Die GeldkarteDie Geldkarte
Eine „sichere“ elektronische Geldbörse?
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
Marcel Selhorst, 04.07.2002
2
ÜbersichtÜbersicht
• Das System „Geldkarte“
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
3
Das System „Geldkarte“Das System „Geldkarte“
• Geldkarte– elektronische, wiederaufladbare Geldbörse
– geringer Verfügungsrahmen (max. 200,- €)
• einfache Handhabung für Händler und Kunden – keine Online-Verifikation
– keine PIN-Eingabe notwendig
– niedrige Kosten (Händler spart ca. 80% zu ec)
• 1997 deutschlandweite Einführung – Einführung von Kundenkarten mit Microcontroller (Smartcards
als Kunden, Giro- oder ec-Karten mit Chip)
– Vorbild für weitere elektronische Geldbörsen in Luxemburg (MiniCash) und Frankreich (Moneo)
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
4
GeldkartentypenGeldkartentypen
• Zwei unterschiedliche Typen:
1) Kundenkarte• Kontogebunden
– ec-Karte mit Chip
– Kontoinformationen
– Transaktionsinformationen
• Kontoungebunden– White Card
– Aktueller Betrag
– Transaktionsinformationen
– Pseudonym (fehlender Kontobezug)
2) Händlerkarte• Terminal oder Software
• Kommunikationspartner für Kundenkarte
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
5
EvidenzzentralenEvidenzzentralen
• Verwaltung der Geldkarten durch Evidenzzentralen– Führung von Schattenkonten
– Prüfung von Buchungen• Erkennung von Mißbrauch
• Reklamationsbearbeitung
• Abrechnungsstelle für Händler
Keine Anonymität möglich
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
6
Lade- / BezahlvorgangLade- / Bezahlvorgang
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
7
ÜbersichtÜbersicht
• Das System „Geldkarte“
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
8
HardwareHardware
• Smartcard mit integriertem Microcontroller– Meist Cryptocontroller SLECX160S von Infineon (Siemens)
– 32 kB ROM
– 16 kB EEPROM
– 512 Byte RAM
– 8-Bit-Befehle
– 16-Bit breiter Datenbus
– 4,9 MHz Taktfrequenz (von außen angelegt)
• Struktur ähnelt der 8051-Microcontroller-Familie
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
9
SoftwareSoftware• Betriebssystem
– Bis 2000 MultiFunctionCard (MFC)• IBM / Siemens Nixdorf / Telekom
– Ab Oktober 2000 Version 4.1 (ZKA)• Gemplus / Giesecke & Devrient / Orga Kartensysteme• Betriebssystem in Assembler programmiert• 21 Kommandos zur Steuerung der Karte• unvollständig im ROM untergebracht• wird durch Tabellen im EEPROM bei der Initialisierung ergänzt
• Aufgaben – Ablaufsteuerung– Datenübertragung– Dateiverwaltung – Kryptographie
• Geldkarte läuft als Unterprogramm des Betriebssystems
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
10
Ablauf der BefehlsabarbeitungAblauf der Befehlsabarbeitung
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
11
Kommunikation zwischen Terminal und GeldkarteKommunikation zwischen Terminal und Geldkarte • unterliegt Master-Slave-Verhältnis
– Terminal =Master
– Geldkarte=Slave darf unaufgefordert keinerlei Informationen preisgeben
Kommunikationsabfolge:
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
12
ÜbersichtÜbersicht
• Das System „Geldkarte“
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
13
Sicherheit der GeldkarteSicherheit der Geldkarte
• Ziele– Integrität (keine absichtliche / unabsichtliche Änderung der Daten)
– Vertraulichkeit (Geheimhaltung der gespeicherten Daten)
– Verfügbarkeit (Daten dürfen nicht absichtlich verloren gehen)
• Hohe Sicherheitsanforderungen an die Smartcard– Herausgeber haben keinen Einfluss auf Manipulationsversuche
Aufwand >> Nutzen
• Sicherheitsfaktoren– Physikalische Sicherheit
– Logische Sicherheit
– Dateisystem
– Zugriffsrechte
– Kryptographie
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
14
Physikalische SicherheitPhysikalische Sicherheit
• Aktiver Schutz (Betriebsgesteuert):– Sensoren überwachen Funktions- und Speicherelemente– Überwachung der angelegten Stromversorgung– Überwachung der angelegten Taktfrequenz– Widerstands- und Kapazitätsmessung zum Erkennen fehlender
Schichten
• Passiver Schutz (Smartcardaufbau):– Hohe Transistordichte– Immer gleiche Stromaufnahme pro Befehl– Adress- und Datenleitungen sind „wild durcheinander“
( keine Bauelementenzuordnung möglich)– Passivierungsschicht gegen chemische Prozesse– Smartcard nur über Außenkontakte ansprechbar– Testmodus zum wahlfreien Zugriff auf Speicherelemente
Durchbrennen einer Sicherung im Inneren der Smartcard
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
15
Logische SicherheitLogische Sicherheit
• Initialisierung:– Prüfsummenberechnung für wichtige Teile des EEPROM
– Laden des Betriebssystems aus dem ROM
– Betriebssystemkomplettierung aus Tabellen im EEPROM
– Kartendeaktivierung (mit Löschen des EEPROMs) jederzeit möglich
• Design:– Schichtenmodell für wenige Konzeptions- und
Programmierfehler
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
16
DateisystemDateisystem
• Verwaltung der Daten im EEPROM über Dateien und Verzeichnisse
– Masterfile (MF)
– Dedicated File (DF)
– Elementary File (EF)
Baumstruktur mit 3 Ebenen
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
• Identifizierung:– File Identifier (FID)
• Eindeutige Namensgebung
– Application Identifier (AID)• Eindeutige Applikationszuordnung
• Applikationen in eigenem Unterverzeichnis
Ausführbare Verzeichnisse (DF_BÖRSE)
17
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
18
ZugriffsrechteZugriffsrechte
• Access Conditions (ACs) – Beschränken den Zugriff auf Dateien und Verzeichnisse
– Bei Erzeugung festgelegt• Dateien: Schreib- und Leserechte
• Verzeichnisse: Zugriff, Erzeugung von Unterverzeichnissen und Dateien
– Unterscheidung zwischen „Globalen ACs“ und „DF-spezifischen ACs“
– Kombination von ACs möglich
• Zugriffsbeschränkung– Passwort
– Verschlüsselung
– Authentifikation
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
19
KryptographieKryptographie
• Symmetrische Verschlüsselungsalgorithmen – Authentifizierung– Integritätsprüfung – Verschlüsselung
• Aktuelle Generation verwendet „DES“ und „Triple-DES“– DES (Data Encryption Standard) arbeitet mit 64-Bit-Blöcken– Verschlüsselung erfolgt mit 56-Bit-Schlüssel– sehr schneller Algorithmus (1 Block bei 4,9 MHz ca. 7,5ms)– Niedrige Schlüssellänge
Triple-DES– Doppelte Schlüssellänge (2 x 56 Bit = 112-Bit Schlüssellänge)– 3 Verschlüsselungs – Entschlüsselungs – Operationen– Erfordert längere Berechnungszeit (1 Block bei 4,9 MHz ca. 25ms)
• MAC – Bildung zur Integritätsprüfung:– „einfacher MAC“ mit DES (56-Bit-Schlüssel)– „Retail MAC“ mit 3DES (112-Bit-Schlüssel)
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
20
Globale SchlüsselGlobale Schlüssel
Schlüsselbildung:
• 1 Masterkey– Gültig für das gesamte Geldkartensystems
– gesplittet in zwei Teilschlüssel
– XOR addiert ergeben sie den Hauptschlüssel
– Sicher aufbewahrt an zwei unterschiedlichen Orten
• 2 Reduced-Masterkeys Kein Rückschluss auf Masterkey möglich
– 1 x für Kundenkarten • in sichere Hardwaremodule eingebettet
• Für Kommunikation mit Kundenkarten notwendig
– 1 x für Händlerterminals• Für Kommunikation mit Händlerkarten notwendig
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
21
GeldkartenschlüsselGeldkartenschlüssel
• Schlüssel– Individuell für jede Karte
– Berechnet sich aus Seriennummer und Reduced-Masterkey• Händler-Reduced-Masterkey für Händlerkarten
• Geldkarten-Reduced-Masterkey für Kundenkarten
– Verschlüsselte Kommunikation nur mit diesem Schlüssel
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
22
AuthentifizierungAuthentifizierung
• Gegenseitige Authentifizierung– Zu Beginn der Kommunikation zwischen Terminal und Geldkarte
– Über Challenge-Response-Verfahren• Geldkarte prüft Echtheit des Terminals
• Terminal prüft Gültigkeit der Karte
– Zufallszahlen werden für die Sitzungsdauer gespeichert
– Danach ausschließlich verschlüsselte Kommunikation
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
23
ÜbersichtÜbersicht
• Das System „Geldkarte“
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
24
AngriffsmöglichkeitenAngriffsmöglichkeiten
• Systemschlüssel:– Diebstahl der beiden Teilschlüssel
– Social Engineering
– Bestechung
• Reduced-Masterkey für Kundenkarten– Aufbrechen / Analyse der Sicherheitsmodule
– Dekompilierung der Softwarelösung Erzeugen von (Geldkarten-ID || Geldkartenkey)-Tupeln Eigene Karten erstellen
Betrug wird auf jeden Fall entdeckt (Schattenkonten)
• Fehlersuche im Betriebssystemquellcode
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
25
Angriffe auf die SmartcardAngriffe auf die Smartcard
• Geldkartenspezifische Schlüssel– Brute-Force-Attacke auf DES-Schlüssel
(Latenzzeiten der Antwort)
– Hardwaremanipulation• Sicherung zum Speicherzugriff wiederherstellen (Testmodus)
• Analyse (laut Ross Anderson mit genug Aufwand möglich)
Aufladen der Karte möglich Änderung des Einheitenfaktors: (von 10-2 auf 100) Mißbrauch wird bei Prüfung der Schattensalden erkannt
Kontoungebundene Karte verwenden (Pseudonym)
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
26
ÜbersichtÜbersicht
• Das System „Geldkarte“
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
27
ZusammenfassungZusammenfassung
• Pro• Sichere und manipulationsgeschütze Smartcard• Sehr guter Bargeldersatz für kleine Beträge• Sicheres Bezahlen übers Internet möglich• Beschränkter Verfügungsrahmen limitiert Schaden bei Verlust• Niedrige Kosten für Händler• Viele Ladeterminals (> 22.000), viele Händlerterminals (> 70.000)• Purse Application for Cross Border Use in Euro
(PACE - Deutschland, Frankreich, Luxemburg)
• Contra• Kaum Akzeptanz beim Kunden (ca.½ Transaktion pro Karte und
Jahr)– Viele Kunden wissen nicht um die Funktionen der Geldkarte– Dresdner Bank hat letzte Woche die Auslieferung der Geldkarte
eingestellt
• Keine Anonymität
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002
28
ZusammenfassungZusammenfassung
• Lohnenswerte Angriffe• Gewinnung des Reduced-Masterkeys durch Dekompilierung der
Softwarelösung für Händlerkarten Erzeugen von (Geldkarten-ID || Geldkartenkey)-Tupeln
Eigene Karten erstellen
• Zukunft• Neue Generation mit RSA-Chip signaturfähig für HBCI
• Common Electronic Purse Specifications (CEPS - International)
• Allround-Karte durch offene Spezifikationen– Studienausweis
– Fahrausweis
– Zutrittskontrolle
– Bonusprogramme
"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002