Eine „sichere“ elektronische Geldbörse? Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 - "Die Geldkarte" - Marcel Selhorst "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Die Geldkarte Eine „sichere“ elektronische Geldbörse? Marcel Selhorst, 04.07.2002

Übersicht Das System „Geldkarte“ Hardware / Software "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Übersicht Das System „Geldkarte“ Hardware / Software Sicherheit der Geldkarte Angriffsmöglichkeiten Zusammenfassung

Das System „Geldkarte“ "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Das System „Geldkarte“ Geldkarte elektronische, wiederaufladbare Geldbörse geringer Verfügungsrahmen (max. 200,- €) einfache Handhabung für Händler und Kunden keine Online-Verifikation keine PIN-Eingabe notwendig niedrige Kosten (Händler spart ca. 80% zu ec) 1997 deutschlandweite Einführung Einführung von Kundenkarten mit Microcontroller (Smartcards als Kunden, Giro- oder ec-Karten mit Chip) Vorbild für weitere elektronische Geldbörsen in Luxemburg (MiniCash) und Frankreich (Moneo)

Zwei unterschiedliche Typen: 1) Kundenkarte "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Geldkartentypen Zwei unterschiedliche Typen: 1) Kundenkarte Kontogebunden ec-Karte mit Chip Kontoinformationen Transaktionsinformationen Kontoungebunden White Card Aktueller Betrag Pseudonym (fehlender Kontobezug) 2) Händlerkarte Terminal oder Software Kommunikationspartner für Kundenkarte

Verwaltung der Geldkarten durch Evidenzzentralen "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Evidenzzentralen Verwaltung der Geldkarten durch Evidenzzentralen Führung von Schattenkonten Prüfung von Buchungen Erkennung von Mißbrauch Reklamationsbearbeitung Abrechnungsstelle für Händler Keine Anonymität möglich

"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Lade- / Bezahlvorgang

Übersicht Das System „Geldkarte“ Hardware / Software "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Übersicht Das System „Geldkarte“ Hardware / Software Sicherheit der Geldkarte Angriffsmöglichkeiten Zusammenfassung

Smartcard mit integriertem Microcontroller "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Hardware Smartcard mit integriertem Microcontroller Meist Cryptocontroller SLECX160S von Infineon (Siemens) 32 kB ROM 16 kB EEPROM 512 Byte RAM 8-Bit-Befehle 16-Bit breiter Datenbus 4,9 MHz Taktfrequenz (von außen angelegt) Struktur ähnelt der 8051-Microcontroller-Familie

Geldkarte läuft als Unterprogramm des Betriebssystems "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Software Betriebssystem Bis 2000 MultiFunctionCard (MFC) IBM / Siemens Nixdorf / Telekom Ab Oktober 2000 Version 4.1 (ZKA) Gemplus / Giesecke & Devrient / Orga Kartensysteme Betriebssystem in Assembler programmiert 21 Kommandos zur Steuerung der Karte unvollständig im ROM untergebracht wird durch Tabellen im EEPROM bei der Initialisierung ergänzt Aufgaben Ablaufsteuerung Datenübertragung Dateiverwaltung Kryptographie Geldkarte läuft als Unterprogramm des Betriebssystems

Ablauf der Befehlsabarbeitung "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Ablauf der Befehlsabarbeitung

Kommunikation zwischen Terminal und Geldkarte "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Kommunikation zwischen Terminal und Geldkarte unterliegt Master-Slave-Verhältnis Terminal =Master Geldkarte=Slave  darf unaufgefordert keinerlei Informationen preisgeben Kommunikationsabfolge:

Übersicht Das System „Geldkarte“ Hardware / Software "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Übersicht Das System „Geldkarte“ Hardware / Software Sicherheit der Geldkarte Angriffsmöglichkeiten Zusammenfassung

Sicherheit der Geldkarte "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Sicherheit der Geldkarte Ziele Integrität (keine absichtliche / unabsichtliche Änderung der Daten) Vertraulichkeit (Geheimhaltung der gespeicherten Daten) Verfügbarkeit (Daten dürfen nicht absichtlich verloren gehen) Hohe Sicherheitsanforderungen an die Smartcard Herausgeber haben keinen Einfluss auf Manipulationsversuche  Aufwand >> Nutzen Sicherheitsfaktoren Physikalische Sicherheit Logische Sicherheit Dateisystem Zugriffsrechte Kryptographie

Physikalische Sicherheit "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Physikalische Sicherheit Aktiver Schutz (Betriebsgesteuert): Sensoren überwachen Funktions- und Speicherelemente Überwachung der angelegten Stromversorgung Überwachung der angelegten Taktfrequenz Widerstands- und Kapazitätsmessung zum Erkennen fehlender Schichten Passiver Schutz (Smartcardaufbau): Hohe Transistordichte Immer gleiche Stromaufnahme pro Befehl Adress- und Datenleitungen sind „wild durcheinander“ ( keine Bauelementenzuordnung möglich) Passivierungsschicht gegen chemische Prozesse Smartcard nur über Außenkontakte ansprechbar Testmodus zum wahlfreien Zugriff auf Speicherelemente  Durchbrennen einer Sicherung im Inneren der Smartcard

Logische Sicherheit Initialisierung: Design: "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Logische Sicherheit Initialisierung: Prüfsummenberechnung für wichtige Teile des EEPROM Laden des Betriebssystems aus dem ROM Betriebssystemkomplettierung aus Tabellen im EEPROM Kartendeaktivierung (mit Löschen des EEPROMs) jederzeit möglich Design: Schichtenmodell für wenige Konzeptions- und Programmierfehler

"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Dateisystem Verwaltung der Daten im EEPROM über Dateien und Verzeichnisse Masterfile (MF) Dedicated File (DF) Elementary File (EF)  Baumstruktur mit 3 Ebenen Identifizierung: File Identifier (FID) Eindeutige Namensgebung Application Identifier (AID) Eindeutige Applikationszuordnung Applikationen in eigenem Unterverzeichnis  Ausführbare Verzeichnisse (DF_BÖRSE)

"Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002

Access Conditions (ACs) "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Zugriffsrechte Access Conditions (ACs) Beschränken den Zugriff auf Dateien und Verzeichnisse Bei Erzeugung festgelegt Dateien: Schreib- und Leserechte Verzeichnisse: Zugriff, Erzeugung von Unterverzeichnissen und Dateien Unterscheidung zwischen „Globalen ACs“ und „DF-spezifischen ACs“ Kombination von ACs möglich Zugriffsbeschränkung Passwort Verschlüsselung Authentifikation

Kryptographie Symmetrische Verschlüsselungsalgorithmen "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Kryptographie Symmetrische Verschlüsselungsalgorithmen Authentifizierung Integritätsprüfung Verschlüsselung Aktuelle Generation verwendet „DES“ und „Triple-DES“ DES (Data Encryption Standard) arbeitet mit 64-Bit-Blöcken Verschlüsselung erfolgt mit 56-Bit-Schlüssel sehr schneller Algorithmus (1 Block bei 4,9 MHz ca. 7,5ms) Niedrige Schlüssellänge  Triple-DES Doppelte Schlüssellänge (2 x 56 Bit = 112-Bit Schlüssellänge) 3 Verschlüsselungs – Entschlüsselungs – Operationen Erfordert längere Berechnungszeit (1 Block bei 4,9 MHz ca. 25ms) MAC – Bildung zur Integritätsprüfung: „einfacher MAC“ mit DES (56-Bit-Schlüssel) „Retail MAC“ mit 3DES (112-Bit-Schlüssel)

Globale Schlüssel Schlüsselbildung: 1 Masterkey 2 Reduced-Masterkeys "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Globale Schlüssel Schlüsselbildung: 1 Masterkey Gültig für das gesamte Geldkartensystems gesplittet in zwei Teilschlüssel XOR addiert ergeben sie den Hauptschlüssel Sicher aufbewahrt an zwei unterschiedlichen Orten 2 Reduced-Masterkeys  Kein Rückschluss auf Masterkey möglich 1 x für Kundenkarten in sichere Hardwaremodule eingebettet Für Kommunikation mit Kundenkarten notwendig 1 x für Händlerterminals Für Kommunikation mit Händlerkarten notwendig

Geldkartenschlüssel Schlüssel Individuell für jede Karte "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Geldkartenschlüssel Schlüssel Individuell für jede Karte Berechnet sich aus Seriennummer und Reduced-Masterkey Händler-Reduced-Masterkey für Händlerkarten Geldkarten-Reduced-Masterkey für Kundenkarten Verschlüsselte Kommunikation nur mit diesem Schlüssel

Authentifizierung Gegenseitige Authentifizierung "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Authentifizierung Gegenseitige Authentifizierung Zu Beginn der Kommunikation zwischen Terminal und Geldkarte Über Challenge-Response-Verfahren Geldkarte prüft Echtheit des Terminals Terminal prüft Gültigkeit der Karte Zufallszahlen werden für die Sitzungsdauer gespeichert Danach ausschließlich verschlüsselte Kommunikation

Übersicht Das System „Geldkarte“ Hardware / Software "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Übersicht Das System „Geldkarte“ Hardware / Software Sicherheit der Geldkarte Angriffsmöglichkeiten Zusammenfassung

Angriffsmöglichkeiten "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Angriffsmöglichkeiten Systemschlüssel: Diebstahl der beiden Teilschlüssel Social Engineering Bestechung Reduced-Masterkey für Kundenkarten Aufbrechen / Analyse der Sicherheitsmodule Dekompilierung der Softwarelösung Erzeugen von (Geldkarten-ID || Geldkartenkey)-Tupeln Eigene Karten erstellen Betrug wird auf jeden Fall entdeckt (Schattenkonten) Fehlersuche im Betriebssystemquellcode

Angriffe auf die Smartcard "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Angriffe auf die Smartcard Geldkartenspezifische Schlüssel Brute-Force-Attacke auf DES-Schlüssel (Latenzzeiten der Antwort) Hardwaremanipulation Sicherung zum Speicherzugriff wiederherstellen (Testmodus) Analyse (laut Ross Anderson mit genug Aufwand möglich)  Aufladen der Karte möglich Änderung des Einheitenfaktors: (von 10-2 auf 100) Mißbrauch wird bei Prüfung der Schattensalden erkannt Kontoungebundene Karte verwenden (Pseudonym)

Übersicht Das System „Geldkarte“ Hardware / Software "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Übersicht Das System „Geldkarte“ Hardware / Software Sicherheit der Geldkarte Angriffsmöglichkeiten Zusammenfassung

Zusammenfassung Pro Contra "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Zusammenfassung Pro Sichere und manipulationsgeschütze Smartcard Sehr guter Bargeldersatz für kleine Beträge Sicheres Bezahlen übers Internet möglich Beschränkter Verfügungsrahmen limitiert Schaden bei Verlust Niedrige Kosten für Händler Viele Ladeterminals (> 22.000), viele Händlerterminals (> 70.000) Purse Application for Cross Border Use in Euro (PACE - Deutschland, Frankreich, Luxemburg) Contra Kaum Akzeptanz beim Kunden (ca.½ Transaktion pro Karte und Jahr) Viele Kunden wissen nicht um die Funktionen der Geldkarte Dresdner Bank hat letzte Woche die Auslieferung der Geldkarte eingestellt Keine Anonymität

Lohnenswerte Angriffe "Die Geldkarte" - Marcel Selhorst - Seminar IT-Sicherheit - Prof. Dr. Paar - SS 2002 Zusammenfassung Lohnenswerte Angriffe Gewinnung des Reduced-Masterkeys durch Dekompilierung der Softwarelösung für Händlerkarten  Erzeugen von (Geldkarten-ID || Geldkartenkey)-Tupeln  Eigene Karten erstellen Zukunft Neue Generation mit RSA-Chip signaturfähig für HBCI Common Electronic Purse Specifications (CEPS - International) Allround-Karte durch offene Spezifikationen Studienausweis Fahrausweis Zutrittskontrolle Bonusprogramme