MIFARE
MIFARE is een merk van NXP Semiconductors dat exclusief gebruikt wordt voor de chips in chipcards en lezers van dat bedrijf. De technologieën die onder dit merk worden verkocht, zijn gebaseerd op de ISO/IEC 14443A standaard en werken op een frequentie van 13.56 MHz. Het merk MIFARE is bedacht door het Oostenrijks bedrijf MIKRON[1] en staat voor MIKRON fare collection.[2] De IC’s zijn oorspronkelijk ontwikkeld om gebruikt te worden in vervoersbewijzen.[3] In 1995 wordt Mikron overgenomen door Philips Semiconductors.[1]
NXP MIFARE producten worden onder meer toegepast in:
- paspoorten
- OV-chipkaart (NL)
- loyalty kaarten
- toegangs-systemen voor musea, kantoorgebouwen, parkeergarages, hotels, fitness centra
- product-identificatie
- consoles voor spelcomputers
- contactloos betalen met een mobiele telefoon
- tolsystemen
De bekendste leden uit de MIFARE familie zijn MIFARE Classic, MIFARE Ultralight, MIFARE Plus, MIFARE DESFire, MIFARE4MOBILE, MIFARE FLEX en MIFARE SDK.[4]
Er zijn wereldwijd 12 miljard MIFARE IC's verkocht.[3](2023)
MIFARE Classic
[bewerken | brontekst bewerken]De MIFARE Classic kaart is een opslagmedium, waarbij het geheugen is verdeeld in sectoren en blokken die versleuteld worden door een simpele beveiligingstechniek. Dankzij de lage kosten wordt dit type kaart veel gebruikt in het openbaar vervoer zoals bijvoorbeeld in een OV-chipkaart. De MIFARE Classic wordt in 1994 geïntroduceerd door het bedrijf MIKRON.
De MIFARE Classic 1K heeft een opslagruimte van 1024 bytes, verdeeld in zestien sectoren; elke sector bevat vier blokken en is beveiligd met twee verschillende sleutels, genaamd A en B. Ze kunnen geprogrammeerd worden voor operaties als lezen en schrijven. De MIFARE Classic 4k heeft een opslagruimte van vier kilobyte, verdeeld in veertig sectoren. 32 sectoren zijn even groot als die in type 1k; de laatste acht sectoren bevatten zestien blokken in plaats van vier.
MIFARE Classic EV1
[bewerken | brontekst bewerken]Veiligheid
[bewerken | brontekst bewerken]In een presentatie op het Chaos Communication Congress in december 2007 toonden Henryk Plötz en Karsten Nohl aan dat zij door middel van reverse engineering een deel van het algoritme ontdekt hadden dat gebruikt wordt in de MIFARE Classic chip.[5][6]
In maart 2008 maakte de Digital Security research group van de Radboud Universiteit Nijmegen bekend dat zij in staat waren om chipkaarten gebaseerd op de MIFARE Classic chip te klonen en aan te passen.[7][8][9] Als gevolg hiervan publiceerde Govcert.nl een factsheet[10] waarin het afraadt de MIFARE Classic chip te gebruiken in toegangspassen.[8]
Op 7 juli 2008 spant NXP een kort geding tegen de Radboud Universiteit aan, om te voorkomen dat deze bepaalde informatie over de tekortkomingen in de kaart publiceert.[11] Het gaat om de publicatie Dismantling Mifare Classic[12], dat de onderzoekers willen publiceren op de ESORICS08-conferentie[13]. In maart publiceerden enkelen van hen al de publicatie A Practical Attack On The Mifare Classic.[14]
Op 18 juli 2008 volgt de uitspraak waarin de vorderingen van NXP worden afgewezen. Er kan zonder nadere bewijslevering niet van worden uitgegaan dat het algoritme van de chip een auteursrechtelijk beschermd werk is. Evenmin komt het algoritme van de chip in aanmerking voor geschriftenbescherming, omdat vaststaat dat het algoritme niet door NXP op enigerlei wijze ter beschikking van het publiek is gesteld. De publicatie valt ook onder de vrijheid van meningsuiting. NXP kon niet aantonen dat er een dringende maatschappelijke noodzaak was om de publicatie te verbieden.[15][16][8][9]
In juni 2008 hebben dezelfde onderzoekers van de Radboud universiteit een Oyster card met dezelfde MIFARE Classic chip gekraakt. Zij bleken in staat om, na een kaart van een andere gebruiker gelezen te hebben, de kaart te kopiëren en het saldo op te hogen en er daarna een dag lang mee te reizen.[17]
Op 12 oktober 2015 raadt NXP af de MIFARE Classic voor beveiligingsdoeleinden te gebruiken nadat de Radboud Universiteit een Responsible Disclosure had ingediend.[18]
MIFARE Ultralight
[bewerken | brontekst bewerken]De MIFARE Ultralight-kaarten hebben 64 bytes, zonder beveiliging. Dit type kaart is dusdanig goedkoop dat het dikwijls wordt gebruikt bij wegwerpkaarten, zoals voetbaltickets.
MIFARE DESFire
[bewerken | brontekst bewerken]De MIFARE DESFire-kaarten hebben een geheugen van 2, 4 of 8 kilobytes, met een DES, 3DES of AES beveiliging. Dit type kaart is veiliger dan bijvoorbeeld de MIFARE Classic-kaarten.
Geschiedenis
[bewerken | brontekst bewerken]- 1994 — MIFARE Classic 1k draadloze technologie wordt geïntroduceerd door het bedrijf MIKRON.[1]
- 1995 — MIKRON wordt overgenomen door Philips Semiconductors[1]
- 2001 — MIFARE Ultralight geïntroduceerd.[1]
- 2008 — MIFARE Plus met 128-bit AES encryptie geïntroduceerd.[19]
Zie ook
[bewerken | brontekst bewerken]Externe link
[bewerken | brontekst bewerken]- (en) Officiële website
- ↑ a b c d e (en) Tapping in to the future - Mifare celebrates 25 years of innovation (pdf). https://www.mifare.net/ (8 november 2019). Gearchiveerd op 6 september 2023.
- ↑ (en) urkcell Cep-T Cüzdan Mobile Wallet Service (pdf). http://www.cisco.com 1 (20 april 2012).
- ↑ a b Mifare website.
- ↑ NXP Semiconductors, Chip Card ICs. Mifare. Gearchiveerd op 6 september 2023.
- ↑ Chaos Communication Congress. Gearchiveerd op 26 november 2018.
- ↑ (en) Karsten Nohl and Henryk Plötz, Video recording of 24th Chaos Communication Congress - Mifare Little Security, Despite Obscurity (mp4). https://www.ccc.de/ (28 december 2007). Gearchiveerd op 29 maart 2023.
- ↑ uitleg en video van het kraken van de MIFARE Classic chip door de Radboud Universiteit. Gearchiveerd op 2 september 2023.
- ↑ a b c Hof, Chris van 't (2016). Helpful hackers. Tek Tok, [Rotterdam]. ISBN 978-90-823462-2-0.
- ↑ a b Hof, Christian van 't., Christian van 't. Hof, Quirinus Cornelis van Est, Floortje Daemen, Rathenau Instituut (2011). Check in/check out : the public space as an internet of things. Rathenau Institute, [The Hague]. ISBN 978-90-5662-808-6.
- ↑ Kwetsbaarheden Mifare Classic chips in toegangspassen (pdf). Govcert.nl (14 oktober 2011).
- ↑ Universiteit negeert kort geding, De Pers, 7 juli 2008
- ↑ (en) Flavio D. Garcia, Gerhard de Koning Gans, Ruben Muijrers, Peter van Rossum, Roel Verdult, Ronny Wichers Schreur, and Bart Jacobs, Dismantling MIFARE Classic (pdf) (14 augustus 2008).
- ↑ ESORICS 2008. www.nics.uma.es. Gearchiveerd op 28 november 2022. Geraadpleegd op 28 november 2022.
- ↑ A Practical Attack On The MIFARE Classic, Gerhard de Koning Gans, Jaap-Henk Hoepman, Flavio D. Garcia, Radboud Universiteit Nijmegen, maart 2008. Gearchiveerd op 13 april 2023.
- ↑ Rechtbank Arnhem 18 juli 2008, 171900, ECLI:NL:RBARN:2008:BD7578.
- ↑ Peter de Boer, Radboud mag onderzoeksrapport Mifare-hack publiceren. Tweakers (18 juli 2008). Gearchiveerd op 28 november 2022. Geraadpleegd op 28 november 2022.
- ↑ Brenno de Winter, Radboud onderzoekers kraken ook Oyster Card. Webwereld (18 juni 2008). Gearchiveerd op 17 januari 2016.
- ↑ (en) Johannes Grüll, Security Statement on Crypto1 Implementations. MIFARE (12 oktober 2015). Gearchiveerd op 6 september 2023. Geraadpleegd op 8 december 2022.
- ↑ (en) NXP introduces new security and performance benchmark with MIFARE Plus. http://www.nxp.com (10 maart 2008). Gearchiveerd op 3 november 2013. Geraadpleegd op 12 december 2022.