RFID Schließanlagen ersetzen immer häufige klassische Schließanlagen. Ihre hohe Flexibilität in der Verwaltung der Schließberechtigungen verführt viele Kunden zum Tausch der klassischen Schließanlage gegen eine RFID-basierte Schließanlage. Gleichzeitig wünscht und erwartet der Kunde weiterhin eine hohe Sicherheit und die Abwehr nicht-autorisierter Zutritte.
Werden 125kHz Transponder eingesetzt, so ist diese Sicherheit nicht gegeben. Alle marktüblichen 125kHz Transponder können trivial einfach emuliert werden. Die eingesetzten Crypto-Algorithmen weisen eine ungenügende Komplexität und häufig weitere Schwachstellen auf, die das Brechen des verwendeten Schlüssels in wenigen Minuten erlauben. Des Weiteren werden häufig von den Schließanlagen Transponder genutzt, welche die Kennwörter im Klartext übertragen oder ganz auf eine Authentifizierung und Verschlüsselung verzichten. Hier genügt die Emulation der von Transponder genutzten UID.
Im speziellen Fall des Hitag-S ist der Angriff ein wenig aufwändiger. Bei einem Hitag-S mit Verschlüsselung ist zunächst ein Zugriff auf den Hitag-S Transponder erforderlich. Dabei wird die herstellerseitige UID ausgelesen. Dann wird ein Transponder mit der UID emuliert und einem Schließzylinder präsentiert. Die Kommunikationsversuche werden mitgeschnitten. Hiermit wird der Hitag-S-Schlüssel gebrochen. Mit Hilfe des gebrochenen Hitag-S-Schlüssels wird ein neuer Zugriff auf den ursprünglichen Hitag-S-Transponder unternommen und dieser vollständig ausgelesen. Die erhaltenen Informationen können genutzt werden, um den Hitag-S-Transponder zu emulieren.
Wir haben unsere Erkenntnisse auf dem 32c3 vorgestellt. Außerdem haben wir einige Advisories veröffentlicht. Um einen Überblick über die Transponder und ihre Sicherheitsfunktionen zu erhalten, haben wir eine Tabelle (Stand 08.01.2016) zusammengestellt, die sich noch in Bearbeitung befindet.
Falls ein bestimmter Transponder nicht in der Tabelle enthalten ist oder Sie eine Beratung oder die Demonstration des Angriffs wünschen, nehmen Sie bitte mit uns Kontakt auf.
Um die technischen Möglichkeiten bei der Emulation von Transpondern zu demonstrieren, haben wir zwei Videos auf Youtube veröffentlicht. In dem ersten Video wird der EM4102 und in dem zweiten Video der EM4x50 Transponder emuliert. Zahlreiche Zutrittskontrollsysteme nutzen diese Transponder noch heute.