Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties

NXP Semiconductors heeft de Mifare Plus aangekondigd. De vernieuwde microcontroller is volgens de fabrikant ten opzichte van zijn illustere voorganger voorzien van verbeterde encryptiemechanismen.

De aankondiging van de nieuwe microcontroller komt op een moment dat de huidige Mifare Classic-chip opnieuw onder vuur ligt door de publicatie van opensource kraaksoftware. De Mifare Plus gebruikt volgens NXP voor het opslaan van de sleutel 128-bit aes-encryptie, maar de sleutel kan voor compatibiliteit met bestaande kaartleesapparatuur ook met de onveilig gebleken 48-bit Crypto1-versleuteling van de Mifare Classic worden weggeschreven.

De 'veilige' aes-modus van de microcontroller kan achteraf via een signaal uit de kaartlezer worden geactiveerd. NXP stelt verder dat er bij de overstap naar de aes-encryptiemodus van de Mifare Plus ook gecontroleerd kan worden of er in de kwetsbare 'classic-modus' met de chip is gerommeld. De Mifare Plus-chip zou bovendien opnieuw beschreven kunnen worden als blijkt dat deze is gemanipuleerd. Hierdoor kan de smartkaart alsnog in de veilige modus hergebruikt worden, zo stelt de chipfabrikant.

Met de Mifare Classic-emulatiemodus lijkt NXP zijn bestaande gebruikers te willen behouden door hen in staat te stellen om gefaseerd te migreren naar de verbeterde encryptiemethode. NXP is van plan om de eerste samples van de vernieuwde rfid-chip volgende maand uit te gaan leveren. In de loop van 2009 moet de Mifare Plus op de markt verschijnen.

Gerelateerde content

Alle gerelateerde content (24)
Moderatie-faq Wijzig weergave

Reacties (38)

Tja, ze moeten natuurlijk wel na de toch wel vele negatieve berichten de laatste maanden. Al ben ik benieuwd hoe lang de 128 bit aes-encryptie zal standhouden. Uiteindelijk bouwen ze verder op een platform dat als 'onveilig' bestempeld werd, dus zal het naar mijn mening toch afwachten zijn of ze hun verhaal waar kunnen maken.
*edit: spelling*

[Reactie gewijzigd door Darkstar op 27 oktober 2008 18:24]

AES (Rijndael) encryptie is niet onveilig. Het enige waar je aan zou kunnen twijfelen is de lengte van de key, maar zelfs 128 bit is (nog) niet in redelijke tijd te brute-forcen. De key kan trouwens niet te lang zijn bij RFID's vanwege de beperkte tijd voor handshaking.

Tevens bouwen ze met deze chip dus juist niet verder op de bestaande eigen encryptiemethodes waar de veiligheid vooral door obscuriteit werd geimplementeerd, maar kiezen ze juist eindelijk een open encryptiestandaard die publiek kan worden bekritiseerd. Beter laat dan nooit zullen we maar zeggen...

[Reactie gewijzigd door johnbetonschaar op 27 oktober 2008 18:42]

Als een 48 bits key inmiddels gekraakt is, en voor zover ik weet was dat niet puur bruteforce maar echt gekraakt, dan kan het best zijn dat een 128 bits key ook niet extreem lang standhoud. Enne.. voor de hoeveelheid geld waar het om gaat (E500 per shot..) kan het best zijn dat binnen afzienbare tijd het economisch haalbaar zou zijn om te bruteforcen.
Het hele eieren eten is dat het bruteforcen niet het (grootste) probleem is bij de mifare classic. Het probleem is dat het onomkeerbaar geachte CRYPTO1 zo brak als wat is en dat het wel degelijk omkeerbaar is gebleken....

CRYPTO1 is overigens echt gekraakt, niet ge'bruteforced', terwijl het helemaal niet mogelijk had moeten zijn dat dit gebeurde CRYPTO1 is zogezegd stuk, héél erg stuk!

[Reactie gewijzigd door flijten op 27 oktober 2008 22:35]

reken voor de gein even uit hoeveel langer het duurt om een 128 Bit key te brute forcen t.o.v een 48 bit key... Dat ligt echt mijlenver uiteen! Misschien een leuke weetje uit de wiki: om zo'n key te kraken heb je ongeveer 30 gigawatt aan energie nodig (verspreidt over x tijd natuurlijk). Dat is toch wel een duur geintje, ongeacht de tijd die je nodig hebt. Natuurlijk is het grotendeels nattevingerwerk, maar een als een reëel getal factor 10 lager zou liggen is het nog steeds tamelijk onbegonnen werk.

Daarnaast zijn ze nu overgestapt op AES, en gebruiken dus niet meer hun eigen lekke encryptie methode . Dat maakt nogal een groot verschil.
om zo'n key te kraken heb je ongeveer 30 gigawatt aan energie nodig (verspreidt over x tijd natuurlijk).
Wat bedoel je nu? Gigawatt is een vermogen, en dat is niet iets wat je "verspreidt over x tijd", maar iets wat je gedurende een bepaalde tijd opneemt. Of is het Gigawattuur? Of Gigajoule? Dit zijn alletwee maten voor energie, en het opnemen daarvan kan je wel spreiden in de tijd.
Ik doelde er niet alleen op hoe lang het zou duren, maar daarnaast ook nog eens hoeveel dat zou kosten. Hoe lang je er dan mee bezig bent doet er dan niet meer zoveel toe.

Even for the record, die 30 gigawatt heb je 1 jaar lang nodig ;) Zie ook http://en.wikipedia.org/w...attack#Theoretical_limits

[Reactie gewijzigd door voodooless op 28 oktober 2008 08:55]

De Von Neumann-Landauer limiet is nog nooit volledig bewezen, en vooral de laatste jaren wordt nog weleens gedacht dat hij niet zo kloppen en verbroken kan worden. Het zou in de toekomtst dus best wel eens mogelijk kunnen zijn om het met minder "energie" te doen.
Daarom zei ik dus ook: al heb je factor 10 minder nodig, is het nog steeds niet rendabel...
Ze komen geen dag te laat met deze mededeling.. Hun imago is natuurlijk al geschaad (terecht natuurlijk), maar misschien kunnen ze het hiermee iets opvijzelen.
De waarheid is iets genuanceerder. NXP heeft er nooit een geheim van gemaakt dat Mifare geen superbeveiligd systeem was. Daar waren de klanten van op de hoogte, of ze hadden zich er op basis van de specificaties zelf bewust van moeten zijn. Dat ze vervolgens toch dit systeem willen toepassen, waarschijnlijk uit economische overwegingen, valt onder de eigen verantwoordelijkheid. NXP valt lang niet zoveel te verwijten als dat de media en overige partijen ons willen doen geloven.
NXP heeft de volgende fouten gemaakt:
* Een systeem ontworpen dat gebaseerd is op het verhullen van het algoritme. Dat men geen superbeveiligd systeem wilde maken is geen excuus daarvoor, kies dan een eenvoudig maar beproefd algortime.
* De klanten niet meegedeeld dat het systeem deze klassieke denkfout bevatte
* De cryptoanalyse van het systeem proberen tegen te werken, tot de rechter aan toe.

Men had he huidige stap 5 jaar geleden kunnen zetten. Maar NXP deed het niet, om waarschijnlijk uit economische motieven....
Wat een onzin dmantione:
Stel een bedrijf A verkoopt Margarine (die net smaakt als boter) en Boter.
Bedrijf B wil van Margarine, Boterkoeken maken.
Wat doet bedrijf A dan fout?
Dat ze liever niet het recept van hun Margarine te prijs wouden geven? Dat ze uberhaupt margarine produceren of dat ze dat verkopen aan een boterkoeken fabrikant? Lijkt mij niet hun verantwoordelijkheid. Ze hebben nooit Margarine als Boter verkocht.
NXP heeft echter wel degelijk vanuit de rol van 'expert' aangegeven dat de mifare classic een uitstekende keus was voor het beoorde doel, het OV-chipkaart systeem. Omdat CRYPTO1 een gesloten systeem was wat backwards ge-engineerd moest worden om de specs te verkrijgen is het niet heel vreemd dat neit technici die een offerte of een advies vragen en dat advies vervolgens niet kunnen controleren er vanuit gaan dat ze veilig zitten...

Ze hebben dus wel degelijk margarine als boter verkocht

Voor een parkeergarage van een bedrijf is het een prima chip, lekker boeiend als daar één techneut uit de buurt een gratis parkeerplaats opdoet. Een makkelijk te kraken en te kopieren ov-systeem is vanzelfsprekend iets minder wenselijk...

[Reactie gewijzigd door flijten op 27 oktober 2008 23:06]

Helaas valt het met boter niet uit te leggen.
Stel, je hebt een cijfercode op je kluis. Dan is de beveiliging 'beveliging middels geheim'.
Ontfutsel ik jouw code, dus jouw geheim, heb ik jouw beveiliging gekraakt.
Daarnaast is er ook 'beveiliging niet gebaseerd op geheim'. Daarmee maak je jouw cijfercode openbaar, en ondanks dat ik jouw niet-geheime cijfercode weet kan ik tóch jouw kluis niet openen en is alles in jouw kluis tóch veilig.

Wat dmantione beweert is dat het dom is dat een bedrijf cijferkluizen verkoopt waarbij de beveiliging gebroken is als de geheime cijfercode uitlekt. En in deze wereld lekken nou eenmaal de meeste geheimen uit, dat weet je op voorhand. Coca cola werd nagemaakt, geheime broncode van Windows werd openbaar, iedere DRM en de iPhone e.d. werd gekraakt, er is bekend dat Churchill een atoomoorlog wilde starten, het standaardmodel der fysica wordt mogelijk volgend jaar gecompleteerd, binnenkort komt er meer duidelijkheid over leven op Mars; kortom, veel informatie waarvan het onmogelijk leek dat deze openbaar werd, werd toch openbaar.

Bedrijven als NXP kijken echter liever naar de 'geheimen' die nooit (helemaal) opgelost zijn: De moord op JF Kennedy, zijn er wel of geen Aliëns, hoeveel van wat er in de bijbel staat is waar. Ze hopen dat hun 'geheim' in het tweede rijtje valt samen met de Aliëns, maar in deze wereld is er veel meer kans dat hun geheim samen eindigt met de massaal op internet verspreide DVD-code, de Windows broncode en de completering van het standaardmodel met het Higgs-deeltje.

Ervan uitgaan dat als de meeste geheimen uitlekken jouw geheim tóch geheim zal blijven is geen fatsoenlijk bedrijfsmodel als het om oplichting tussen burgers onderling gaat.
Je derde punt klopt, maar de eerste 2 niet:
* Mifare Classic is al jaren en jaren geleden ontworpen, toen de gebruikte methodes en algoritmes nog wel als veilig werden geacht. Veel van de destijds "beproefde" algoritmes zijn ondertussen ook al gekraakt: SSL, DES, WEP, Crypto, etc. Er is toen gewoon een veilig systeem ontworpen, maar die is gewoon niet meer geschikt 10-15 jaar later.
* Dit is weldegelijk medegedeeld, echter wou de klant geen geld uitgeven en is er voor de goedkoopste oplossing gekozen.

Deze chip is echt niet in een paar maandjes ontworpen hoor, een chip ontwerpen, evalueren en vrijgeven kost zo minimaal een jaartje of anderhalf, en vooral voor security chips komen er vaak nog wat jaartjes extra aan evaluatie en testing bij voordat ze op de markt komen. Het ontwerp van deze chip is waarschijnlijk begonnen vlak nadat DES gekraakt werdt en AES als de nieuwe standaard werdt aangenomen.
Nog sterker, NXP heeft al heel lang ook betere chips in de aanbieding, maar de klanten kozen voor de goedkoopste.
edit: moest reactie op stewie zijn

ongetwijfeld hebben ze niet AES 'gekraakt' maar een deel van de implementatie achter het algo. Echt de sleutel bruteforcen duurt wel even hoor ;), maar bij slechte implementaties zijn er vaak andere manieren om achter een sleutel te komen.

Bijvoorbeeld een slechte random nummer generator voor de keuze van de sleutel.

* herinnert zich een 'bug' in oude microsoft browsers die er voor zorgde dat het de random keys voor beveiligde webpagina's makkelijk te achterhalen was omdat de RNG niet deugde

[Reactie gewijzigd door GemengdeDrop op 27 oktober 2008 19:10]

Misschien een domme vraag, maar waarom word een encryptiesleutel altijd maar met enkele bits verlengt als deze niet veilig blijkt? 48bits encryptie wordt dan ineens 128bit, maar waarom niet meteen 256 bit of 512 bits, of misschien 1024? Veel data staat er niet op voor zover ik weet, is het dan niet slim om meteen een stuk sterkere encryptie te pakken, of heb ik het helemaal mis?
De hoeveelheid zal wel te maken hebben met de kracht die nodig is voor de versleuteling - hoe meer kracht er nodig is des te meer energie het gaat kosten.

Aan de andere kant is het inderdaad wel verstandig om de versleuteling zo sterk mogelijk te maken, hoewel je dit wel in perspectief moet blijven zien.

Als het gaat om een paar euro's op een kaart dan is het niet zo belangrijk, die versleuteling. Gaat het daarentegen om privé-gegevens, dan moet de versleuteling -bij voorkeur- de komende 10-15 jaar niet te kraken zijn...
Bij dit soort kaarten gaat het vooral om de beschikbare tijd om de keys te negotiaten, een RFID heeft maar heel kort voldoende stroom om met de lezer te communiceren dus mag de key niet te lang zijn.

Sowieso is 512 bits encryptie overkill voor zo'n kaart, met de huidige stand van techniek is het onmogelijk om ook maar 1 zo'n key te kraken voordat al die kaarten allemaal tot stof zijn vergaan, hoewel ik zelf 128 bit ook maar net aan vind.
An illustration of the current status for AES is given by the following example, where we assume an attacker with the capability to build or purchase a system that tries keys at the rate of one billion keys per second. This is at least 1 000 times faster than the fasted personal computer in 2004. Under this assumption, the attacker will need about 10 000 000 000 000 000 000 000 years to try all possible keys for the weakest version, AES-128.

Net aan. 10^22 jaar, voor een heelal wat pas 10^9 jaar bestaat. Krap hoor, dat kan niet goed gaan. |:(
Wat een onzin statement. Met voldoende snelle stream processor kom je een heel eind sneller uit de bus dan een CPU. Doe het nog beter door het heel veel gerepliceerde FPGA's op te lossen en dit oude statement is verloren.

Maar... dat betekent wel dat je een offline attack moet kunnen doen. Als het een handshake is, dan wordt het wel lastig. Het neemt niet weg dat AES ipv CRYPTO1 het velen malen lastiger maakt om te kraken, maar zeker niet onmogelijk binnen mijn tijd van leven.

Verdeel en heers :Y)
Dude, al zou je het met een GPU of wat dan ook een miljard keer versnellen dan blijft er volgens dat statement nog tien duizend miljard jaar over met 1 computer. Dat is met alle computers ter wereld bij elkaar nog wel een paar miljoen jaar minstens :+. GPGPU's zijn leuk hoor, maar je moet natuurlijk niet gaan overdrijven.

Ik vermoed overigens dat dat statement misschien ook wel wat overdreven is, maar het punt blijft hetzelfde, zo lang er geen gaten in de encryptiemethode zelf gevonden worden is brute-forcen van zoiets gewoon ondoenlijk.

Edit: @burne:
'Net aan' in de zin van: 96 bits zou te weinig zijn, meer dan 128 overkill en alles daar tussenin is onlogisch (als het uberhaupt al mogelijk is)

[Reactie gewijzigd door johnbetonschaar op 27 oktober 2008 22:47]

Nou ja, voor Amerikaanse geheimen moet men verplicht 256 bits AES gebruiken, en de paranoïden onder ons (íedere cryptograaf al dan niet in spé is er één) denken dan meestal gelijk dat ze het voor mogelijk houden dat ze zelf 128 bit kunnen kraken.
als de amerikaanse DOD een 128 bit key kan kraken betekent niet dat iemand die de OV chip wil misbruiken dit ook kan he...
Er was pas een team dat een programma geschreven had om AES brute force te hacken op een GPU, en dat ging 10.000% (oftewel 100x) sneller dan op een CPU.
Zeg nou dat huidige quad core CPU's 10x zo snel zijn als een PC uit 2004. Dan ben je dus alsnog 10^19 jaren bezig met een GPU...
Ik vind het altijd grappig dat mensen afkomen met getallen als 10^19 jaren.

Het "brute forcen" van zo'n securety key vergelijk ik altijd met een fietsslot met cijfertjes. Je hebt dan bv. 5 cijfertjes met combinaties van 00000 tot 99999. Ik heb ooit zo eens mijn code vergeten, dus dan begin je te draaien hé. 00000, 00001, 00002. Na een uurtje draaien had ik hem open. Ik had geluk de code was zo iets als 01234. Maar stel je nu eens voor dat die code 00012 was geweest, dan had ik hem in 1 minuut open.

Dus stel dat je zo'n 128 bit AES code probeert te kraken, dan kan het zijn dat je reeds van de eerste poging de code kraakt. (oke dan moet je zeer veel geluk hebben, maar het kan)

(oke een AES code brute forcen werkt misschien niet helemaal zoals een simpel fiets slot maar you get the point)
Alleen nemen ze waarschijnlijk in die berekening de gpgpu-methode niet mee, die zou het wel eens aardig wat kunnen versnellen. Zelfs dan is het misschien nog ver weg, maar techniek blijft altijd verbazen.
Nee, meestal neem je gewoon het maximaal mogelijke. Deze chip is waarschijnlijk beter waardoor een 128bits encryptie mogelijk is. Maar het gaat vooral om de encryptie zelf, Crypto1 was niet zo'n heel goed algoritme, hier gebruiken ze dan ook aes-encryptie.
Ze vergroten niet alleen de sleutel, ze maken nu ook gebruik van AES ipv Crypto-1.
Crypto-1 is geheim en dat wordt gezien als een zwakte.. AES is open en is wereldwijd door cryptografen als veilig bestempeld.
Een nog grotere sleutel is waarschijnlijk niet haalbaar, omdat het dan te lang duurt om deze te ontcijferen.. Je wilt niet dat er in het geval van het OV, lange wachtrijen voor de poortjes komen.
Misschien een domme vraag, maar waarom word een encryptiesleutel altijd maar met enkele bits verlengt als deze niet veilig blijkt? 48bits encryptie wordt dan ineens 128bit, maar waarom niet meteen 256 bit of 512 bits, of misschien 1024? Veel data staat er niet op voor zover ik weet, is het dan niet slim om meteen een stuk sterkere encryptie te pakken, of heb ik het helemaal mis?
128 bits is een flink stuk sterker dan 48 bits. Om precies te zijn, 1208925819614629174706176 keer zo sterk. Voor elke toegevoegde bit wordt 't twee keer zo moeilijk om het geheel te kraken.

[Reactie gewijzigd door CyBeR op 27 oktober 2008 21:56]

128bit AES is redelijk snel te kraken met een GPU.
Apple en Sony hadden een paar jaar geleden dat probleem ook onder andere met OS X en de PS3 firmware.
Heb je daar een bron van, want volgens mij doe je er zelfs met een heel cluster supercomputer nog wel een paar honderd jaar over.
Heb je daar een referentie van? Ik ben wel benieuwd hoe ze dat geklaard hebben.
128bit AES is redelijk snel te kraken met een GPU.
Wat is redelijk snel? Duizend jaar i.p.v. 10^12 jaar? In cryptografische termen is dat redelijk snel omdat het door de GPU een miljard keer sneller kan, maar als kraker heb je er weinig aan.

De VS heeft 128 bit AES toegestaan voor geheime informatie, dus ik neem aan dat het zelfs met een gedistribueerd netwerk van PS3's á la GIMPS niet binnen een half jaar te kraken is.
Ja, 10.000% oftewel 100x sneller als op een CPU. Duurt het alsnog vele miljarden jaren...
als de tarieven van ov nou omlaag gingen dan is er ook geen reden om illegale dingen uit te halen, dus eigenlijk zouden OV bedrijven ook flink omlaag moeten met het tarief

Bijvoorbeeld vandaag moest ik met de trein naar Tilburg en dat kostte mij ¤4,20
Vanuit Florence naar Arezzo (dat is 34km) en het koste mij maar ¤2,90

Nog een voorbeeld met BBA van stad (of dorp) naar stad (of dorp) is 4 strippen en dat is ongeveer ¤5,80)
In Italië betaal je maar ¤2,10

ontopic:
128bit AES klinkt niet zou gauw onkraakbaar, maar sterkte is niet alleen de vorm van encryptie maar ook hoe het toe gepast is

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True