ˇ Cipové karty II Ing. Jiˇrí Buˇcek Katedra poˇcítaˇcových systému˚ Fakulta informaˇcních technologií ˇ Ceské vysoké uˇcení technické v Praze c rí Buˇcek, 2011
Jiˇ
LS 2010/11, Pˇredn. 6
Evropský sociální fond. Praha & EU: Investujeme do vaší budoucnosti
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
1 / 25
Obsah pˇrednášky
Komunikaˇcní rozhraní cˇ ipových karet Pˇrenosové protokoly cˇ ipových karet Zabezpeˇcení pˇrenosu dat Organizace dat na karteˇ Pˇríklad - elektronické pasy
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
2 / 25
Fyzické rozhraní Kontaktní karty – rozhraní podle ISO 7816-2
Contact C1 C2 C3 C4 C5 C6 C7 C8
Designation Vcc RST CLK AUX1 GND Vpp I/O AUX2
ˇ J. Buˇcek (FIT CVUT)
Function Supply voltage Reset input Clock input Supplementary contact (Auxiliary 1) Ground Programming voltage (no longer used) Input/output for serial communications Supplementary contact (Auxiliary 2) ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
3 / 25
Kontaktní karty – inicializace Indikace zasunutí karty Zapnutí napájení Hodinový signál, Reset ˇ na reset (Answer To Reset – ATR) Pˇríjem odpovedi Dekódování ATR Nastavení parametru˚ protokolu (PPS) ATR TS
T0
TA1
TB1
TC1
Data element TS T0 TA1, TB1, TC1, TD1, . . . T1, T2, . . . , Tk TCK ˇ J. Buˇcek (FIT CVUT)
TD1 ...
T1
T2 ...
Tk
TCK
Designation Initial character Format character Interface characters Historical characters Check character ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
4 / 25
Kontaktní karty – komunikaˇcní protokoly
Definuje zpusob ˚ pˇrenosu APDU pomocí TPDU APDU – application protocol data unit TPDU – transmission protocol data unit I
Závisí na použitém protokolu
T=0 – bytoveˇ orientovaný protokol T=1 – blokoveˇ orientovaný protokol ... USB (T=CL – ContactLess – ISO 14443)
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
5 / 25
Protokol pˇrenosu T=0 Bytoveˇ orientovaný, poloduplexní Ne zcela transparentní Detekˇcní kód – parita
Struktura TPDU
CLA
Hlaviˇcka INS P1 P2
ˇ J. Buˇcek (FIT CVUT)
P3
Data Data ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
6 / 25
Protokol pˇrenosu T=0 – handshake
Terminál odešle 5 bytu˚ hlaviˇcky Terminál cˇ eká na potvrzení od karty Karta pošle byte procedury (PB) I I I
NULL – cˇ ekej další PB SW1 – první bajt stavového slova, cˇ ekej SW2 ACK – pošli data (INS = vše, INS = jeden byte)
Karta vrátí stavové slovo (jiná data zatím nevrací) Terminál pˇrípadneˇ vyžádá data pomocí GET RESPONSE
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
7 / 25
Bezkontaktní rozhraní Mnoho ruzných ˚ proprietárních i standardních druhu˚ bezkontaktních rozhraní LF – nízkofrekvenˇcní – 125 kHz, 135 kHz (EM 4102, TI tagIT) HF – vf s vazbou na blízko (proximity) – 13.56 MHz (ISO 14443) HF – vf s vazbou na dálku (vincity) – 13.56 MHz (ISO 15693) UHF – 868–928 MHz... Z hlediska procesorových karet s kryptografickými funkcemi nás zajímá zejména ISO 14443. ˇ ˇ Studentský, zamestnanecký prukaz ˚ CVUT – MIFARE 1K (Classic) – proprietární protokol nad ISO 14443 (ne podle ISO 7816-4) ˇ – MIFARE DESFire Opencard, In-karta CD Biometrický pas – ICAO (International Civil Aviation Organization) Platební karty – Visa payWave, MC PayPass... ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
8 / 25
ISO 14443 Frekvence 13.56 MHz, indukˇcní vazba, dva typy modulace (A, B) ˇ ˇ typ A Cast ejší ˇ Typ A, komunikace smerem z terminálu do karty:
ˇ Typ A, komunikace smerem z karty do terminálu:
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
9 / 25
Zabezpeˇcení pˇrenosu dat – Secure Messaging
Bez autentizace, bez utajení Zabezpeˇcení proti modifikaci zprávy (autentizace MAC) MAC + utajení zprávy (šifrování napˇr. 3DES) Princip "zabalení" do struktur typu TLV – Tag, Length, Value
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
10 / 25
Zabezpeˇcení pˇrenosu dat – MAC Zabezpeˇcení proti modifikaci zprávy (autentizace MAC)
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
11 / 25
Zabezpeˇcení pˇrenosu dat – MAC + šifrování MAC + utajení zprávy (šifrování napˇr. 3DES)
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
12 / 25
Organizace dat na karteˇ Souborový systém podle ISO 7816-4
MF – Master File DF – Dedicated File (Directory File) EF – Elementary File
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
13 / 25
Jména souboru˚
Identifikátor souboru – FID (File Identifier) I I I
2 byte, muže ˚ identifikovat MF, DF i EF MF – 3F 00 ˇ souboru – SELECT (P1=0) Výber
Short file identifier (SFI) I I I
5 bitu, ˚ muže ˚ identifikovat EF ˇ v pˇríkazech pro manipulaci s daty Pˇrímý výber ˇ ˇ Ctení s implicitním výberem – READ BINARY (P1=100sssss)
Jméno adresáˇre – DF name I I I
až 16 bytu, ˚ muže ˚ identifikovat DF (nebo aplikaci) muže ˚ obsahovat AID – viz Java karty ˇ souboru – SELECT (P1=4) Výber
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
14 / 25
Operace se soubory – pˇríklady
ˇ – SELECT (00 A4 ...) Výber I
ˇ MF, DF nebo EF Výber
Transparentní soubory (bez vnitˇrní struktury) I I
ˇ Ctení – READ BINARY (00 B0 ...) Zápis – UPDATE BINARY (00 D6 ...)
Soubory organizované po záznamech I I I I
Pevná nebo variabilní délka záznamu Cyklické soubory (s pevnou délkou záznamu) ˇ Ctení záznamu – READ RECORD (00 B2 ...) Zápis záznamu – UPDATE RECORD (00 DC ...)
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
15 / 25
Electronic Passports
ICAO (International Civil Aviation Organization) I I I
MRTD – Machine Readable Travel Document MRP – Machine Readable Passport Electronically readable MRP – ePassport
ISO/IEC 14443 – Physical layer, low-level communication ISO/IEC 7816 – Communication protocol I I
Application ID A0 00 00 02 47 10 01 File system
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
16 / 25
Information stored in the chip
File system (ISO/IEC 7816-4) I I I I
EF.DG1 – Machine Readable Zone (mandatory) EF.DG2 – Encoded face – photograph (mandatory) EF.DG2 – Encoded fingers (optional) EF.DG3 – Encoded eyes (optional)
... I I I
EF.DG15 – Public key for active authentication (optional) EF.COM – Version information, tag list (mandatory) EF.SOD – Document Security Object (mandatory)
KENC , KMAC – Document Basic Access Keys (optional) KPrAA – Active Authentication Private Key (optional)
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
17 / 25
Security Measures
1
Data groups 1-15 are write-protected
2
Each data group is digitally signed (hashes and signature stored in EF.SOD ) Basic Access Control – Access restriction
3
I
I I 4
Symmetrical encryption and authentication, keys derived from information in the Machine Readable Zone (MRZ) Secure Messaging Mandatory in European Union
Active Authentication – Prevention of chip substitution I
I I
Asymmetrical authentication, private key stored in protected (non-readable) space, public key stored in EF.DG15 Optional in European Union Czech Passports (as of 2007) – RSA-CRT 1024 bit
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
18 / 25
Possible attacks Protocols and implementations I I
Asymmetrical decryption/signing is time-consuming Delays in communication tolerated – relay attacks Terminal
Fake passport
Fake Terminal
Passport
AA Challenge
Challenge relay
AA Challenge
AA Response
Response relay
AA Response
Power supply and communications I
I
Sensitive operations – symmetrical encryption/decryption, asymmetrical decryption/signing Card uses the magnetic field both for its power and for communication – potential RF power side channel – that is what we examine now →
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
19 / 25
Measuring assembly RF power side channel – voltage induced in measuring antenna dΨ V = −N dt Measuring antenna Digital Oscilloscope Proximity card Card Access Device (reader)
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
20 / 25
Measured signal
Measured RF signal: Load modulated sine wave, carrier frequency: 13.56 MHz Sampling frequency: 125 MS/s, Record length: 128 MSamples
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
21 / 25
Extraction of amplitude I Data acquisition: 1
Setting of measurement equipment
2
Adjusting of trigger and sample frequency (125 MS/s)
3
Measurement of RF side channel signal while waiting for Active Authentication response
Steps of extraction: 1
Computing of average period
2
Fitting of samples with sine wave – Least Squares Method (LSM)
3
Extraction of amplitudes for each sample by 2-3 periods of sine wave
4
Adjusting of phase as needed during extraction
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
22 / 25
Extraction of amplitude II Advantages of extraction method Simple (small complexity) and efficient method LSM is guarantee of good extraction of amplitude also in case of low sampling frequency Selection of fitted wave length – tradeoff between computational stability and loss of information Possibility of extraction en bloc – important for the following cryptanalysis
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
23 / 25
RSA Square and Multiply Input: Integers x, d, N; 0 ≤ x ≤ N, 2k −1 ≤ d ≤ 2k Output: x d mod N z←x for i = k − 2 to 0 do z ← z 2 mod N if di = 1 then z ← z ∗ x mod N else dummy ← z ∗ x mod N ?
(Square) (Multiply) (Dummy Multiply)
Squaring and multiplication distinguishable by duration S
ˇ J. Buˇcek (FIT CVUT)
M
S
M
S
M
ˇ Cipové karty II
S
M
S
M
MI-BHW, 2011, Pˇredn. 6
24 / 25
Použitá literatura
Rankl, W., Effing, W.: Smart Card Handbook, Third Edition, Wiley, 2003, ISBN 0-470-85668-8 Rosa, T.: Bezpeˇcnost RFID v praxi (in czech). Quality and Security ’08, Prague, 2008 Kinneging, T.: PKI for Machine Readable Travel Documents offering ICC Read-Only Access, IACO Technical Report, ver. 1.1, 2004 ISO/IEC 14443-1..4 ISO/IEC 7816-3, 4
ˇ J. Buˇcek (FIT CVUT)
ˇ Cipové karty II
MI-BHW, 2011, Pˇredn. 6
25 / 25
