Dich mit dem Thema Funktionsweise von NFC,
> Sicherheit der MiFare UL Tags - und damit es nicht zu weiteren peinlichen
> Verwechslungen kommt auch mit dem Thema RFID - auseinanderzusetzen. Sofern
> dies geschehen ist und Dir das Prinzip erschlossen ist, solltest Du mit
> diesem neu erworbenen Wissen Deine Antwort nochmals überprüfen.
Aus Unwissenheit habe ich nicht bedacht, das Daten und Übertragung verschlüsselt werden können und somit auch vom NFC-Tag eine Zugriffskontrolle ("Wer darf mich beschreiben?!") realisiert werden kann.
Damit ist also durchaus eine "sichere" Lösung möglich.
Zum Thema "Sicherheit der MiFare UL Tags" habe ich mich leider bisher noch nicht schlau gemacht.
Aber vom Prinzip her müsste ja ein in irgendeiner Form verwendeter Schlüssel zur Authentifizierung gegenüber dem Tag geknackt worden sein, bzw. die Authentifizierung vollständig umgangen worden sein. Um dann den Tag beschreiben zu können.
@lemmer: Das Smartphone wird ja während der Fahrt gar nicht benötigt. Die Fahrkarte wird nur vorher damit präpariert.
@EqPo: Verbieten kann man alles Mögliche. Aber der nutzen ist doch sehr gering wenn man es nicht kontrollieren kann. Und das kann man in dem Fall nicht.
Benutzer wird von Ihnen ignoriert. Anzeigen
Kommentare: 719 | letzter Beitrag 19:02 Uhr
Kommentare: 568 | letzter Beitrag 14:41 Uhr
Kommentare: 251 | letzter Beitrag 17:14 Uhr
Kommentare: 170 | letzter Beitrag 08:02 Uhr
Kommentare: 166 | letzter Beitrag 18:46 Uhr
E-Mail an news@golem.de
Google hat die Android-Apps Drive und Chrome aktualisiert. Die Google-Drive-App im aktualisierten Erscheinungsbild bringt eine Bildvorschau, eine Scanfunktion und eine Downloadmöglichkeit. Chrome bringt einen Vollbildmodus und eine Verlaufsfunktion innerhalb eines Browsertabs.
Ein Smartphone, das in einer halben Minute geladen ist, soll ein neuer Energiespeicher ermöglichen. Die Entwicklerin kam auf die Idee, weil sie sich über den dauernd leeren Akku ihres Mobiltelefons geärgert hat.
Nach einem Entwurf des Architekturbüros NBBJ will Amazon eine extravagante neue Konzernzentrale bestehend aus drei riesigen Gewächshauskugeln und Bürohochhäusern errichten.
Eine Preissenkung bei den Software-Lizenzen hilft Windows 8-Geräten. Ihr Anteil soll auf 10 bis 20 Millionen steigen.
Der Chaos Computer Club hat das Grundgesetz als Open Data veröffentlicht. Die dafür eingerichtete Plattform steht auch anderen Nutzern offen, die weitere Dokumente aus der Verwaltung dort veröffentlichen sollen.
Die Nutzungsordnung der Herzog August Bibliothek, die noch aus dem Druckzeitalter stammt, ist für das Internet nicht mehr geeignet. Angesichts laufender Abmahnwellen für illegal genutztes Bildmaterial heben die Betreiber sie jetzt auf und führen die Creative Commons Lizenz BY-SA ein.