25.01.12 | kl. 07:59 | Aktuelt, Prosabladet
Kritik: Rejsekortet er inficeret med børnesygdomme
Det er en klar fejl at blive ved med at bruge den forældede Mifare-kryptering som platform til Rejsekortet, mener Christian Panton, der for to år siden viste, hvor let man kan rejse gratis på kortet. Foto: Lars Bertelsen.
Da jeg i januar 2010 stod i TV-Avisen og demonstrerede, hvor let det var at få adgang til og ændre i de data, der ligger på Rejsekortet, troede jeg, at det ville gøre indtryk på selskabet bag kortet.
Men her to år efter kan jeg konstatere, at Rejsekortet, som i skrivende stund er ved at blive rullet ud i hovedstadsområdet, fortsat baserer sig på sikkerhedsforanstaltninger, som længe har været betragtet som usikre.
Ligesom for to år siden er min holdning, at det er en helt klar fejl at blive ved med at bruge Mifare som platform.
For 17 år siden, i 1995, indledte en gruppe trafikselskaber arbejdet med at erstatte de allerede dengang aldrende klippekort-automater med et moderne elektronisk rejsekort. Året før var det nye RFID-baserede hukommelseskort Mifare blevet introduceret og var på det tidspunkt, hvor trafikselskaberne begyndte deres arbejde, på vej til at blive grundlaget for et nyt elektronisk rejsekort introduceret i Seoul, Korea.
Mifare-kortet vandt stor udbredelse som elektronisk rejsekort kloden rundt, blandt andet i London, Beijing og Taipei. Mifare var således et populært produkt i branchen og blev derfor også brugt som grundlag til en specifikation af et fælles nordisk rejsekort, der blev udviklet i samarbejde med danske trafikselskaber omkring årtusindskiftet. Den store vision var, at kortet skulle virke på tværs af operatører, på tværs af landegrænser.
Sikkerhed fra 90'erne
Mifare-kortets hukommelse er beskyttet af hemmelige 40 bits-nøgler, og kommunikation imellem kortet og kortlæser er krypteret. Kortet blev ligefrem markedsført på dets brug af en hemmelig proprietær krypteringsteknologi. Det fik i 2007 et hold forskere til at kaste sig over den krypteringsalgoritme, der blev benyttet. Efter et stykke enestående detektivarbejde, hvor Mifare-chippen blev kortlagt med mikroskop og billedgenkendelse af de logiske kredsløb, lykkedes det at finde den algoritme, der blev benyttet.
Det viste, at krypteringsalgoritmen havde store svagheder, især fordi den aldrig var blevet set efter i sømmene af uafhængige forskere. Efter at resultaterne blev fremlagt i 2007, har forskere fundet yderligere problemer i måden, hvorpå krypteringen er implementeret. Dette ledte til, at man i 2009 kunne bryde nøglerne på kortet blot ved brug af en computer og en billig usb-kortlæser.
Fejl i sikkerhedssystemer og svagheder i krypteringsalgoritmer har en karakteristisk failure-mode, som i høj grad minder om dæmninger. Når først der er kommet et lille hul, går der ikke længe, før dæmningen bryder sammen. I en lidt mere sejlivet version findes en krypteringsalgoritime fra 70'erne kaldet Data Encryption Standard, DES. I et forsøg på at gøre opmærksom på DES' aldrende eksistens viste den amerikanske borgerrettighedsorganisation EFF i 1999, at den med en anskaffelse af specialdesignet hardware til en kvart million dollar, kaldet deep-crack, kunne bryde DES' kryptering på 4½ dag i gennemsnit. En tilsvarende øvelse i dag ville kunne gennemføres ved brug af grafikkortene i en håndfuld spillecomputere.
Hul på Rejsekortet
Da det gik op mig, at Rejsekortet var baseret på Mifare, skyndte jeg mig til Høje Taastrup Station og bestilte et sådant, således at jeg kunne blive test-pilot på en strækning på Vestsjælland. Efter lidt tid lykkedes det da også at få dumpet hukommelsen ned i en fil på min computer. Det stod imidlertid klart, at det ikke var umiddelbart til at tyde, hvad de forskellige dele af hukommelsen repræsenterede. Til mit held viste det sig dog, at specifikationen til en tidligere version af Rejsekortet var blevet offentliggjort år tidligere, men nyere versioner blev ikke længere offentliggjort efter opdagelsen af sikkerhedsproblemerne med plastikkortet. Efter timers interessant læsning stod følgende klart:
For at spare på pladsen på kortet og minimere transaktionstiden er alle dataformater ikke nødvendigvis byte-aligned og kan have ulige antal bits, således at de ikke optager mere plads end nødvendigt. Alle de vigtige dele af kortet er beskyttet af en kryptografisk signatur. Denne signatur bliver dannet ved hjælp af DES. Og til genereringen af denne signatur samt til krypteringen af kommunikationen med kortet anvendes det samme sæt nøgler til alle brugere.
Dette betyder, at bryder man nøglerne på blot ét kort, vil disse være gyldige for alle Rejsekort. Derfor skal der forholdsvist lidt til, før Rejsekort A/S mister monopolet på at udstede billetter. Særligt fordi nye smartphones i dag leveres med indbygget Mifare-kortlæser, således at snydetampe ikke skal ud og investere i kompliceret udstyr.
Security through obscurity
Auguste Kerckhoff formulerede allerede i 1883, at design af sikkerhedssystemer ikke bør hemmeligholdes, på nær nøglerne til systemet. Dette princip betyder ofte, at man ikke kan sikre sine systemer udelukkende på baggrund af hemmeligholdelse af dets funktion. Tværtimod viste det sig, da der blev kigget nærmere på Mifare, at der var store kryptografiske, og mindst lige så store implementationsmæssige, problemer i kortets design.
Tilsvarende er det stadig min påstand, at Rejsekortet lider af de samme problemer. Det bliver ikke bedre af, at specikationerne til dataformaterne hemmeligholdes, således at det ikke er muligt for tredjeparter som mig at undersøge, hvordan det faktisk står til. I hvert fald er det værd at bemærke, at samtidigt med at specifikationerne til kortet blev udformet, og hele verden stod på den anden ende for at gennemteste og eliminere eventuelle Y2K-bugs, lykkedes det i iver over at spare bits på kortet at klemme et hhv. år 2021-, 2031- og 2041-problem ind i specifikationen.
Signaturene på kortet baseres stadig på en krypteringsalgoritme, som skulle være pensioneret i 1999, og hvis man kunne låne en netcafé i et par dage, ville man kunne finde nøglen og selv lægge gyldige billetter på kortet med sin mobiltelefon. Dertil eksisterer der sikkert allerede en lang række replay-angreb, som der endnu ikke er taget højde for.
Nu er jeg stor tilhænger af offentlig transport, og jeg håber ikke, at folk vil spilde en masse CO2 på at finde disse nøgler. Men det ærgrer mig, at det, allerede inden kortet for alvor er i landsdækkende drift, har så slæbt så mange børnesygdomme fra 90'erne med sig, som softwareverdenen for længst har opbygget resistens over for.
-
Hård kritik af Rejsekortet
Rigsrevisionen konkluderede i juni 2011, at selskabet bag Rejsekortet ikke i tilstrækkelig grad havde sikret sig, at dets leverandør forstod ønskerne til systemet. Rejsekortet er blevet forsinket mindst fire år som følge af blandt andet leverandøren East-West Denmark Aps’ overskridelse af tidsfristerne for delene til kortet.
Også kortets brugervenlighed er blevet kritiseret i medierne, herunder de forvirrende ens tjek ind- og tjek ud-maskiner samt de 40.000 dummebøder, der er blevet udstedt til folk, der har glemt at tjekke ud på to millioner rejser. Softwareguru Poul-Henning Kamp har en lang række kritikpunkter mod Rejsekortet. Læs nogle af dem på hans blog her: ing.dk/artikel/119821-rejsekort-review.
-
Svar fra Rejsekort A/S
Direktør i Rejsekort A/S Bjørn Wahlsten svarer følgende på kritikken:
Vi følger løbende udviklingen på sikkerhedsområdet, ikke kun her i Rejsekort A/S, men også sammen med en række af andre trafikselskaber med tilsvarende løsninger, som vi har et tæt samarbejde med. Vi har endvidere taget en række skridt til at forbedre sikkerheden omkring Rejsekortet, på såvel kort som langt sigt. Ligesom andre selskaber, der beskæftiger sig med beslægtede områder, offentliggør vi naturligvis ikke de metoder og formater, der knytter sig brugen af Rejsekortet.
I forhold til snyd på de eksisterende billettyper er der reelt set intet problem, og hvis nogen ønsker at snyde, er sandsynligheden for, at de bliver identificeret og politianmeldt og dømt for bedrageri meget stor. Dette er der nu med sms-billetter præcedens for.
Afslutningsvis skal vi fremhæve, at der kun er registreret ekstremt få tilfælde, hvor det er lykkedes en person at misbruge et rejsekort, sådan at det har været muligt at foretage en gratis rejse. Dette omfatter ikke kun rejsekort i Danmark, men også de rejsekort-løsninger der findes i andre lande, hvor der er et betydeligt større antal rejsekort i omløb. Antallet af disse tilfælde er helt marginalt i forhold til de tilfælde, hvor der snydes ved mere konventionelle løsninger.
-
Forfatteren
Christian Panton er 28 år, er cand. scient. i eScience og brød i 2009 krypteringen på Rejsekortet. Læs hans blog på christian.panton.org. Hør Christian Panton fortælle om, hvordan han hackede Rejsekortet på PROSAs Superheltekursus for it-professionelle under 35 år 13.-15. april i Korsør. Se mere på prosa.dk/kursus.
PRINT
1
26.01.12 | kl.08:32 | Víðir Valberg Guðmundsson
Det direkte link til Superheltekurset er http://prosa.dk/superhelt