Analyse der Sicherheit von PVC-Karten bei Verlust: Eine Untersuchung der Authentifizierungsstandards und ihrer Risiken, Matthias Schmitt
Matthias Schmitt
Kurzfassung
Durch die zunehmende Verbreitung von kontaktlosen Technologien sowie die steigende Nutzung von Authentifizierungskarten wie Smartcards in sicherheitskritischen Bereichen wie dem Zahlungsverkehr, der Zutrittskontrollen und Identifikationssystemen gewinnt die Sicherheit der Kartenauthentifizierung immer mehr an Relevanz. Diese Arbeit untersucht die Sicherheitsstandards und Technologien von PVC-Karten, die zur Authentifizierung im Alltag genutzt werden. Ein besonderer Fokus liegt auf den Herausforderungen, die bei einem Kartenverlust auftreten, sowie auf der Analyse der Sicherheitsrisiken verschiedener Kartentypen wie EM4100, MIFARE Classic und MIFARE DESFire. Die durchgeführten Tests mit dem Flipper Zero und einem Hex-Editor zeigen insbesondere im Hinblick auf die Angreifbarkeit durch unautorisierte Lese- und Emulationsversuche die Stärken und Schwächen der untersuchten Technologien auf. Des Weiteren wurde die Kommunikation zwischen Proximity Coupling Device und Proximity Integrated Circuit Card mithilfe eines HackRF One sowie einer zugehörigen Analysesoftware auf Muster und Unterschiede in der Kommunikation analysiert. Die Ergebnisse verdeutlichen, dass trotz fortschrittlicher Verschlüsselungsmechanismen wie 3DES und AES weiterhin Sicherheitslücken bestehen, die die Gesamtsicherheit gefährden können. Ein ernstzunehmendes Problem stellt die Tatsache dar, dass eine Vielzahl der im Umlauf befindlichen Karten noch nicht den aktuellen Sicherheitsstandard AES nutzt und somit ein erhöhtes Risiko für potenzielle Angriffe darstellt.
Schlagwörter: Smartcards, IT-Sicherheit, Internet der Dinge, Chipkarten, Prozessorkarten, Zero Flipper, MIFARE, HackRF One, Authentifizierung, Identifizierung, Kommunikation
Abstract
With the increasing use of contactless technologies and authentication cards such as smart cards in security-critical areas such as payment transactions, access control and identification systems, the security of card authentication is becoming more and more important. This paper examines the security standards and technologies of PVC cards used for authentication in everyday life. A particular focus is on the challenges that arise when a card is lost, as well as an analysis of the security risks of different card types such as EM4100, MIFARE Classic and MIFARE DESFire. The tests carried out with the Flipper Zero and a hex editor show the strengths and weaknesses of the technologies examined, particularly with regard to vulnerability to unauthorized reading and emulation attempts. Furthermore, the communication between the Proximity Coupling Device and the Proximity Integrated Circuit Card was analyzed for patterns and differences in communication using a HackRF One and associated analysis software. The results show that despite advanced encryption mechanisms such as 3DES and AES, security vulnerabilities still exist that can jeopardize overall security. A serious problem is the fact that a large number of cards in circulation do not yet use the current AES security standard and thus pose an increased risk of potential attacks.
Keywords: Smartcards, IT security, Internet of Things, chip cards, processor cards, Flipper Zero, MIFARE, HackRF One, authentication, identification, communication
