Kosten und Sicherheit im Widerspruch
Kosten und Sicherheit im Widerspruch
Anfang Jahr veröffentlichte ein Team um Avi Rubin von der John Hopkins University in Baltimore (USA) in Zusammenarbeit mit einigen Experten von RSA Laboratories einen Bericht, wonach sie gängige RFID-Tags (Radio Frequency Identification) mit Hilfe von billigen Komponenten innert nur zwei Monaten geknackt hätten. Die inkriminierten Tags aus der Fabrikation von Texas Instruments werden in den USA beispielsweise als Sicherheitselement in höherklassigen Autos und als kontaktloses Bezahlsystem an Tankstellen von Exxon genutzt – im Einsatz sind derzeit weltweit mindestens 160 Millionen Tags dieses Typs. Einmal im Besitz der Crack-Technologie, könnten Kriminelle nicht nur relativ einfach solcherart geschützte Autos klauen, sondern auch gleich noch kostenlos nachtanken, sollte dies auf der Flucht nötig werden.
Simpler Angriff
Dem Rubin-Team gelang es, mit einigen Low-cost-Prozessoren, Reverse-Engineering und Brute-Force-Attacken den proprietären 40-Bit-Verschlüsselungsalgorithmus auf den TI-Chips zu knacken. Der 40-Bit-Code, verkündeten die Wissenschaftler, sei einfach zu kurz für einen wirksamen Schutz. Immerhin zollten sie Texas Instruments Respekt, dass überhaupt eine Verschlüsselung verwendet wurde, was längst nicht in allen RFID-Systemen der Fall sei. Die Forscher weisen aber auch darauf hin, dass ihr Angriff bei dem von TI entwickelten sogenannten «Digital Signature Transponder» (DST) gelang, was aber nicht bedeute, dass es bei RFID generell ein Sicherheitsproblem gebe – um andere Sicherheitslecks zu finden, müsste zunächst weitergeforscht werden.