Čipové karty II Ing. Jiří Buček Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze c Jiří Buček, 2011 LS 2010/11, Předn. 6 Evropský sociální fond. Praha & EU: Investujeme do vaší budoucnosti J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 1 / 25
Obsah přednášky Komunikační rozhraní čipových karet Přenosové protokoly čipových karet Zabezpečení přenosu dat Organizace dat na kartě Příklad - elektronické pasy J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 2 / 25
Fyzické rozhraní Kontaktní karty rozhraní podle ISO 7816-2 Contact Designation Function C1 Vcc Supply voltage C2 RST Reset input C3 CLK Clock input C4 AUX1 Supplementary contact (Auxiliary 1) C5 GND Ground C6 Vpp Programming voltage (no longer used) C7 I/O Input/output for serial communications C8 AUX2 Supplementary contact (Auxiliary 2) J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 3 / 25
Kontaktní karty inicializace Indikace zasunutí karty Zapnutí napájení Hodinový signál, Reset Příjem odpovědi na reset (Answer To Reset ATR) Dekódování ATR Nastavení parametrů protokolu (PPS) ATR TS T0 TA1 TB1 TC1 TD1... T1 T2... Tk TCK Data element Designation TS Initial character T0 Format character TA1, TB1, TC1, TD1,... Interface characters T1, T2,..., Tk Historical characters TCK Check character J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 4 / 25
Kontaktní karty komunikační protokoly Definuje způsob přenosu APDU pomocí TPDU APDU application protocol data unit TPDU transmission protocol data unit Závisí na použitém protokolu T=0 bytově orientovaný protokol T=1 blokově orientovaný protokol... USB (T=CL ContactLess ISO 14443) J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 5 / 25
Protokol přenosu T=0 Bytově orientovaný, poloduplexní Ne zcela transparentní Detekční kód parita Struktura TPDU Hlavička Data CLA INS P1 P2 P3 Data J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 6 / 25
Protokol přenosu T=0 handshake Terminál odešle 5 bytů hlavičky Terminál čeká na potvrzení od karty Karta pošle byte procedury (PB) NULL čekej další PB SW1 první bajt stavového slova, čekej SW2 ACK pošli data (INS = vše, INS = jeden byte) Karta vrátí stavové slovo (jiná data zatím nevrací) Terminál případně vyžádá data pomocí GET RESPONSE J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 7 / 25
Bezkontaktní rozhraní Mnoho různých proprietárních i standardních druhů bezkontaktních rozhraní LF nízkofrekvenční 125 khz, 135 khz (EM 4102, TI tagit) HF vf s vazbou na blízko (proximity) 13.56 MHz (ISO 14443) HF vf s vazbou na dálku (vincity) 13.56 MHz (ISO 15693) UHF 868 928 MHz... Z hlediska procesorových karet s kryptografickými funkcemi nás zajímá zejména ISO 14443. Studentský, zaměstnanecký průkaz ČVUT MIFARE 1K (Classic) proprietární protokol nad ISO 14443 (ne podle ISO 7816-4) Opencard, In-karta ČD MIFARE DESFire Biometrický pas ICAO (International Civil Aviation Organization) Platební karty Visa paywave, MC PayPass... J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 8 / 25
ISO 14443 Frekvence 13.56 MHz, indukční vazba, dva typy modulace (A, B) Častější typ A Typ A, komunikace směrem z terminálu do karty: Typ A, komunikace směrem z karty do terminálu: J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 9 / 25
Zabezpečení přenosu dat Secure Messaging Bez autentizace, bez utajení Zabezpečení proti modifikaci zprávy (autentizace MAC) MAC + utajení zprávy (šifrování např. 3DES) Princip "zabalení" do struktur typu TLV Tag, Length, Value J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 10 / 25
Zabezpečení přenosu dat MAC Zabezpečení proti modifikaci zprávy (autentizace MAC) J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 11 / 25
Zabezpečení přenosu dat MAC + šifrování MAC + utajení zprávy (šifrování např. 3DES) J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 12 / 25
Organizace dat na kartě Souborový systém podle ISO 7816-4 MF Master File DF Dedicated File (Directory File) EF Elementary File J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 13 / 25
Jména souborů Identifikátor souboru FID (File Identifier) 2 byte, může identifikovat MF, DF i EF MF 3F 00 Výběr souboru SELECT (P1=0) Short file identifier (SFI) 5 bitů, může identifikovat EF Přímý výběr v příkazech pro manipulaci s daty Čtení s implicitním výběrem READ BINARY (P1=100sssss) Jméno adresáře DF name až 16 bytů, může identifikovat DF (nebo aplikaci) může obsahovat AID viz Java karty Výběr souboru SELECT (P1=4) J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 14 / 25
Operace se soubory příklady Výběr SELECT (00 A4...) Výběr MF, DF nebo EF Transparentní soubory (bez vnitřní struktury) Čtení READ BINARY (00 B0...) Zápis UPDATE BINARY (00 D6...) Soubory organizované po záznamech Pevná nebo variabilní délka záznamu Cyklické soubory (s pevnou délkou záznamu) Čtení záznamu READ RECORD (00 B2...) Zápis záznamu UPDATE RECORD (00 DC...) J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 15 / 25
Electronic Passports ICAO (International Civil Aviation Organization) MRTD Machine Readable Travel Document MRP Machine Readable Passport Electronically readable MRP epassport ISO/IEC 14443 Physical layer, low-level communication ISO/IEC 7816 Communication protocol Application ID A0 00 00 02 47 10 01 File system J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 16 / 25
Information stored in the chip File system (ISO/IEC 7816-4) EF.DG1 Machine Readable Zone (mandatory) EF.DG2 Encoded face photograph (mandatory) EF.DG2 Encoded fingers (optional) EF.DG3 Encoded eyes (optional)... EF.DG15 Public key for active authentication (optional) EF.COM Version information, tag list (mandatory) EF.SO D Document Security Object (mandatory) K ENC, K MAC Document Basic Access Keys (optional) KPr AA Active Authentication Private Key (optional) J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 17 / 25
Security Measures 1 Data groups 1-15 are write-protected 2 Each data group is digitally signed (hashes and signature stored in EF.SO D ) 3 Basic Access Control Access restriction Symmetrical encryption and authentication, keys derived from information in the Machine Readable Zone (MRZ) Secure Messaging Mandatory in European Union 4 Active Authentication Prevention of chip substitution Asymmetrical authentication, private key stored in protected (non-readable) space, public key stored in EF.DG15 Optional in European Union Czech Passports (as of 2007) RSA-CRT 1024 bit J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 18 / 25
Possible attacks Protocols and implementations Asymmetrical decryption/signing is time-consuming Delays in communication tolerated relay attacks Terminal Fake passport Fake Terminal Passport AA Challenge Challenge relay AA Challenge AA Response Response relay AA Response Power supply and communications Sensitive operations symmetrical encryption/decryption, asymmetrical decryption/signing Card uses the magnetic field both for its power and for communication potential RF power side channel that is what we examine now J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 19 / 25
Measuring assembly RF power side channel voltage induced in measuring antenna V = N dψ dt Measuring antenna Digital Oscilloscope Proximity card Card Access Device (reader) J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 20 / 25
Measured signal Measured RF signal: Load modulated sine wave, carrier frequency: 13.56 MHz Sampling frequency: 125 MS/s, Record length: 128 MSamples J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 21 / 25
Extraction of amplitude I Data acquisition: 1 Setting of measurement equipment 2 Adjusting of trigger and sample frequency (125 MS/s) 3 Measurement of RF side channel signal while waiting for Active Authentication response Steps of extraction: 1 Computing of average period 2 Fitting of samples with sine wave Least Squares Method (LSM) 3 Extraction of amplitudes for each sample by 2-3 periods of sine wave 4 Adjusting of phase as needed during extraction J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 22 / 25
Extraction of amplitude II Advantages of extraction method Simple (small complexity) and efficient method LSM is guarantee of good extraction of amplitude also in case of low sampling frequency Selection of fitted wave length tradeoff between computational stability and loss of information Possibility of extraction en bloc important for the following cryptanalysis J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 23 / 25
RSA Square and Multiply Input: Integers x, d, N; 0 x N, 2 k 1 d 2 k Output: x d mod N z x for i = k 2 to 0 do z z 2 mod N (Square) if d i = 1 then z z x mod N (Multiply) else dummy z x mod N? (Dummy Multiply) Squaring and multiplication distinguishable by duration S M S M S M S M S M J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 24 / 25
Použitá literatura Rankl, W., Effing, W.: Smart Card Handbook, Third Edition, Wiley, 2003, ISBN 0-470-85668-8 Rosa, T.: Bezpečnost RFID v praxi (in czech). Quality and Security 08, Prague, 2008 Kinneging, T.: PKI for Machine Readable Travel Documents offering ICC Read-Only Access, IACO Technical Report, ver. 1.1, 2004 ISO/IEC 14443-1..4 ISO/IEC 7816-3, 4 J. Buček (FIT ČVUT) Čipové karty II MI-BHW, 2011, Předn. 6 25 / 25