最近,不少媒体争相报道了以下一则消息:2008年2月,荷兰政府发布了一项警告,指出目前广泛应用的恩智浦(NXP)公司的Mifare RFID产品所赖以保证安全的密钥存在很高的风险,警告是在两位专家宣称破解了Mifare Classic的加密算法之后立即发布的。随后不久,伦敦公交使用的Mifare被成功克隆。某研究小组甚至使用克隆的预付费公交卡免费乘坐了伦敦地铁。
虽然这一行动纯属学术性行为,但其所可能引发的连锁反应已使Mifare芯片技术的所有者荷兰恩智浦半导体感到了问题的严重性。不出NXP所料,荷兰政府很快便宣布推迟了基于同样技术的预付费智能交通卡的实施,并且更换了用于政府大楼门禁系统的Mifare卡。
恩智浦公司有不同级别的芯片,此次被破译的是在全球广泛使用占据80%份额的非接触智能卡Mifare Classic芯片,其主要用于RFID的门禁控制、校园一卡通、城市公交、地铁等支付领域。自1994年Mifare卡问世以来,全球共有50个国家,650个城市在使用Mifare卡,目前市场已销售十亿张卡,八亿多张标签,全球注册登记的共有7800家卡片及读写器生产商,在四十多种应用跨行业使用,其中中国也有140多个城市在使用。因此这项“成果”引起了不小的恐慌,人们担心:一个掌握该破解技术的小偷可以自由进出政府大楼或公司办公室。
对于Mifare Classic芯片加密算法被破解一事,NXP已经在其公司网站向业界发表声明。声明表示非常遗憾相关研究人员公布Mifare Classic的协议以及算法细节和实际破解方法,但NXP已经就此事与研究人员展开对话进行和解,并就破解及应对措施对行业合作伙伴采取了一系列沟通措施。
据深圳达实智能股份有限公司市场总监黄志勇介绍,在与业界合作伙伴沟通时,恩智浦总结并提出破解需要以下前提:需要购买国外提供破解方案组织的专用设备(此设备已根据相关政府组织规定禁止出售);或需拿到正在使用中的原系统的读卡设备;需要接触到正在使用中的用户卡片,以上条件具备后,复制一张卡需要10-30分钟。如果采取这种破解方式,只要有足够的时间,理论上任何密码都能破解。而本次密钥的破解也只针对使用标准钥匙算法出现的风险事件,并不代表所有使用Mifare产品的加密机制全部直接采用原有钥匙。
作为Mifare Classic芯片生产厂商,NXP希望及时升级所有使用Mifare Classic的基础设施,以便系统集成商及设备商可以采取适当方式提升用户系统的安全性。同时,荷兰恩智浦半导体针对此事件提出了两个解决方案:1、分散存储密钥,通过Mifare卡的UID号、不同扇区与用户密码生成新的密钥;2、全面升级更换为与Mifare卡兼容的Plus卡。但两种方案都需要对相关程序进行升级。
针对NXP大举推动Plus卡的行动,有人质疑这是否为当前经济危机下NXP采取的一种商业炒作行为。恩智浦公司对此否认并表示,作为一家重视声誉与品牌建设的全球芯片商,NXP公司对于这件事情的态度非常谨慎,不会采用极具有风险的方式达到商业目的。
是技术缺陷?还是商业炒作?也许真正让用户关心的是密钥危机会带来哪些影响。也许,业内专家及产业人士的看法可以给我们一些参考。
您可能也喜欢这些文章
资讯是全球知名展览公司百科展览集团旗下的专业媒体平台,自1994年品牌成立以来,一直专注于安全&自动化产业前沿产品、技术及市场趋势的专业媒体传播和品牌服务。从安全管理到产业数字化,资讯拥有首屈一指的国际行业展览会资源以及丰富的媒体经验,提供媒体、活动、展会等整合营销服务。
粤公网安备 44030402000264号
