Chair-Woei Miu Smartcards 09.01.2006 1 SMARTCARDS Wie sicher sind sie wirklich?
-
Upload
matthias-stein -
Category
Documents
-
view
224 -
download
0
Transcript of Chair-Woei Miu Smartcards 09.01.2006 1 SMARTCARDS Wie sicher sind sie wirklich?
Chair-Woei Miu Smartcards 09.01.2006
1
SMARTCARDS
Wie sicher sind sie wirklich?
Chair-Woei Miu Smartcards 09.01.2006
2
Gliederung1. Was sind Smartcards?2. Aufbau der Smartcards
-Kontakte-Synchrone und Asynchrone Smartcards
3. Sicherheit der Smartcards- Physikalische Sicherheit- Logische Sicherheit
4. Angriffsmöglichkeiten5. Fazit6. Fragen?
Chair-Woei Miu Smartcards 09.01.2006
3
Was sind Smartcards?• PVC-Karten mit einem Chip Integriert
• Einsatzgebiete-Banken-Mobiltelefone-Krankenkassen- etc.
Chair-Woei Miu Smartcards 09.01.2006
4
Erfinder der Smartcards• Jürgen Dethloff und Helmut Gröttrup
„Einen integrierten Schaltkreis in eine Identifikationskarte einbauen“(1968)
• Roland Moreno "unabhängiges, elektronisches Objekt, entwickelt für die Speicherung von vertraulichen Daten„-Abfrage der Daten nur mit PIN
Chair-Woei Miu Smartcards 09.01.2006
5
Aufbau der Smartcard
Chair-Woei Miu Smartcards 09.01.2006
6
Beschreibung der KontakteC1: Versorgungsspannung 5V(Vcc)C2: Reset-Signal (RST)C3: Taktsignal 3,5-5 MHz (CLK)C4: Reserved for Future Use (RFU)C5: Masse (GND)C6: Programmierspannung (Vpp)C7: Datenein- und Ausgang (I/O)C8: Reserved for Future Use (RFU)
Chair-Woei Miu Smartcards 09.01.2006
7
Formate der Smartcards• Nach ISO 7816 genormt
• ID-1: (85,60mm × 53,98mm) • ID-00: (66mm × 33mm) • ID-000: (25mm × 15mm)
Chair-Woei Miu Smartcards 09.01.2006
8
Synchrone Smartcards 1
Chair-Woei Miu Smartcards 09.01.2006
9
Synchrone Smartcards 2• nur ein Speicher (EEPROM)• Zugriff auf einzelne Speicherzellen
durch I/O Schnittstelle• nur zum Speichern • keine komplexen Anwendungen• Telefonkarten, Krankenkassenkarten• Vorteil: günstig herzustellen
Nachteil: unsicher
Chair-Woei Miu Smartcards 09.01.2006
10
Asynchrone Smartcards 1
Chair-Woei Miu Smartcards 09.01.2006
11
Asynchrone Smartcards 2• besitzen einen Prozessor
Mikroprozessorkarten• Zugriff auf die Daten nur über den
Prozessor möglich kein direkter Zugriff auf Speicher• kryptographische Verfahren• Geldkarten, SIM-Karten…• Vorteil: mehr Sicherheit
Nachteil: teuer in der Herstellung
Chair-Woei Miu Smartcards 09.01.2006
12
Sicherheit bei Smartcards
• physikalische Sicherheit
• logische Sicherheit
Chair-Woei Miu Smartcards 09.01.2006
13
Physikalische Sicherheit 1• Ziel: Analysieren und Manipulieren
verhindern• Sensoren zur Überwachung der
Funktions- und Speicherelemente• hohe Transistordichte Informationsgewinn durch die
Struktur des Mikrocontrollers wird erschwert
Chair-Woei Miu Smartcards 09.01.2006
14
Physikalische Sicherheit 2• Verbindung zwischen Prozessor und
Speicher von außen nicht Kontaktierbar
• Leistungsaufnahme bei verschieden Befehlen konstant
• Adress- und Datenleitungen ungeordnet verlegt
Chair-Woei Miu Smartcards 09.01.2006
15
Physikalische Sicherheit 3• nach Eingabe der Benötigten Daten
wird eine Sicherung im inneren des Chips durchgebrannt
• nicht mehr in den Testmodus zurückschaltbar
• Passivierungsschichtbei Entfernung wir die Karte deaktiviert
Chair-Woei Miu Smartcards 09.01.2006
16
Logische Sicherheit• Ziel: sichere Datensicherung und sichere
Kommunikation • sichere Kommunikation durch
Kryptographische Verfahren• Sichere Datensicherung
Zugriff auf Daten nur über I/O und Mikroprozessor
• nur Teile des Betriebssystems auf ROM gespeichert
Chair-Woei Miu Smartcards 09.01.2006
17
Angriffsmöglichkeiten• Terminal gegen Karteneigentümer
• Versuch an Kartenspezifischen Schlüssel zu gelangen
Chair-Woei Miu Smartcards 09.01.2006
18
Terminal gegen Karteneigentümer• manipulierter Terminal
Abbuchen eines falschen Betrages
• Verweisung auf TerminalimitatTerminal speichert Daten des Karteneigentümers und den eingegebenen PINKarte wird Komplett eingezogen
Chair-Woei Miu Smartcards 09.01.2006
19
Kartenspezifischer Schlüssel• Schlüssel ist an einem speziell
geschützten Bereich der Karte gespeichert
• Wiederherstellung der durchgebrannten SicherungKarte lässt sich in den Testmodus geschaltetDaten sind Ausles- und Veränderbar
Chair-Woei Miu Smartcards 09.01.2006
20
Fazit• Smartcards sind sehr sicher• Weiterentwicklung der Karten
mehr Sicherheit• Javacards
-mehr Anwendungen auf einer Karte
Chair-Woei Miu Smartcards 09.01.2006
21
Ende
FRAGEN?!