Die Geldkarte

1
Die Geldkarte
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Eine sichere elektronische Geldbörse?

Marcel Selhorst, 04.07.2002
2
Übersicht
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Das System Geldkarte
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung

3
Das System Geldkarte
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Geldkarte
• elektronische, wiederaufladbare Geldbörse
• geringer Verfügungsrahmen (max. 200,- )
• einfache Handhabung für Händler und Kunden
• keine Online-Verifikation
• keine PIN-Eingabe notwendig
• niedrige Kosten (Händler spart ca. 80 zu ec)
• 1997 deutschlandweite Einführung
• Einführung von Kundenkarten mit Microcontroller
  (Smartcards als Kunden, Giro- oder ec-Karten mit
  Chip)
• Vorbild für weitere elektronische Geldbörsen in
  Luxemburg (MiniCash) und Frankreich (Moneo)

4
Geldkartentypen
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Zwei unterschiedliche Typen
• 1) Kundenkarte
• Kontogebunden
• ec-Karte mit Chip
• Kontoinformationen
• Transaktionsinformationen
• Kontoungebunden
• White Card
• Aktueller Betrag
• Transaktionsinformationen
• Pseudonym (fehlender Kontobezug)
• 2) Händlerkarte
• Terminal oder Software
• Kommunikationspartner für Kundenkarte

5
Evidenzzentralen
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Verwaltung der Geldkarten durch Evidenzzentralen
• Führung von Schattenkonten
• Prüfung von Buchungen
• Erkennung von Mißbrauch
• Reklamationsbearbeitung
• Abrechnungsstelle für Händler
• Keine Anonymität möglich

6
Lade- / Bezahlvorgang
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002
7
Übersicht
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Das System Geldkarte
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung

8
Hardware
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Smartcard mit integriertem Microcontroller
• Meist Cryptocontroller SLECX160S von Infineon
  (Siemens)
• 32 kB ROM
• 16 kB EEPROM
• 512 Byte RAM
• 8-Bit-Befehle
• 16-Bit breiter Datenbus
• 4,9 MHz Taktfrequenz (von außen angelegt)
• Struktur ähnelt der 8051-Microcontroller-Familie

9
Software
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Betriebssystem
• Bis 2000 MultiFunctionCard (MFC)
• IBM / Siemens Nixdorf / Telekom
• Ab Oktober 2000 Version 4.1 (ZKA)
• Gemplus / Giesecke Devrient / Orga
  Kartensysteme
• Betriebssystem in Assembler programmiert
• 21 Kommandos zur Steuerung der Karte
• unvollständig im ROM untergebracht
• wird durch Tabellen im EEPROM bei der
  Initialisierung ergänzt
• Aufgaben
• Ablaufsteuerung
• Datenübertragung
• Dateiverwaltung
• Kryptographie
• Geldkarte läuft als Unterprogramm des
  Betriebssystems

10
Ablauf der Befehlsabarbeitung
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002
11
Kommunikation zwischen Terminal und Geldkarte
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• unterliegt Master-Slave-Verhältnis
• Terminal Master
• GeldkarteSlave ? darf unaufgefordert keinerlei
  Informationen preisgeben
• Kommunikationsabfolge

12
Übersicht
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Das System Geldkarte
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung

13
Sicherheit der Geldkarte
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Ziele
• Integrität (keine absichtliche / unabsichtliche
  Änderung der Daten)
• Vertraulichkeit (Geheimhaltung der gespeicherten
  Daten)
• Verfügbarkeit (Daten dürfen nicht absichtlich
  verloren gehen)
• Hohe Sicherheitsanforderungen an die Smartcard
• Herausgeber haben keinen Einfluss auf
  Manipulationsversuche
• ? Aufwand gtgt Nutzen
• Sicherheitsfaktoren
• Physikalische Sicherheit
• Logische Sicherheit
• Dateisystem
• Zugriffsrechte
• Kryptographie

14
Physikalische Sicherheit
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Aktiver Schutz (Betriebsgesteuert)
• Sensoren überwachen Funktions- und
  Speicherelemente
• Überwachung der angelegten Stromversorgung
• Überwachung der angelegten Taktfrequenz
• Widerstands- und Kapazitätsmessung zum Erkennen
  fehlender Schichten
• Passiver Schutz (Smartcardaufbau)
• Hohe Transistordichte
• Immer gleiche Stromaufnahme pro Befehl
• Adress- und Datenleitungen sind wild
  durcheinander (? keine Bauelementenzuordnung
  möglich)
• Passivierungsschicht gegen chemische Prozesse
• Smartcard nur über Außenkontakte ansprechbar
• Testmodus zum wahlfreien Zugriff auf
  Speicherelemente
• ? Durchbrennen einer Sicherung im Inneren der
  Smartcard

15
Logische Sicherheit
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Initialisierung
• Prüfsummenberechnung für wichtige Teile des
  EEPROM
• Laden des Betriebssystems aus dem ROM
• Betriebssystemkomplettierung aus Tabellen im
  EEPROM
• Kartendeaktivierung (mit Löschen des EEPROMs)
  jederzeit möglich
• Design
• Schichtenmodell für wenige Konzeptions- und
  Programmierfehler

16
Dateisystem
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Verwaltung der Daten im EEPROM über Dateien und
  Verzeichnisse
• Masterfile (MF)
• Dedicated File (DF)
• Elementary File (EF)
• ? Baumstruktur mit 3 Ebenen

• Identifizierung
• File Identifier (FID)
• Eindeutige Namensgebung
• Application Identifier (AID)
• Eindeutige Applikationszuordnung
• Applikationen in eigenem Unterverzeichnis
• ? Ausführbare Verzeichnisse (DF_BÖRSE)

17
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002
18
Zugriffsrechte
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Access Conditions (ACs)
• Beschränken den Zugriff auf Dateien und
  Verzeichnisse
• Bei Erzeugung festgelegt
• Dateien Schreib- und Leserechte
• Verzeichnisse Zugriff, Erzeugung von
  Unterverzeichnissen und Dateien
• Unterscheidung zwischen Globalen ACs und
  DF-spezifischen ACs
• Kombination von ACs möglich
• Zugriffsbeschränkung
• Passwort
• Verschlüsselung
• Authentifikation

19
Kryptographie
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Symmetrische Verschlüsselungsalgorithmen
• Authentifizierung
• Integritätsprüfung
• Verschlüsselung
• Aktuelle Generation verwendet DES und
  Triple-DES
• DES (Data Encryption Standard) arbeitet mit
  64-Bit-Blöcken
• Verschlüsselung erfolgt mit 56-Bit-Schlüssel
• sehr schneller Algorithmus (1 Block bei 4,9 MHz
  ca. 7,5ms)
• Niedrige Schlüssellänge
• ? Triple-DES
• Doppelte Schlüssellänge (2 x 56 Bit 112-Bit
  Schlüssellänge)
• 3 Verschlüsselungs Entschlüsselungs
  Operationen
• Erfordert längere Berechnungszeit (1 Block bei
  4,9 MHz ca. 25ms)
• MAC Bildung zur Integritätsprüfung
• einfacher MAC mit DES (56-Bit-Schlüssel)
• Retail MAC mit 3DES (112-Bit-Schlüssel)

20
Globale Schlüssel
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Schlüsselbildung
• 1 Masterkey
• Gültig für das gesamte Geldkartensystems
• gesplittet in zwei Teilschlüssel
• XOR addiert ergeben sie den Hauptschlüssel
• Sicher aufbewahrt an zwei unterschiedlichen Orten
• 2 Reduced-Masterkeys
• ? Kein Rückschluss auf Masterkey möglich
• 1 x für Kundenkarten
• in sichere Hardwaremodule eingebettet
• Für Kommunikation mit Kundenkarten notwendig
• 1 x für Händlerterminals
• Für Kommunikation mit Händlerkarten notwendig

21
Geldkartenschlüssel
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Schlüssel
• Individuell für jede Karte
• Berechnet sich aus Seriennummer und
  Reduced-Masterkey
• Händler-Reduced-Masterkey für Händlerkarten
• Geldkarten-Reduced-Masterkey für Kundenkarten
• Verschlüsselte Kommunikation nur mit diesem
  Schlüssel

22
Authentifizierung
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Gegenseitige Authentifizierung
• Zu Beginn der Kommunikation zwischen Terminal und
  Geldkarte
• Über Challenge-Response-Verfahren
• Geldkarte prüft Echtheit des Terminals
• Terminal prüft Gültigkeit der Karte
• Zufallszahlen werden für die Sitzungsdauer
  gespeichert
• Danach ausschließlich verschlüsselte
  Kommunikation

23
Übersicht
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Das System Geldkarte
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung

24
Angriffsmöglichkeiten
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Systemschlüssel
• Diebstahl der beiden Teilschlüssel
• Social Engineering
• Bestechung
• Reduced-Masterkey für Kundenkarten
• Aufbrechen / Analyse der Sicherheitsmodule
• Dekompilierung der Softwarelösung
• Erzeugen von (Geldkarten-ID Geldkartenkey)-Tupe
  ln
• Eigene Karten erstellen
• Betrug wird auf jeden Fall entdeckt
  (Schattenkonten)
• Fehlersuche im Betriebssystemquellcode

25
Angriffe auf die Smartcard
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Geldkartenspezifische Schlüssel
• Brute-Force-Attacke auf DES-Schlüssel
  (Latenzzeiten der Antwort)
• Hardwaremanipulation
• Sicherung zum Speicherzugriff wiederherstellen
  (Testmodus)
• Analyse (laut Ross Anderson mit genug Aufwand
  möglich)
• ? Aufladen der Karte möglich
• Änderung des Einheitenfaktors (von 10-2 auf 100)
• Mißbrauch wird bei Prüfung der Schattensalden
  erkannt
• Kontoungebundene Karte verwenden (Pseudonym)

26
Übersicht
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Das System Geldkarte
• Hardware / Software
• Sicherheit der Geldkarte
• Angriffsmöglichkeiten
• Zusammenfassung

27
Zusammenfassung
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Pro
• Sichere und manipulationsgeschütze Smartcard
• Sehr guter Bargeldersatz für kleine Beträge
• Sicheres Bezahlen übers Internet möglich
• Beschränkter Verfügungsrahmen limitiert Schaden
  bei Verlust
• Niedrige Kosten für Händler
• Viele Ladeterminals (gt 22.000), viele
  Händlerterminals (gt 70.000)
• Purse Application for Cross Border Use in Euro
  (PACE - Deutschland, Frankreich, Luxemburg)
• Contra
• Kaum Akzeptanz beim Kunden (ca.½ Transaktion pro
  Karte und Jahr)
• Viele Kunden wissen nicht um die Funktionen der
  Geldkarte
• Dresdner Bank hat letzte Woche die Auslieferung
  der Geldkarte eingestellt
• Keine Anonymität

28
Zusammenfassung
"Die Geldkarte" - Marcel Selhorst - Seminar
IT-Sicherheit - Prof. Dr. Paar - SS 2002

• Lohnenswerte Angriffe
• Gewinnung des Reduced-Masterkeys durch
  Dekompilierung der Softwarelösung für
  Händlerkarten
• ? Erzeugen von (Geldkarten-ID
  Geldkartenkey)-Tupeln
• ? Eigene Karten erstellen
• Zukunft
• Neue Generation mit RSA-Chip signaturfähig für
  HBCI
• Common Electronic Purse Specifications (CEPS -
  International)
• Allround-Karte durch offene Spezifikationen
• Studienausweis
• Fahrausweis
• Zutrittskontrolle
• Bonusprogramme