Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Nachrichten IT/Computer Mit Open-Source-Tool Chipkarten testen

Mit Open-Source-Tool Chipkarten testen

Archivmeldung vom 16.09.2011

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 16.09.2011 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt
Bild: Benjamin Klack / pixelio.de
Bild: Benjamin Klack / pixelio.de

EMV-Chips sollen auf EC- und Kreditkarten die als angreifbar geltenden Magnetstreifen ersetzen. Doch der sicherste Hardwarechip nützt nichts, wenn sich auf ihm manipulierbare Software befindet. Mit einem neuen Open-Source-Tool können Chipkarten jetzt auf Sicherheitsschwächen untersucht werden, schreibt das IT-Profimagazin iX in der aktuellen Oktober-Ausgabe.

Heute hat fast jede deutsche Kredit- oder EC-Karte einen EMV-Chip, wobei das EMV für Europay, MasterCard sowie VISA steht. Neben der Bezahlapplikation dienen diese sogenannten Smartcards als RFID-Controller, beispielsweise im elektronischen Pass oder im neuen Personalausweis. Darüber hinaus werden sie als elektronische Fahrscheine, als Altersnachweis zum Beispiel am Zigarettenautomaten oder für den Zugang zu Pay-TV-Programmen eingesetzt. Auf dem Smartcard-Chip befindet sich ein kleiner Computer mit ROM, in dem Betriebssystem und Anwendungssoftware untergebracht sind. Außerdem gibt es einen Flash-Speicher für dynamische Daten, ein Rechenwerk und RAM.

Alle bisherigen Sicherheitsstandards basierten auf der Annahme, dass die Smartcards "sicher" sind, und konzentrierten sich folglich auf die Verkaufsterminals. Bisher bestand keine technische Möglichkeit, die Software direkt auf der Smartcard individuell zu analysieren und von Sicherheitsexperten Penetrationstests durchführen zu lassen. Nun ist es Forschern um den Krypto-Experten Karsten Nohl gelungen, ein Open-Source-Tool zu schreiben, mit dem man selbst entwickelte Verschlüsselungsalgorithmen und andere Sicherheitssünden einfacher aufspüren kann.

Ist dieser Verschlüsselungsalgorithmus von RAM und ROM bekannt, gilt es nur noch den Schlüssel dafür zu finden. "Häufig ist dieser aus Kostengründen im billigen ROM und nicht im Flash abgelegt und somit nicht sicher. Ebenso wenig wie Programm und Betriebssystem, wenn sie auf der Smartcard im ROM abgelegt sind, denn dann kann man sie auslesen und entschlüsseln", erläutert iX-Redakteurin Ute Roos." Nutzt man hingegen den teureren Flash-Speicher, sind Schlüssel und dynamische Daten sicher. Denn diesen kann man nur mit extrem teuren Werkzeugen mit Nadeln auf der Leiterbahn auslesen. Entwickler sollten daher alles, was sie als schützenswert erachten, nicht mehr im ROM, sondern im Flash speichern, rät die Expertin.

Quelle: iX-Ausgabe 10/2011

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte praxis in folgendes Feld um den Spam-Filter zu umgehen

Anzeige