Transponder Bezahlkarten

oder besser gesagt so sicher wie eben es die gegenwärtigen mathematischen Kenntnisse der Suppercracks auf diesem Gebiet sind. Auch die Texte von Cryptospezialisten enden immer irgendwie 'ich bin mir selber nicht so sicher' oder ähnlich, 'aber niemand hat es bis jetzt gecknackt'.

na ja erraten wird es nicht so einfach gehen, immerhin ware bis vor einigen Jahren eine nur mit 40bit symetrieschlüssel zumindest ausserhalb USA üblich in SSL und so. USA hat den Export von grösseren Verschlüsselungen verboten.

Nun haben wir DES/3DES mit effektiver Schlüssellänge von 56 bit und dies gilt bis heute, nach dem heutigen Stand der Technik und Kenntnissen der Cryptoanalytiker als vorläufig nicht zu brechen. da sich pro bit der Zaitaufwand halbiert, ist 48 bit schon schnller fertig, aber ob es trozdem so einfach gehen könnte?

DES bei den heutigen Rechenleistungen durchaus, wenn man sich ein wenig Mühe gibt. Praktisch im Einsatz kenne ich DES auch heute noch im Sprechfunk, und da ist die Information längst überholt, bis der Schlüssel gefunden ist, also was solls.

"Otto Sykora" schrieb im Newsbeitrag news: snipped-for-privacy@4ax.com...

Auch durch staendige Wiederholung deinerseits wird's nicht richtiger.

DES haelt keine 22 Stunden:

--
Manfred Winterhoff, reply-to invalid, use mawin at gmx dot net
homepage: http://www.geocities.com/mwinterhoff/
de.sci.electronics FAQ: http://dse-faq.elektronik-kompendium.de/
Read 'Art of Electronics' Horowitz/Hill before you ask.
Lese 'Hohe Schule der Elektronik 1+2' bevor du fragst.

DES ist doch komplett dokumentiert, da sehe ich kein Problem.

"Otto Sykora" schrieb im Newsbeitrag news: snipped-for-privacy@4ax.com...

Was ist denn das fuer eine krude Definition ?

Eben

Ja und ?

Sicher. Voraussetzung.

Wo nun ? Im (manipulierten) Leser oder in der (originalen) Karte?

Bla

Ach.

Ich frag(t)e was anderes: Gibt es ueberhaupt ein sicheres Verfahren (zum Geldaustausch per Geldkarte mit maximal einer manipulierten Seite), selbst wenn eine Seite alles richtig programmiert hat?

Und sage: NEIN

Nein, so schlecht sind die Jungs nicht. Wir duerfen voraussetzen, das ein Verfahren eingesetzt wird, z.B. RSA, sicher in dem Sinn ist, das nur brute force hilft. Dennoch ist meiner Meinung nach keine sichere (in dem Sinne, das kein zusaetzliche Geld erfunden werden kann) Geldkarte denkbar, nicht mal theoretisch.

--
Manfred Winterhoff, reply-to invalid, use mawin at gmx dot net
homepage: http://www.geocities.com/mwinterhoff/
de.sci.electronics FAQ: http://dse-faq.elektronik-kompendium.de/
Read 'Art of Electronics' Horowitz/Hill before you ask.
Lese 'Hohe Schule der Elektronik 1+2' bevor du fragst.

Philips murmelt zwar was von "600 Mio Mifare Karten" ( innerhalb

10 Jahren ), aber die Vorzeigeprojekte hierzulande sind Feldversuche von Nahverkehrsunternehmen oder Prestige-Events a la WM ( wo bestimmt niemand kosteneffektiv sein wollte ). Eine wirklich breite Durchdringung ist das nicht.

/ Key features / Open DES/3DES crypto algorithm in hardware / Open AES128 crypto algorithm in hardware Der DES wird nicht viel Fläche wegnehmen, aber AES habe ich als weniger frugal in Erinnerung. Wenn sie sich ihres Marktes so sicher wären warum dann doppelt gemoppelt ?

/ Key applications / Advanced public transportation / High secure access control / Event ticketing / e-Government / Identity

Wenn wo "Advanced" dabeisteht dann ist es meist nicht richtig real, lernen wir von den Amerikanern. "High secure access control" macht keine Stückzahlen wenn nicht jemand die ganze Bundeswehr damit ausrüsten will. "e-Government" im Sinne von z.B. der Krankenversicherungskarte konkurriert mit konventioneller Chipkarte, da das kein outdoor/Schmutz-Anwendung ist. Der Kleinkram a la Mensa wird eher über minimalen Preis als hohe Sicherheit entschieden.

MfG JRD

ja , die transport Anwendungen die ich je angetroffen habe, fallen meiner Meinung an auch in low cost oder 'Mensa' Kategorie. Singapore und Bangkok hat es, aber es ist natürlich das billigste was es auf dem Markt gibt.

Habe da gerade auch eine Sendung von Karten die Chipkarte mit den normalen KOntakten haben und die RFID Systeme drin. Nicht sehr schön die HF Eigenschaften leiden unter der Chipkarte, der Leser ist schwer abzustimmen, aber der Kunde ist ja König.

Ob die wirklich 80% des Marktes haben weiss ich nicht, es behaupten viel andere sie seien Markleader.

Allerdings ist es seit der ISO Normen für die Sachen etwas konstruktiver geworden deneke ich. Alle müssen sich zuerst mal an die ISO Normen halten, dann erst eigene Ideen verwirklichen, sonst sind sie vom Markt. Vieles was irgendwie öffentlicher Diesnt ist, mit Steuegeldern bezahlt wird, macht die ISO Normen zur Pflicht, alle mitbewerber müssen sich dran halten, sonst können sie es nur bei sich zu hause montieren.

Ungenügende Allgemeinbildung bezüglich gängiger Verschwörungstheorien. DES sollte per öffentlicher Ausschreibung ( ähnlich wie AES ) aus verschiedenen eingereichten Kandidaten ausgewählt werden. Man hatte aber Mühe überhaupt nur einen brauchbaren Vorschlag zu bekommen ( die späteren DES-Kritiker legten selber ja nichts vor ) also wurde es Feistel/IBM. Man war aber vorsichtig genug den Entwurf vor Verabschiedung der einzigen Regierungsstelle die sich auf das Thema verstand d.h der NSA vorzulegen, die auch prompt kommentarlos kleinere Änderungen vornahm. Daraufhin wildes Geschrei der Kritiker die nicht wußten warum die NSA geändert hatte, aber furchtbares vermuteten ( Watergate war gerade vorbei ). Heute, Jahrzehnte später, sind auch die Akademiker soweit wie die NSA damals war und kann die Änderungen erklären: es ging um die Resistenz gegen differential cryptoanalysis zu verbessern. Aber wie bei allen Legenden ( Reichtagsbrand, Sacco & Vanzetti ) erreicht man das breite Publikum nichtmehr, da dieses banale Wahrheit weniger gern als Vorurteile hat.

MfG JRD

Der Text zählt hauptsächlich theoretische und unpraktikable Versuche auf die den Wert von DES und den Unwert der Kritiker belegen.

/ The consensus of the cryptographic community is that DES is / not secure, Das ist das was Diffie Hellman 1977 auch behauptet haben. Die Realität war aber eine andere: DES ist für übliche kommerzielle Anwendungen für die es gedacht war ausreichend. Für die NSA und den KGB wars ja nicht gedacht.

/ Most recently, a DES cracking machine was used to / recover a DES key in 22 hours; Gegen die NSA vielleicht nur 2 Stunden, aber gegen MaWin mit einem simplen PC hält DES wohl 22 Jahre.

MfG JRD

Lies es nochmal: die Designgrundlagen sind nicht öffentlich.

Warum sind die S-Boxen so, wie sie sind? Optimisten sagen: die NSA hat die S-Boxen so gewählt, weil sie so sicher gegen differentielle Kryptanalysis sind. Pessimisten sagen: die NSA hat so eine gut ver- schleierte Backdoor eingebaut.

XL

Klar, wie auch? Wenn man die Möglichkeit hat alles exakt nachzubilden, wer soll dann einen Unterschied bemerken? Das gilt aber auch für Geldscheine. Wenn ich Herr über ne Gelddruckerei bin, kann ich mir theoretisch auch meine eigenen Scheine drucken, mit allen Sicherheitsmerkmalen. Allerdings braucht man dann nicht nur die Mittel eine Karte exakt wie das Original zu fertigen, man muss das Original auch erstmal analysieren können, und hier kann man vielleicht ansetzten. Was auch helfen könnte, ist eine Seriennummer die sicherstellt, dass jede Karte nur einmal existiert. Um damit sicherzustellen, dass eine Karte nicht kopiert wurde müsste der Zentralrechner aber permanent mit allen Karten im System verbunden sein um eine doppelte Seriennummer zu erkennen. Und wenn eine Karte ausfällt das ganze System anhalten, ob das so benutzerfreundlich wäre...

Gruss, Michael

In meinem Posting auf welches du geantwortet hast ging es konkret um diese Karte:

Mir ist schon klar, dass ich alle Infos über DES und Co bekomme, aber wo ist konkret der Algorithmus beschrieben, der in dem Datenblatt da oben mit

CRYPTO1 stream cipher

benannt wird? Wenn es ein Gängiger ist, reicht es natürlich auch, wenn du uns dessen Namen nennst. ;)

Gruss, Michael

Und haben in all den 30 Jahren nicht darstellen können wie die konkret funktionieren würde. SKIPJACK/Clipper hatten sie explizit. Aber der SKIPJACK Algorithmus war deshalb ja classified und wäre nur in "tamper resistant hardware" ( d.h. als Clipper Chip ) geliefert worden. Sonst hätte man ja bald feststellen können wie der Zugang konkret funktioniert und plötzlich hätte man jede Menge Mitbenutzer gehabt.

MfG JRD

In article , Otto Sykora writes: |> Also ein BF auf DES mit Heim PC? Kann mir nicht Vorstellen.

Warum nicht? Wer sprach davon, daß das in 2 Sekunden erledigt sein soll?

Pro Block bewegst Du dich größenordnungsmäßig im Bereich von 240-450 Zyklen, je nach x86-Modell. 3*10^9/[240:450]=[6.666.666:12.500.000], d.h. grob zwischen 6 und 12 Millionen Blöcke pro Sekunde.

Der Schlüsselraum ist 2^56, d.h. schlimmstenfalls brauchen wir auf einem Einzelprozessor 139 Tage für die Brute-Force-Attacke. Ich kenne Leute, die haben ihren C64 so lange an der 5. Iteration von Apfelmännchen rechnen lassen... Ganz ohne die Möglichkeit von kostenlosem Essen.

Mit Dual-Core etwa doppelt so schnell, vielleicht macht noch ein Freund mit oder man hat als Student Zugriff auf ein nettes Institutscluster... Mal über die Weihnachtsferien laufen lassen, wenn's keiner merkt, und gut.

|> wenn jemand 'nur' DES will, kommt sein System billiger, wenn jemand |> 3DES will kommt es etwas teuerer.

Was natürlich nicht wirklich in der Hardware begründet liegt, denn der Speicher für die 2-3 zusätzlichen Schlüssel ist so teuer nicht.

Bei den kleinen Nachrichtengrößen wird man sicher keine 3 DES-Einheiten springen lassen, auch wenn sie in Hardware nicht wirklich aufwendig sind.

|> Es gab so Gerüchte, dass jemand zum Bsp die hash MD5 mit einem PC |> zurückberechnet hat. Wohl in eineigen sehr speziellen Fällen war es |> möglich mit einem Grossrechener, auch paralell Attacken von einigen |> Tausend PC sind bekannt, aber so einfach scheint es dann gleich nicht |> zu sein.

Du kannst einen MD5-Hash nicht "zurückberechnen", das ist keine bijektive Abbildung.

Was Du vermutlich meinst, ist, daß die Möglichkeit existiert, *sinnvolle* Kollisionen zu erzeugen, d.h. zu einem gegeben MD5-Hash eine tatsächlich sinnvolle Datei zu erzeugen, die allerdings ganz was anderes beinhaltet als das Original.

Das Problem ist schon seit mindestens 14 Jahren bekannt, seit ca. 2003/4 ist man tatsächlich in der Lage, das sinnvoll auszunutzen. Dito für SHA-0 und in Ansätzen für SHA-1, wenn ich mich recht entsinne.

Drum verwendet man in sensiblen Umgebungen schon lange nicht mehr den rohen Hash sondern HMAC, seit 2006 scheint auch das aus kryptographischer Sicht endgültig nicht mehr sicher zu sein.

Daß MD5/SHA1 weiterverwendet werden, hat in erster Linie pragmatische Gründe. Auch mit AES wurde (3)DES ja nicht gleich ad acta gelegt, sondern fährt so langsam aus. Zu groß ist die Verbreitung.

Deshalb ist es -- aus kryptographischer Sicht -- nicht sicher.

Rainer

In article , Rafael Deliano writes: |> Grundsätzlich sind alle bekannten kryptographischen Algorithmen |> "in Verruf" weil irgend ein Akademiker/"Experte" behauptet/andeutet |> er "könnte" und das gierig in c´t/Bildzeitung weiterverbreitet wird.

Man muß hier ja grundsätzlich unterscheiden zwischen "tut's für den Allgemeingebrauch" und "soll im sensiblen Umfeld eingesetzt werden".

Und zwischen "brute force" und echten kryptanalytischen Methoden...

Ist ja nicht so, als wären nicht schon sinnvolle Daten passend zu einem vorgegebenen Hash erzeugt worden.

Rainer

In article , snipped-for-privacy@atbode100.lrr.in.tum.de (Rainer Buchty) writes: |> Der Schlüsselraum ist 2^56, d.h. schlimmstenfalls brauchen wir auf einem |> Einzelprozessor 139 Tage für die Brute-Force-Attacke.

Ich hasse das ja, wenn ich mich selbst korrigieren muß, aber bevor mich jemand anderes drauf aufmerksam macht, es sind natürlich 139000 Tage.

Dämliches 1000er-Komma bei kcalc.

Rainer

In article , Otto Sykora writes: |> Auch die Texte von Cryptospezialisten enden immer irgendwie 'ich bin |> mir selber nicht so sicher' oder ähnlich

Das wohl kaum, denn das wäre wissenschaftlicher wie wirtschaftlicher Selbstmord.

Und gerade z.B. beim AES-Auswahlverfahren hat sich niemand drücken können, denn da wurden die Algorithmen von der direkten Konkurrenz und noch weit mehr auseinandergenommen und auf Schwachstellen beleuchtet.

Aber ich nehme gerne Textverweise entgegen, wo sich z.B. ein Bruce Schneier die von Dir beschriebene Blöße gibt.

Rainer

In article , "Ralph A. Schmid, DK5RAS" writes: |> Hergen Lehmann wrote: |> |> > Zudem haftete DES schon immer der Makel |> >an, daß seine Designgrundlagen nicht vollständig offenliegen |> |> DES ist doch komplett dokumentiert, da sehe ich kein Problem.

Ach? Nach welchem Prinzip sind die S-Boxen konstruiert?

Rainer