Žaloba na univerzitu za prolomení RFID
Nehledě na to, jaký je to průšvih pro NXP, musíme opět kroutit hlavou. RFID je poměrně kontroverzní a principelně proti lidským svobodám zneužitelná záležitost, ale bez ohledu na toto konkrétní nasazení RFID má NXP zaděláno na velký problém. Pokud bude informace skutečně zveřejněna, mohlo by to mít pro NXP dalekosáhlé následky a tak v tom hodlají nizozemské Radboud University Nijmegen zabránit všemi prostředky. Konkrétně ji žalují za povolení vědcům ke zveřejnění informací o prolomení RFID čipu MiFare Classic, což tito budou (nebo nakonec možná nebudou, uvidíme) prezentovat na bezpečnostní konferenci ve Španělsku konané letos v říjnu (šifrování systému samo je prolomeno již od loňska).
Dle Karstena Nohla, studenta z příslušného výzkumného týmu, je však klíčové, že publikování proběhne na akademické konferenci, kde mohou výzkumníci pracovat na řešení. Dle něj NXP nevolí dobrou cestu, akademická půda je místo, kde může být vyvinuta rychle náprava a čím více vědců se tím bude zabývat, tím rychleji se tak stane.
Problém slabého šifrování bezpečnostních karet s těmito RFID čipy spočívá v tom, že zkušené osobě stačí pouze notebook, scanner a pár minut času na získání šifrovacího klíče k danému dveřnímu zámku a základ pro duplikát je na světě. Bezpečnostní karty totiž využívají rádiové čipy, takže scanování není problémem, stačí aby osoba s kartou v kapse vylezla z budovy a prošla kolem útočníka s notebookem a scannerem v batohu. Útočník taktéž může vytáhnout data z čtečky u dvěří. Z nich pak vyextrahuje šifrovací klíč, celý proces přitom trvá méně než dvě minuty.
MiFare čipy přišly na trh v roce 1994, kdy jejich 48bitová délka klíče byla více než dostatečným zabezpečením. Jenže svět IT pokročil a takto slabá ochrana se, jak prezentuje student z univerzity, dá prolomit téměř v reálném čase.
NXP žádné stahování MiFare neplánuje. Mezitím již dříve vyvinuli MiFare Plus, zpětně kompatibilní produkt se silnějším šifrováním, ale po zjištěních z Nizozemské univerzity se rozhodli jej neuvést na trh a naopak provést redesign na základě těchto informací.
Univerzita přitom již v březnu předala veškerá zjištění výzkumníků jak firmě NXP, tak národní instituci Dutch Signals Security Bureau of the General Intelligence and Security Service.
V podstatě tak chápeme postoj NXP, která zkrátka asi nestihne do října zareagovat, vše napravit a rozdistribuovat po světě miliardy nových čipových karet. Na druhou stranu žalovat akademickou instituci za něco, na co byla již před několika měsíci velice detailně upozorněna a co se jako skutek ještě vlastně nestalo, je „velmi hrubé“. Na druhou stranu ale nechceme soudit, nevíme, co vše tyto „děravé“ karty vlastně chrání a v případě, že by zabezpečovaly přístup k řadě klíčových sýstémů v mnoha zemích světa, je bezpochyby jasné, že zde leží zájem bezpečnosti, ochrany soukromí a dalších aspektů týkajících se mnoha obyvatel planety, nad výzkumnickými touhami několika vědců z jedné univerzity.