MIFARE DESFire - UID

Kurze Frage: Sehe ich das richtig das es auch bei den MIFARE DESFire Karten grundsätzlich möglich ist, sie - ohne irgendeinen Schlüssel zu kennen - anhand ihrer UID eindeutig zu identifizieren.

Grüße, Manuel

Reply to
Manuel
Loading thread data ...

Manuel schrieb:

Ja, es sei denn, "Random UID" ist eingeschaltet. Das wird zumindest von DESFire EV1 unterstützt.

Christian

--
Christian Zietz  -  CHZ-Soft  -  czietz (at) gmx.net
WWW: http://www.chzsoft.de/
 Click to see the full signature
Reply to
Christian Zietz

Am 11.10.2010 01:14, schrieb Manuel:

Wie Christian schon schrieb, ja, außer die UID ist randomisiert. Beachte aber, dass eine korrekt empfangene UID kein hinreichendes Kriterium zur Authentifizierung sein kann, da nicht kryptografisch gesichert (Emulation via Proxmark3 o.ä. problemlos möglich).

Viele Grüße, Johannes

--
>> Wo hattest Du das Beben nochmal GENAU vorhergesagt?
> Zumindest nicht öffentlich!
 Click to see the full signature
Reply to
Johannes Bauer

Am 11.10.2010 08:29, schrieb Johannes Bauer:

Ich hätte mal den englischen Wikipedia Artikel durchlesen sollen, da steht das auch drin.

Zur Abrechnung im Waschkeller hätte es mir gereicht, doch wenn sie es richtig machen wird unsere Uni wohl randomisierte UIDs verwenden.

Danke, Manuel

Reply to
Manuel

Am 11.10.2010 11:50, schrieb Manuel:

Randomisierte UIDs bieten eben einen Privacy-Vorteil. Einen privaten symmetrischen Schlüssel auf den Karten aufzubringen und Key Diversification zu nutzen macht das System auf jeden Fall erheblich sicherer als lediglich UIDs zu prüfen. Insbesondere wenn das ein Studentenwohnheim ist würde ich die Kombination "kluger Informatikstudent"/"gähnende Langeweile" nicht unterschätzen, daher ist das bestimmt keine schlechte Idee, es richtig zu machen. Macht richtig Laune so ein System auszuhebeln :-)

Viele Grüße, Johannes

--
>> Wo hattest Du das Beben nochmal GENAU vorhergesagt?
> Zumindest nicht öffentlich!
 Click to see the full signature
Reply to
Johannes Bauer

Manuel schrieb:

Nicht unbedingt. Ich würde nicht davon ausgehen, dass die Uni das eingeschaltet hat. Warum auch? (Afaik ist das halt nicht die Standard-Einstellung bei DESFire-EV1-Karten.)

Wenn ich mich richtig erinnere, hat z.B. meine aktuelle Londoner-Oyster-Card (auch eine DESFire) keine zufällige UID. Das einzige RFID-Tag mit zufälliger UID (bzw. PUPI, da ISO 14443B), das ich besitze, ist in meinem Reisepass.

Christian

--
Christian Zietz  -  CHZ-Soft  -  czietz (at) gmx.net
WWW: http://www.chzsoft.de/
 Click to see the full signature
Reply to
Christian Zietz

Am 11.10.2010 19:07, schrieb Christian Zietz:

Achso - ich hatte Manuel so verstanden, dass er ein System bei sich im Studentenwohnheim installieren wollte. Bin mir jetzt aber auch unsicher.

Singapur benutzt mit ihren CEPAS-Karten (vom System her quasi identisch zu Oyster) auch ein 14443B-System, das randomisierte IDs vergibt - aus Privacy-Gründen. Allerdings kommt man nach dem Selektieren eines Tags mit Hilfe einer in der offiziellen, nicht-geheimen Doku befindlichen APDU an die eindeutige ID - auch ohne sich zu authentifizieren.

Viele Grüße, Johannes

--
>> Wo hattest Du das Beben nochmal GENAU vorhergesagt?
> Zumindest nicht öffentlich!
 Click to see the full signature
Reply to
Johannes Bauer

Johannes Bauer schrieb:

Ich hatte mir das so zusammengereimt, dass Manuel die UID bestehender DESFire-Karten, für die er den Schlüssel nicht kennt, als Identifikationsmerkmal nutzen will. Sofern keine zufälligen UIDs verwendet werden (und das ist durchaus denkbar), ist das machbar. Nur halt nicht besonders sicher, wie Du schon angemerkt hast.

Christian

--
Christian Zietz  -  CHZ-Soft  -  czietz (at) gmx.net
WWW: http://www.chzsoft.de/
 Click to see the full signature
Reply to
Christian Zietz

Am 11.10.2010 22:06, schrieb Christian Zietz:

Genauso ist es und mittlerweile habe ich eine Rückmeldung von der Uni, die verwenden tatsächlich nicht-zufällige UIDs. Mir soll es auf das Projekt bezogen recht sein! Bezüglich der Sicherheit, das neue System würde eine Strichliste ersetzen. ;)

Grüße, Manuel

Reply to
Manuel

Am 11.10.2010 22:06, schrieb Christian Zietz:

Genauso ist es und mittlerweile habe ich eine Rückmeldung von der Uni, die verwenden tatsächlich nicht-zufällige UIDs. Mir soll es auf das Projekt bezogen recht sein! Bezüglich der Sicherheit, das neue System würde eine Strichliste ersetzen. ;)

Grüße und vielen Dank, Manuel

Reply to
Manuel

Was verwendet ihr denn an software? Ich habe eine netten RFID-Leser, aber irgendwie finde ich keine gescheite Windows-SW dafür, gezielt Felder auszulesen, zu ändern usw.

-ras

--
Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
 Click to see the full signature
Reply to
Ralph A. Schmid, dk5ras

Ralph A. Schmid, dk5ras schrieb:

Eine richtig überzeugende Software habe ich auch noch nicht gefunden. Ich nehme für Smartcards (egal ob kontaktbehaftet oder kontaktlos) momentan den JSmartCardExplorer [1], mit dem man beliebige APDUs senden und auch für einen erneuten Aufruf speichern kann.

Welche Kommandos man benötigt, um Felder zu lesen und zu schreiben, hängt natürlich von der Karte -- und bei RFID-Tags, die nicht zu ISO14443 Teil 4 kompatibel sind (z.B. Mifare Classic) vom Reader -- ab.

Christian [1] Allerdings in einer von mir gepatchen Version, die APDUs mit Le=256 (codiert als Le=0) unterstützt.

--
Christian Zietz  -  CHZ-Soft  -  czietz (at) gmx.net
WWW: http://www.chzsoft.de/
 Click to see the full signature
Reply to
Christian Zietz

Aah, OK, das Ding hatte ich schon mal, nach Migration auf 64-bt OS vergessen zu retten, und ich habe es um's Verrecken nicht mehr gefunden. Schon mal besser als nix, danke!

Ja, klar, eine GUI wäre schöner, aber irgendwas is' ja immer.

-ras

--
Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
 Click to see the full signature
Reply to
Ralph A. Schmid, dk5ras
080908090101030104060404 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit

Ralph A. Schmid, dk5ras schrieb:

Anbei übrigens mein Patch, fixt ein kleines Problem mit der GUI und ermöglicht APDUs mit Le=256 (eingeben als Le=0).

Christian

--
Christian Zietz  -  CHZ-Soft  -  czietz (at) gmx.net
WWW: http://www.chzsoft.de/
 Click to see the full signature
Reply to
Christian Zietz

ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.