简单的IC卡解密

1、简单的IC卡解密自从80年代中期出现IC电话卡后,基本已取代了原来流行的电话磁卡,磁卡存在存在严重的安全问题,已逐步淘汰。即使IC电话卡,也不能算很安全,卡内所有数据只要有简单的读写装置并按时序操作都能读取,事实上电话卡和信用卡一样内部没有什么秘密信息,仅仅是带串行输出的128位EPROM而已(对二类卡是256位PROM,不要以为弄懂了它是怎么工作你就有办法重新对卡内数据重新填充,其开始的64位是带写保护的,在出厂时其熔丝位已被编程,你已无法对其更改,其后的40位计数单元受内部逻辑控制在写时只能减少不能增加直至到0为止,因此你想用一般的IC电话卡打免费电话是不可能的,除非你能用单片机仿真它(如

2、果你能读懂本文介绍的所有内容。IC电话卡是一种一次性使用的计数卡,以一次性的计数方式,从写满的计数器中减“1”,直至存储单元减为空为止。卡片每次消费计数的“单位价值”根据各种应用系统的实际需要而定。例如:对于中国IC电话卡,如30元卡对应内部计数值为300,每单位值对应0.1元,IC 卡电话机每分钟产生一次扣费信号,扣费值由当地IC电话管理系统设定,一般是价值0.5元或1元,卡片被计数5次和10次。对于其它国家属于第一类IC电话卡而言也是如此,只是内部初始计数值不同,每次扣除额度不一样罢了。其他对于公用加油卡,IC卡计费加油机每一公升(或一加仑产生一次扣费操作,卡片被操作一次扣2.5元等等,均

3、属于等同原理。事实上,这类卡内部为128位(16字节NMOS存储器,按如下规律分布:64 位EPPOM(8字节写保护区(芯片数据代码区、发行数据代码区40 位EEPROM(5字节24 位为全“1”(3字节共16字节数据。一、非接触式感应卡类型及背景:非接触式感应卡是通过电磁波磁场通讯,无接触点所以被称为“非接触式感应卡”,又被广泛称为“射频卡”,其类型分为:IC卡、ID卡两大类。IC卡分为Philips公司开发的S50芯片生产的Mifare one卡与瑞士LEGIC公司开发的LEGIC 芯片生产的LEGIC卡,均可读写数据,使用频率均为13.56MHz;LEGIC卡由于卡片与设备都需要LEGI

4、C公司统一进行授权密码卡进行加密才可进行读写,用户不可自行加密造成使用麻烦不方便,而且价格是Philips公司开发的S50芯片生产的Mifare one卡的几倍,所以市场逐步被Philips公司占领及主导。ID卡分为瑞士EM公司与HID公司生产的芯片完成,其特点为只读,没有任何加密措施,靠该芯片固化的全球唯一ID号码作为标识进行识别应用,通讯频率为125KHz。 二、Mifare one卡背景:Mifare one卡最早由Philips公司开发,目前Mifare系列卡有S50、S70两种芯片,由于Mifare one卡密码用户可自行加密及价格便宜,使用方便,可存储数据应用领域不断增大,而且逐步

5、取代LEGIC卡,ID卡的应用领域,现国内也有多家微电子厂商生产兼容芯片; Mifare one卡在国内市场被广泛称为“MF1卡”,“IC卡”,“M1卡”,MF1 IC卡”,应使用广泛,每个地区都取了自己习惯的名称而形成了这么多种卡片名称;以下我们简称“MF1卡”。三、MF1卡典型应用方法:3.1、门禁系统中的应用方法MF1卡在门禁系统中通过读卡器读取卡中的唯一ID标识,读卡器将读取的卡号发送给控制主机,控制主机判断该卡片ID是否有权限开门,“有”则开门发行,“无”则报警或不处理。3.2、消费系统中的应用方法MF1卡在消费系统中通过密码对卡片进行合法判断,密码正确并又合法消费权限,消费机对卡片

6、金额增、减等功能操作。四、MF1卡特征:4.1、MF1卡RF 接口ISO/IEC 14443A 无线传送数据和能量不需要电池;工作距离最高可达50mm 由天线的结构geometry 决定;工作频率13.56MHz;数据传送速度快106kbit/s;数据高度可靠正确16 位CRC 奇偶校验位编码位计数;真正的反冲突;典型的购票处理ticketing transaction <100ms 包括备份管理。4.2、MF1卡EEPROM1K 字节分成16 个区每区又分成4 段每一段中有16 个字节;用户可以定义每一个存储器段的访问条件;数据可以保持10 年;可写100,000 次。4.3、MF1卡

7、保密性(Security需要通过3 轮确认ISO/IEC DIS9798-2 Mutual three pass authentication RF 信道的数据加密有重放攻击保护;每个区有两套独立的密钥每应用支持带密钥层次的(support multi-application with key hierarchy;每张卡有唯一的序列号;在传输过程中访问EEPROM有传输密钥保护(transport key protects access to EEPROM on chip delivery。4.4、无线传送数据和能量Mifare系统中MF1 IC S50 连接着几匝线圈线圈嵌入到塑料中这就形成

8、了一张无源的无线智能卡这种卡不需要电池当智能卡靠近读写装(Read Write Device RWD的天线时高速RF 通讯接口可以以106kBit/s 的速度传送数据。4.5、反冲突智能的反冲突功能允许同一工作区域中有不止一张卡同时工作反冲突算法每次只选择一张卡确保对被选中的卡正确执行操作而且同一区域中的其他卡不会破坏数据。4.6、保密性这个卡一个特殊的要点是保密防止欺骗相互询问Mutual challenge 和响应确认数据保密和报文确认检查防止系统受到任何干扰使购票应用更有吸引力序列号不可修改保证了每张卡都是唯一的。五、MF1卡破解及复制方法:MF1卡拥有双重密码保护,本身是非常安全的,如

9、果使用穷追试探的方法进行密码破解,按现在计算机的速度至少需要数月才可破解一张卡的密码;但由于加密算法被破解,破解者使用加密算法进行破解,如果加密的密码设置比较简单,那只需要数秒到几分钟间即可完成一张MF1卡的密码破解。由于加密算法的破解及该技术逐步传播,对卡片的安全威胁越来越大,在短暂的几个月中可以说没有安全可言,部门MF1卡系统商对系统进行升级,在应用过程中不但效验密码而且还对唯一ID标识进行核对检测;可这一切是否都无济于事,因为目前市面部分技术人员通过强大的单片机技术模拟了一张MF1卡,可将破解的MF1卡中的数据连通唯一ID标识一同复制到该模拟MF1卡中,这样一来该模拟MF1卡与真实的MF1完全一模一样,无论通过什么方式都无法将该卡识别出来。通过行业专业人事对该卡成本进行核算,生产一张模拟MF1卡只需要20元所有,目前市面销售的模拟MF1卡价格在35-50元不等,其外观大小与MF1卡一样,只是厚度不同。而且该模拟卡可擦写3万次六、ID卡、HID卡复制方式:因为ID卡与HID卡内只用一个唯一的ID标识,无任何密码保护,复制该卡的方式依然以单片机技术模拟了一张