Ladekarten sind unsicher - wie man auf fremde Rechnung lädt

[Tho]

Vielleicht ist das ja auch der Anfang vom Ende der besch**** Ladekartensysteme. Mir ist es bis heute nicht klar, warum man nicht einfach mit millionenfach erprobten Bank- oder Kreditkarten zahlen kann.

Vielleicht auch das Ende eines Teils der Ladeinfrastruktur. Müssten wir umstellen, würden wir ersatzlos abbauen.

[gonium]

Vielleicht ist das ja auch der Anfang vom Ende der besch**** Ladekartensysteme. Mir ist es bis heute nicht klar, warum man nicht einfach mit millionenfach erprobten Bank- oder Kreditkarten zahlen kann.

Das wäre auch meine favorisierte Variante. Mit girogo kann man Kleinbeträge unter 25 Euro ohne PIN bezahlen. Das Guthaben kann man an (fast) jedem Geldautomaten auf die Karte buchen. Es gibt zertifizierte Lesegeräte und ein gescheites Schwachstellenmanagement. UND: Man braucht nicht bei tausend Anbietern eine Ladekarte zu beantragen.

Macht natürlich Roaming-Modelle und Businessfoo kaputt. Wäre aber einfach zu benutzen und (relativ) sicher.

[mweisEl]

Ach HIER hat Phillips seinen MiFare Classic Müll entsorgt, nachdem das System überall rausgeflogen ist

Mit Mifare Classic hat die Angelegenheit aber rein gar nichts zu tun - die (zu schwache) Verschlüsselung wird überhaupt nicht genutzt.

Das Protokoll beruht ausschließlich auf der Eindeutigkeit der 7-Byte UID als TokenID innerhalb des Kundenkreises (auch bei "richtig" verschlüsselnden Karten wäre das so), womit pro Kartenhersteller max. 2,8 x 10^14 Kombinationen für die UID zur Verfügung stehen. Da die UID offen lesbar ist, könnten man sich zwar problemlos seine eigen Karte klonen, dann hat man halt zwei.

Eine Verständnisfrage: Was genau ist an einer Unverschlüsselten UID unsicherer oder sicherer als die App, bei der auch unverschlüsselt Daten eingegeben werden. Es ist doch viel leichter eine App zu kopieren und geklaute Daten einzutragen, als eine UID zu klauen und zu kopieren.

Das ist richtig dass eine App i.Allg. unsicherer ist, es geht hier aber nicht ums Kopieren, sondern um das Erraten einer unbekannten und bereits einem anderen Benutzer "zugewiesenen" UID. Wird der Zahlenraum halbwegs ausgenutzt, ist mit erraten Essig, weil bei ca. 100.000 ausgegeben Karten nur jede 2 Milliardste Kombination gültig wäre. Wäre der Zahlenraum deutlich kleiner - das mit den 2 Byte glaube ich eher nicht, da NewMotion seine Karten- bzw. Kundenzahl damit von vorneherein auf nur 65.500 Karten beschränkt hätte - wären Brute-Force Angriffe denkbar.

Freilich wäre das Erraten und Benutzen der fremden UID für den "Hacker" alles andere als risikolos - Ort und Zeit des Ladevorgangs wird ja protokolliert, das Fahrzeug - mit "richtigem" Kennzeichen (und nicht geklautem nehme ich mal an) steht eine längere Zeit vor Ort und kann beobachtet werden - das könnte für die Strafverfolgung relativ einfach werden.

[gekfsns]

Wenn ich den Blog richtig verstanden hab wird aber der Zahlenraum bei NewMotion nicht ausgenutzt da ein Großteil identisch ist.

[mweisEl]

Wenn ich den Blog richtig verstanden hab wird aber der Zahlenraum bei NewMotion nicht ausgenutzt da ein Großteil identisch ist.

Wie gesagt, das mit den 2 Byte glaube ich eher nicht, da NewMotion seine Karten- bzw. Kundenzahl damit von vorneherein auf nur 65.500 (verschiedene) Karten (und noch weniger Kunden) beschränkt hätte. Ich werde meine Kartensammlung später nochmal auslesen und vergleichen (eine meiner TNM-Mifare Classic-Karten hatte doch eine 7-Byte UID und nicht wie ich dachte nur 4-byte UID).

Das OCPProtokoll erlaubt übrigens deutlich längere Werte als die 7-Byte UID als den Benutzer Identifizierenden TokenID zu übertragen, z.B. Karten mit "Triple UID" (10 Byte, Zahlenraum ~10^22 pro Kartenhersteller). Auf nicht erratbaren Zahlen beruht übrigens die gesamte Kryptographie...

Ach ja, und damit wir die (möglicherweise gleichen) UID-Anteile vergleichen können ohne die eigene UID preiszugeben, könnte man hier einen Hash wie sha256sum aus dem Teilstring nennen...

[enabler]

Das wäre auch meine favorisierte Variante. Mit girogo kann man Kleinbeträge unter 25 Euro ohne PIN bezahlen. Das Guthaben kann man an (fast) jedem Geldautomaten auf die Karte buchen.

Meh. Die Analyse war gut, aber jetzt kommt das übliche "Girogo"-Zeugs. Und an der deutschen Grenze steht man an, weil Girogo nirgendwo sonst verwendet wird. In Österreich hat man gerade eine vergleichbare Insellösung - die "Quick"-Card - aus absolutem Mangel an Interesse verschrottet.

Es gibt zertifizierte Lesegeräte ...

... welche 1500 Euro kosten - was wiederum die Kosten pro Ladepunkt verdoppelt. Danke, das möchte ich als Kunde nicht finanzieren.

Macht natürlich Roaming-Modelle ... kaputt

... Roaming macht den wenigsten Spaß, sondern ist eine Notwendigkeit.

Warum nicht die wirklich modernen Systeme statt Insellösungen ohne Perspektiven propagieren? App-Laden, Blockchain, Direct Payment mittels QR-Code. Also Dinge, welche nicht die Ladepunktkosten in absurde Höhen treiben?

[29bde]

Warum nicht die wirklich modernen Systeme statt Insellösungen ohne Perspektiven propagieren? App-Laden, Blockchain, Direct Payment mittels QR-Code. Also Dinge, welche nicht die Ladepunktkosten in absurde Höhen treiben?

[gonium]

Es gibt zertifizierte Lesegeräte ...

... welche 1500 Euro kosten - was wiederum die Kosten pro Ladepunkt verdoppelt. Danke, das möchte ich als Kunde nicht finanzieren.

Mir waren die Kosten dafür nicht bewusst. Hast Du dafür "offizielle" Quellen? Auf die Schnelle habe ich eben nichts gefunden.

Warum nicht die wirklich modernen Systeme statt Insellösungen ohne Perspektiven propagieren? App-Laden, Blockchain, Direct Payment mittels QR-Code. Also Dinge, welche nicht die Ladepunktkosten in absurde Höhen treiben?

Okay, hier bin ich jetzt in einem Dilemma. Es gibt noch weitere Schwachstellen in den Systemen, die ich aber vorerst nicht veröffentlichen möchte. Sprich: Ist alles nciht so einfach. So wie die Ladesäulen im Moment aufgebaut sind ist vieles echt schwer umzusetzen.

Effektiv sind das allerdings die Hausaufgaben der Ladeverbünde. Ich verstehe nicht genug von deren Businessmodell, um da sinnvoll Vorschläge zu machen -- unabhängig davon, das ich eine Meinung dazu habe. Versteht mich aber bitte nicht falsch: Ich finde es spannend, für die Authentifizierung an Ladesäulen eine gute Alternative zu entwickeln.

[mweisEl]

Ich werde meine Kartensammlung später nochmal auslesen und vergleichen (eine meiner TNM-Mifare Classic-Karten hatte doch eine 7-Byte UID und nicht wie ich dachte nur 4-byte UID).

Also meine beiden TNM-Mifare Classic Karten haben völlig unterschiedliche 7-Byte UIDs.

04 xx xx xx xx xx xx
04 yy yy yy yy yy yy

Dass das erste Byte gleich ist, ist nicht verwunderlich, denn hier ist der Kartenhersteller codiert (0x04 = NXP). Mit den verbleibenden 6 Bytes sind 281474976710656 (2,8 x 10^14) Kombinationen möglich, und auch wenn hier dabei noch ein paar Bits fest vergeben sein sollten, ist das Erraten einer vergegebenen fremden UID weit weniger wahrscheinlich als ein Lottosechser inkl. Superzahl.

Ich habe allerdings andere Karten, nicht von TNM, mit einer 4 Byte UID, die einfacher anzugreifen wären (nur 2,1 Mrd. Kombinationen).

Es bleibt aber dabei, dass das Benutzen der fremden UID für den "Hacker" alles andere als risikolos ist - Ort und Zeit des Ladevorgangs wird protokolliert, das Fahrzeug - mit "richtigem" Kennzeichen steht eine längere Zeit vor Ort und kann beobachtet werden.

Zumindest beim 2. Einsatz einer erbeuteten UID könnte das Backend sofort zu Ladebeginn einen Anruf bei der Polizei auslösen lassen und den Fahrzeughalter an der Ladesäule stellen. Ob sich Aufwand und Risiko für, je nach Ladesäule, einstellige Eurobeträge lohnt, ist halt die Frage.

[gonium]

Also meine beiden TNM-Mifare Classic Karten haben völlig unterschiedliche 7-Byte UIDs.

04 xx xx xx xx xx xx
04 yy yy yy yy yy yy

Interessant! Mein Verdacht ist, das New Motion die Karten nicht sauber "durchmischt". Ich habe fünf von den Keyfobs bestellt und die weisen wie gesagt nur zwei Bytes Differenz auf. Vermutlich liefert der Hersteller fortlaufend nummerierte Keyfobs, und die 2 Byte "Zufall" kommen durch den Griff des Mitarbeiters in die Lagerkiste zustande.

Deine beiden unterschiedlichen UIDs würde ich dadurch erklären, das sie aus zwei unterschiedlichen Chargen des Herstellers stammen. Ist aber nur Spekulation. Ich sehe bei den Keyfobs die von mir gebloggte Verteilung, Du siehst etwas anderes, was vielleicht wie oben zu erklären ist. Letztlich müsste ich so einen Angriff durchführen, um genaueres zu wissen. Genau das mag ich aus moralischen und rechtlichen Gründen aber nicht machen

Schönen Gruß,
-Mathias