Huba
16 °C
33 °C
Index - In English In English Eng

Feltörtek egy kártyás fizetési rendszert

2011.11.07. 16:13
Német kutatók kijátszották a Triple-Data Encryption Standard, rövidebben 3DES-nek nevezett titkosítási algoritmust, melyről eddig azt hitték, gyakorlatilag feltörhetetlen, mert megfejtéséhez rengeteg számítási időre lenne szükség.

A 3DES titkosítást elég sok kártyán alkalmazzák, például a londoni Oyster Cardon, vagy a chicagoi, seattle-i tömegközlekedési rendszereken, ahol már érintés nélkül fizethettnek az utasok – tehát a kártya pénzügyi adatokat tárol.

A bochumi Ruhr-Egyetem csapatának Christof Paar vezetésével mindössze néhány óra alatt sikerült feltörnie a titkosítástást, ráadásul egy viszonylag olcsó megoldással. A kutatók az úgynevezett oldalcsatornás támadást alkalmazták, ami leginkább ahhoz a régi módszerhez hasonlítható, amikor kihallgatták a kattanásokat a régi, mechanikus zárszerkezeteken, amiket leginkább a filmekben bemutatott széfekről ismerhetünk.

Kerülőút

Egy érzékelő, egy RFID-olvasó és egy oszcilloszkóp segítségével a csapat megmérte a a kártyába épített csip áramfogyasztását, mialatt az titkosította, illetve dekódolta az adatokat. Az így kinyert információk alapján másolatot tudtak készíteni az adott kártyáról.

A törést a japán Cryptographic Hardware and Embedded Systems japán workshopon mutatták be először. A módszer nem drága: körülbelül 600 ezer forint, ami egy bűnszervezetnek már jó beruházást jelenthet. Az NXP, a kártyák gyártója azt mondja, tisztában van a biztonsági réssel, és arra kéri ügyfeleit, hogy váltsanak az újabb verzióra, amely nemsokára megjelenik. A cég azt mondja, ez egy tervezett frissítés, amit már Paar figyelmeztetése előtt beterveztek. Az összes kártya cseréje azonban hónapokig is eltarthat.

Nem csak az amerikai nagyvárosok tömegközlekedésének utasai lehetnek érintettek: a Visa és a Mastercard is a payWave nevű rendszert használja, amelyet ugyancsak az NXP szállít. Ezeket a kártyákat ugyanilyen módon fel lehet törni. Egy ilyen típusú támadást már 2008-ban demonstrációs céllal bemutattak: akkor digitális autókulcsokat vettek célba. Viszont ez az első alkalom, hogy valós életben is működő rendszereket ért támadás.