RFID Hacking

der angriff schlägt leider (wie gesagt) fehl, wenn der reader einen salt mitschickt, der im transponder zur verschlüsselung der daten genutzt wird... was ich auch schade finde, dass modernere kostenbasierende zugangskarten zwar die daten unverschlüsselt senden, die gültigkeit aber auf einem server gespeichert wird...

bei uns im freibad erhält man beim eintritt eine karte, die man beim betreten über den reader zieht. dabei wird die betretungszeit dieser karte xy (dieses kunden) beim server hinterlegt. nun geht man zu einem kleiderspind, schiebt die karte in ein spezielles fach im spind und verstaut seine sachen in diesen spind. nun ist das zeuch und die karte in diesem slot innerhalb des schrankes. wenn man nun die türe schliesst, wird ein schlüssel za (rfid) an der aussenseite des schrankes mechanisch freigegeben und dabei die türe verschlossen.
beim verschliessen des schrankes wurde wiederum der server informiert, dass sich nun karte xy im schrank yz befindet, welcher mit dem schlüssel yz verschlossen wurde.

wenn der kunde nun die sauna betreten will, zieht er den schlüssel über einen leser, der server registriert, dass schlüssel yz nun die sauna betreten hat und gibt das drehkreuz frei... ähnlich schaut das auch beim einkaufen oder sonstigen dienstleistungen aus.

wenn man das freibad nun verlässt, wird beim rücktausch - schlüssel gegen karte+spindinhalt - die posten auf der karte vermerkt und dann wird beim verlassen des freibads, wenn man die karte wieder abgibt geschaut, was man alles in anspruch genommen hat und entsprechend kassiert... :)

die vorteile dieses verfahrens sind:
- bargeldlos, weil chip am handgelenk
- einfach zu handhaben
- geringe diebstahlgefahr

nachteile (gnarhar):
- einigermassen genaue überwachung und ortungsmöglichkeit des kunden durch lesegeräte mit hoher reichweite (triangulation) -> verbraucherschutz (legitim?)
- letigime überwachung, wer wann was benutzt hat
- der verlust des schlüssels (oder der karte) ist teuer: 100 ?
- geringere kontrolle über das geld bzw keine möglichkeit zur überwachung

edit: die listen sind nicht vollständig, ich bin rfid gegenüber skeptisch...
leider habe ich in diesem system keine sicherheitskritischen punkte gefunden, ach und ich bin mir nicht sicher, wie das mit der karte und dem schlüssel aussieht, welche id mit welcher id in verbindung gebracht wird...

mfg 2Bios

ps.: entschuldigt die art und weise wie ich schreibe, bin halber legastheniker
 
Zurück
Oben