パスワードを忘れた? アカウント作成
9584 story

認証用RFIDタグの暗号が破られ、なりすましの危険性が実証 69

ストーリー by Oliver
車泥棒ついでにガソリンも 部門より

jbeef曰く、"本家の記事A記事B によると、米Johns Hopkins大学Information Security Instituteのチームが、自動車の鍵のイモビライザーや給油スタンドの支払い用RFID「SpeedPass」に使われているRFIDの暗号を破ることに成功したとのこと。 詳細が「Analysis of the Texas Instruments DST RFID」に報告されている。
RFIDタグには暗号機能のあるものとないものがある。日本の響プロジェクト(5円タグ)のように安価なタグには通常は暗号機能が搭載されないが、電気錠や支払い認証に使うタグには何らかの暗号が必須となっている。今回実験の対象となったのはTexas Instruments社の「DST」タグ。このタグは40ビットの暗号鍵を内蔵し、読取り機から送られてくる40ビットのチャレンジコードを暗号化して応答すること(チャレンジ・レスポンス)によって認証を実現し、24ビットのID番号をなりすましされないように送信しているという。
ところが、暗号アルゴリズムは非公開であるものの、鍵長が短いため、総当り攻撃によって鍵を解読できてしまうのだという。チームは、FPGAを使った3,500ドルの装置を作り、5個のタグを2時間で解いたという。読取り機からの電波を受信してAD変換、デジタル復調してチャレンジコードを取得する回路と、解読した鍵で暗号化した応答の信号波形をソフトウェアで生成して電波出力する回路からなる、「シミュレータ」を製作し、自分が所有する自動車の鍵と給油スタンドのタグを、この装置でシミュレートすることによって、自分自身になりすますことが可能なことを現実の環境で実証している。その様子がビデオで公開されている。
論文では、攻撃のシナリオとして、攻撃者が自ら読取り機の電波を通行人の被害者に照射してIDを盗む「アクティブ型の攻撃」と、被害者がタグを使用しているときの電波を傍受する「パッシブ型の攻撃」があるとし、前者を防ぐためには、使わないときはRFIDタグをアルミホイルで包むことが有効だとしている。そして論文の最後はこう結ばれている。「We also thank Texas Instruments for their cooperation after we disclosed our results to them and for feedback on earlier drafts of this paper.」
報道: CNN, USATODAY, ITmeidaニュース"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 現在のバーコードや磁気カードのセキュリティは全く無いに等しい
    (バーコード:コピー、磁気カード:スキミング)のですが、
    それらに比べてどうなのでしょうか?

    アクティブ型の遠隔スキミングとかできちゃうのかな
  • by chu-chu (7456) on 2005年02月01日 8時46分 (#686947)
    > そして論文の最後はこう結ばれている。「We also thank Texas Instruments for (ry」

    いいね。こういうさわやかな会社(or 部署)で働きたいものだ。

    # タレコミ人がどこにあてつけているか知らないが。(どことは言わずほとんどか?)
      • Re:立派な態度 (スコア:2, 参考になる)

        by tetsuya (11853) on 2005年02月01日 13時03分 (#687032) 日記
        まぁ、Speed Passの方は現実的にはそれなりに安全とはいえるでしょう。

        まだ、スキミングよりは犯罪に使う仕掛けのコストが技術的にも、金額的にも高いというのが一応言い訳として成り立つでしょう。(ただし、2~3年後にどうなっているかは不明)

        あとSpeed Passはガソリン給油(アメリカだと乗用車に満タン給油して$20~40程度)、GS店内での買い物と少額決済を前提にしています。数千ドルといった高額決済があれば、即運営会社から確認の電話がかかってきそうです。また、クレジットカード同様に盗難等の被害に遭った場合の保証制度もありますのでユーザー側としてはそんなに心配いらないと言って良いでしょう。

        車の方はイモビ付きの車は高級車がほとんどなのでもっとリスクが高くなりますね。仕掛けのコストもこっちはペイしそうですし、なんと言ってもイモビを機能させたまま盗めますからせっかく盗んだ車を再盗難されるリスクが下がります(笑)
        親コメント
        • 念の為に (スコア:1, 興味深い)

          by Anonymous Coward on 2005年02月01日 21時41分 (#687314)
          ヨーロッパではイモビライザー等の電子式ロックが新車に装備することが義務付けられられていて
          全ての新車にイモビライザーが付けられていると言っていい状況です。
          親コメント
      • by shiraga (14233) on 2005年02月01日 23時24分 (#687377)
        >こんなこといってますけど本当にそう思う?

        「安全か否か」という問題は、どういう用途を想定するかによるし、簡単に答えが出るものではない。
        なので、(どちらの陣営も)技術的な観点から反論するのは、なんら問題ない。
        むしろ歓迎すべきことでしょう。

        自社製品に対してnegativeな評価を与えるレポートに対して『cooperation after we disclosed our results to them and for feedback on earlier drafts of this paper.』なんだから、その態度は悪くないですね。ポジティブに評価されても良いでしょう。
        それこそ、名誉毀損だ、裁判だ、と騒ぐ可能性だってあったわけだし。
        親コメント
  • ノーガード戦法 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2005年02月01日 8時49分 (#686948)
    >現実の環境で実証
    よし、どこかの国に倣って、その学生をしょっぴけ!
    錠前破りはそれだけでも犯罪なのに、
    それを実証して公開するなんて礼節に欠けるやつらだ!
    これでRFIDのセキュリティが万全だってアピールできるぞ!

    #なわけない
  • by Anonymous Coward on 2005年02月01日 15時49分 (#687070)
    こういうのとか暗号はどうなってるの?

    日立、新本社の入館証にICチップ利用 [nikkei.co.jp]

     日立製作所は10月1日から東京・丸の内の新本社で、無線通信可能なICタグ(荷札)を使った来客管理システムの本格運用を開始した。タグを取り付けた入館証を来客者に渡し、許可された区域は自由に行動できるようにする一方、立ち入り禁止区域には入れない。
     受付時に来客者に、日立製ICタグ「ミューチップ」を取り付けた使い捨て型の入館カードを渡す。来客者は読み取りゲートにカードをかざして入館。チップには固有の番号が割り振られており、ビル内で移動状況が自動記録される。
     カードの価格は1枚100円以下で、入館証として普及し始めた電波通信型ICカードの10分の1以下。10月から同様のシステムの外販も始めた。
    入退管理システム [hitachi.co.jp]
    廉価で偽造が不可能なICカードを利用した高信頼性「入退管理システム」を提供します。
    ミューチップを採用することにより、廉価で偽造が不可能なICカードとなります
    あらかじめICカードのミューチップIDNoと個人情報を事前に登録し、ICカードによる開錠操作を行なって部屋などへの入出退を実施します。
    ミューチップはICカードのレベルじゃないと思うんだが。
  • by Anonymous Coward on 2005年02月01日 8時10分 (#686934)
    そのあいだに鍵の寿命が尽きる。

    >攻撃者が自ら読取り機の電波を通行人の被害者に照射してIDを盗む「アクティブ型の攻撃」と

    2時間ずっと被害者に付きまとっているつもりなのかしらん?
    • by Anonymous Coward on 2005年02月01日 8時34分 (#686943)
      >2時間ずっと被害者に付きまとっているつもりなのかしらん?

      大丈夫。追いかけなくても、ガソリンスタンドは逃げて行きません。
      親コメント
    • トータルで二時間あればいいんだったら、分割払い(?)でなんとでもやりようがあるんじゃない?
      会社で隣に座ってる人の持ってるRFIDなら、連続二時間くらいなんとでもなりそう。
      親コメント
    • >2時間ずっと被害者に付きまとっているつもりなのかしらん?
      コインロッカーとか、そこまでいかなくても職場、長距離電車とかなら可能かと。

      あと、別に特定のターゲットである必要がない場合もあるのでは?
      推測で原理は完全に理解してませんが、ガソリンスタンドの件なら
      「チャレンジコード」と「暗号化結果」が取得できれば「誰か」は関係なく目的は達成できるでしょうから。
      他に社員カードであるなら、その会社の誰かであればいいように。
      # 入退室をオンラインで管理してたり顔写真と照合やパスワードと複合でしたらダメでしょうけど。
      こういう場合はターゲット付近に装置を仕掛けたら大分効率的にスキミングできそうです。

      また、2時間は必須ではないかもしれません。
      チャレンジレスポンスの信号はおそらく常時出ているわけで(でなければおそらく応答性能が損なわれる)、
      スキミング装置が「わからない」場合は無視してしまえばいいわけです。
      チャレンジレスポンスの変更タイミングが短くビット数も少なければこの戦略は使いやすくなると思います。
      カード押し当てても恐らく技術的に認識率100%が不可能な以上周囲からはあんま不審に思わないかと。

      妄想ですが、今後スキミング技術が進歩して1時間程度で可能になってしまったら、
      普通に喫茶店や食事してる時にバッグの中にスキミング装置仕込んでおいて、
      隣の客のバッグの中のICカードデータのみを盗むというシナリオもできませんかね?
      磁気カードのように店員等が犯人ならまだ追跡しやすいですが。
      客まで犯人対象になったら本当に追跡調査は絶望的に難しい気がします。

      まぁ、これらはカード自体に一定時間内の認証回数制限とか、
      鍵自体のビット数を増やせば解決できそうですが・・・

      # ところで、40bitってDVDの時とみたいに輸出規制絡みだったのかな?
      # 40bitごときじゃ気休めにしかならなくなっちゃったのかもね・・・
      親コメント
    • もと記事では、2時間で5つの鍵と言ってますので、実質24分
      ではないでしょうか。

      他の方も言われているように、これだと、満員電車の中でやられ
      たらアウトですねぇ。
      親コメント
    • by FTNS (17738) on 2005年02月01日 10時35分 (#686980)
      最近話題のゴルフ場などのセキュリティボックスにスキマーを仕込めば簡単ですね。
      しかし、何度もchallenge-responseに失敗したら、普通何分か受け付けないように
      する物だと思っていたが... よくある脆弱性とは言え、ちとお粗末ですな>TI
      --
      --- de FTNS.
      親コメント
      • by Anonymous Coward on 2005年02月01日 12時55分 (#687028)
        >しかし、何度もchallenge-responseに失敗したら、普通何分か受け付けないようにする物だ

        だって整合性をチェックするのはリーダーの方だもの。
        タグの方は失敗したかどうか知りようが無い。

        ターゲットとなったタグに対して、何分も何時間もかけて
        チャレンジを繰り返し、チャレンジ-レスポンスのテーブルを
        作る。

        リーダーに対しては、問いかけてきたチャレンジに対する
        レスポンスを、テーブルから引けば、一発認証じゃない?
        親コメント
    • Re:2時間かかるならいいや (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2005年02月01日 12時02分 (#687006)
      > 2時間ずっと被害者に付きまとっているつもりなのかしらん?

      映画館なら自然とそうなりますが。
      親コメント
    • > 2時間ずっと被害者に付きまとっているつもりなのかしらん?

      記事を読むと書いてありますが、収集する必要のあるデータは
      二回分のチャレンジ&レスポンスなので、それ自体は1秒かか
      らず集められるとの事です。

      あとは、解析に二時間ということですが、解析は別なところで
      やればいいので、別に二時間付きまとう必要は全くありません。
      親コメント
    • 鍵はタグのひとつひとつで別々なんでしょうか?

      共通鍵暗号だからリーダも同じ鍵をもっていないといけないし、どの鍵のタグなのかをリーダが判別できないといけないから、ある程度同じ鍵が使いまわしされていると思われるんですが、どうでしょうか。
    • 読み取り自体は一瞬じゃないの?
      読みとったIDのパスを手元で解くに2時間/5=20分くらいかかるだけで
      • いくらなんでも、セッション1回分のサンプルで解読できるとは思えんが...
        # もしかして、チップからID/Passwordを読み取り機に送って、
        # 詠み取り機側で認証すると思ってる?あるいはネタ?
        --
        wild wild computing
        親コメント
        • 2回だそうですよ (スコア:3, 参考になる)

          by Vorspiel (2391) on 2005年02月01日 16時21分 (#687088) ホームページ
          Extracting the key from a DST device requires the harvesting of two challenge-response pairs. As a result, there are certain physical obstacles to successful attack. Nonetheless, bypassing the cryptographic protections in DST devices results in considerably elevated real-world threats.
          超訳: 実際に攻撃するには,チャレンジ-レスポンス2回分の情報がないと鍵を計算できない,という点で障害があるけど,暗号化部分が破れるっていうだけでシステムへの脅威はかなり増す.

          原文のこの後の段落では,実際の情報収集の手段としてactive(スキャニング)/passive(盗聴)の2パターンを簡単に検討してます.

          親コメント
        • 私も常識的に考えると、一回分のサンプルでは何ともならないと思いますが、
          暗号アルゴリズムが非公開ってところに、ビミョーに引っかかりを覚えます。
          親コメント
    • モーテルの車庫とか...

      いや、思っただけです...それも悲しいか?
  • by Anonymous Coward on 2005年02月01日 8時20分 (#686936)
    キーに組み込まれたトランスポンダチップと

    へぇ~さすがは世界のホンダだなぁ
    と読んでしまった人、素直に手を挙げなさい。

  • by Anonymous Coward on 2005年02月01日 8時20分 (#686937)
    以前有ったDES-III Challengeの鍵長って56bit?40bit?
    前者なら今回のは遅いという印象、後者なら技術の進歩を感じます。

    DES-III Challenge [geocities.co.jp]
    #本家が見当たらないのでgoogleで上位にいたページをリンクしてます
    • by Anonymous Coward
      >以前有ったDES-III Challengeの鍵長って56bit?40bit?
      56bitです。
    • by Anonymous Coward
      今までいろいろ暗号破りの話しがあるのに40bitは短いなぁ、と思ったんだけど、これで足りるような運用しか想定されてないってこと?
      それとも、鍵は短くても問題ない(はずの)暗号化方式だった?

      #それにしたって、コンピュータの進歩を考えると短すぎるような・・・。
      • by Vorspiel (2391) on 2005年02月01日 9時34分 (#686964) ホームページ
        件のページをざっと見ましたが,割と論外っぽいです(苦笑)

        • 鍵長40bitは(研究者曰く)"unacceptably short"
        • 暗号化アルゴリズムは非公開(ここまでの時点で既にだめぽ…)
        • でもリバースエンジニアリングしてソフトウェア実装できちゃいました
        • でもソフトでencode/decodeすると遅いんで,鍵32個を同時に処理できるロジックをFPGAで実装して,かつ16並列で動かしてみました
        • 結果,2時間で鍵5個を全部クラック
        「これで足りるような運用しか想定されてない」,というのは確かでしょうけれど,攻撃は悪化する一方((c)NSA)であることを考えると,数年後にはもっと安価/高速にクラックされるでしょうねぇ.
        親コメント
      • Re:40bitの暗号鍵 (スコア:1, 参考になる)

        by Anonymous Coward on 2005年02月01日 9時25分 (#686963)
        パッシブ型RFIDなので、電力消費量の都合があるから、小規模なゲート数のロジック回路で暗号を実装せざるを得なかったとか、そういうことではないですかね。

        車のイモビライザーなら、リーダーの近くにずっとあるのだから、電力の問題とかは解決できて、もっとよい暗号を利用することはできるはずではないですかね。
        親コメント
  • by Anonymous Coward on 2005年02月01日 10時53分 (#686988)
    SpeedPassにせよEdyにせよ、こういう無線認証モノは光センサを内蔵して財布の中とか、ポケットの中にあるときは応答しないようにすればいいと思うんだけどどうかな?

    どうせ使うときは取り出して使うんだし、それ以外のときは応答しないようにすれば応答を盗まれるリスクが大幅に低下すると思うんだけど。
    • by tm-hal (5482) on 2005年02月01日 11時11分 (#686995) 日記
      Edyは使ったことないですが、Suica定期であればパスケースの中に入れたまま使用してます。
      出すのはチャージする時くらい。
      # 車掌or駅員に提示要求されたことは、今のところなし。

      通勤時見てると、大半の人がパスケースから出していません。
      パスケースから出して使わなければならないようになると、磁気カードと同じ手間が必要になって、利便性が低下するような気がします。

      利便性を追求するか、セキュリティ(手間)を考えるか。
      そこのバランスが難しいですね。

      # パスケースは薄いものが好きなのでID
      --
      ----tm-hal-----
      我々はM$だ
      お前達の知識と技術を吸収し、お前達の企業を買収する
      抵抗は無意味だ
      親コメント
      • by Anonymous Coward
        ポケットからは取り出してるって事だよね?
        それが検知できればいいんじゃ
        • by tm-hal (5482) on 2005年02月01日 12時24分 (#687014) 日記
          ポケットから「パスケース」を出して、Suica定期は「外に出さないで」タッチ&ゴーしています。
          しかも私のパスケースは二つ折りのタイプで、Suica定期はおろか乗り換え先の電車の定期、バスカード等も含めて表からは見えません。
          以前は両面に定期を入れられるようなタイプ(窓が空いていて定期の表が見えるようなやつ)のパスケースを使っていたので、そういうモノであれば光センサでも有効ですね。

          たまにですが、女性の中にはハンドバッグの底にSuicaを入れているらしく、ハンドバッグごとタッチしていく人も見かけます。

          # プレゼントは好みのパスケースが良いのでID(謎)
          --
          ----tm-hal-----
          我々はM$だ
          お前達の知識と技術を吸収し、お前達の企業を買収する
          抵抗は無意味だ
          親コメント
          • by raccoon (16317) on 2005年02月01日 12時32分 (#687018)
            > たまにですが、女性の中にはハンドバッグの底にSuicaを入れているらしく、ハンドバッグごとタッチしていく人も見かけます。

            いるいる。
            「ボスン!」とか音立ててハンドバッグ置くのを見るとそれなりに笑える。

            あとジャケットのポケットに入れてて、ジャケットをタッチしてる人とかね。

            品性はともかくとして、こういう利便性もあるのかと。
            親コメント
        • by Anonymous Coward
          それって光センサー「だけ」じゃ厳しいんでわ。
          #定期入のセンサー付近に穴あけなきゃね。
    • by Anonymous Coward
      普通財布から取り出さないと思うが。。
      あと、首からぶらさげるタイプのEdy対応社員証なんかだと
      光センサつけても無意味ですな。
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...