Mifare

Продукты Mifare используются в бесконтактных и контактных смарт-картах, смарт-билетах из бумаги, носимых устройствах и телефонах^[3].

Название бренда Mifare (происходит от термина «MIKRON FARE collection» и придумано компанией Mikron) объединяет четыре семейства бесконтактных карт:

Mifare Classic

использует проприетарный протокол, совместимый с частями 1-3 ISO/IEC 14443 Type A, и проприетарный протокол аутентификации и шифрования от NXP^[4].

Подтипы: Mifare Classic EV1 (остальные подтипы сняты с производства).

Mifare Plus

приёмник для Mifare Classic с сертифицированным уровнем безопасности (на базе AES-128) и полной обратной совместимостью.

Подтипы: Mifare Plus S, Plus X, Plus SE и Plus EV2.

Mifare Ultralight

недорогие ИС для массовых решений (общественный транспорт, бонусные карты, билеты).

Подтипы: Mifare Ultralight C, Ultralight EV1, Ultralight Nano, Ultralight AES.

Mifare DESFire

соответствуют частям 3 и 4 ISO/IEC 14443-4 Type A, используют операционную систему на mask-ROM от NXP. DES в названии указывает на возможность использования DES, двух- и трёхключевого 3DES и AES; Fire—аббревиатура от Fast, Innovative, Reliable, Enhanced.

Подтипы: DESFire EV1, EV2, EV3, EV3C и DESFire Light.

Mifare DUOX

реализуют файловую систему и защищённое сообщение по ISO/IEC 14443-4, добавлена поддержка публично-ключевой аутентификации (AES-128, AES-256, ECC-256), сертификаты X.509. DES не поддерживается.

Существует также карта Mifare SAM AV2 (Secure Access Module), которая используется для обработки шифрования при работе с бесконтактными картами; SAM обеспечивает защищённое хранение криптографических ключей и выполнение криптоопераций.

ИС Mifare Classic — простое запоминающее устройство; память разделена на сегменты и блоки с простыми механизмами контроля доступа. Основаны на специализированной интегральной схеме и имеют ограниченные вычислительные возможности. За счёт надёжности и невысокой стоимости широко используются для электронных кошельков, систем контроля доступа, служебных удостоверений, транспортных и стадионных билетов. Для аутентификации и шифрования используется проприетарный протокол NXP (Crypto-1).

Шифрование Mifare Classic было скомпрометировано (см. раздел Безопасность).

Mifare Classic 1K содержит 1024 байта пользовательской памяти, разбитые на 16 секторов; каждый сектор защищён двумя ключами — «A» и «B», реализующими различные комбинации доступа. Mifare Classic 4K — 4096 байт, 40 секторов (32 обычных и 8 больших); Mifare Classic Mini — 320 байт, 5 секторов. В каждом секторе 16 байт зарезервировано для ключей и условий доступа; эти байты не доступны для пользовательских данных. Первые 16 байт содержат серийный номер и некоторые производственные данные карты — только для чтения. Фактическая ёмкость — 752 байта для 1K-карты, 3440 байт для 4K и 224 байта для Mini.

Стикеры Samsung TecTile (бесконтактные NFC-метки) используют чипы Mifare Classic. Прочитать/записать такие стикеры могут только устройства с NFC-контроллером NXP, поэтому не все устройства с NFC поддерживают их работу (например, Blackberry, Nokia Lumia 610, Google Nexus 4, Nexus 7 LTE и Nexus 10 не поддерживают TecTile)^[5].

Mifare Plus

Предназначен на замену чипам Mifare Classic, но менее гибок, чем Mifare DESFire EV1.

Mifare Plus был представлен в марте 2008 года, первые образцы — в I квартале 2009 года^[6].

Mifare Plus при применении в старых транспортных системах без поддержки AES на устройстве чтения уязвим для определённых атак; реализован «мягкий» переход на более безопасную аутентификацию (AES возможен в Security Level 1, совместимом с Classic), но устойчивость к атакам появляется только на максимальном уровне безопасности SL3 (AES-128)^[7].

Mifare Plus EV1

Анонсирован в апреле 2016 года^[8]. Новшествами по сравнению с Plus X являются возможность выбора алгоритма защиты для каждого сектора отдельно, поддержка доступа по APDU ISO 7816-4, функция proximity check (зашита от replay-атак), защищённый канал для OTA-обновлений и транзакционный MAC.

Mifare Plus EV2

Объявлен 23 июня 2020 года^[9]. Отличается увеличенной скоростью чтения/записи, транзакционным таймером (как у DESFire EV3), дополнительной защитой от атак типа «человек посередине»^[10].

Mifare Ultralight

Имеет 512 бит (64 байта) памяти (16 страниц по 4 байта), криптографической защиты нет. Используется для одноразовых билетов (например, на Чемпионате мира 2006 года). Применяются базовые меры безопасности — одноразовые OTP-биты, защита от повторной записи.

Mifare Ultralight EV1

Представлен в ноябре 2012 года, предназначен для ограниченных схем билетирования и обладает дополнительными средствами защиты^[11]. Выпускается в модификациях с памятью 384 или 1024 бит, имеются одноразовые OTP, защищённые счётчики, пароль на 32 бита и ECC-проверка оригинальности (данный механизм предотвращает массовое попадание поддельных карт но не полностью защищает от копирования отдельных экземпляров)^[12].

Mifare Ultralight C

Выпущен в 2008 году, первая недорогая карта серии с поддержкой Triple DES (защита от копирования). Применяется в электронных билетах для транспорта, мероприятий, программах лояльности, как NFC Forum tag type 2.

Mifare Ultralight AES

Появился в 2022 году.

Mifare DESFire

Первый чип — MF3ICD40 (2002 год), построен на ядре, похожем на SmartMX, с улучшенной аппаратной/программной защитой. Заложена ОС с иерархией файлов, поддержка TripleDES/AES, варианты с памятью 2, 4 или 8 КиБ (AES). Механизмы защиты включают случайные идентификаторы, сертификация по Common Criteria EAL4+. Протокол полностью соответствует ISO/IEC 14443-4. Начальное поколение снято с производства в 2010 году (после ряда публикаций о методах компрометации)^[13].

Mifare DESFire EV1

Первое поколение новой серии (2008), обратная совместимость с DESFire, память 2, 4 или 8 КиБ, поддержка AES-128, случайных идентификаторов, EAL4+.

Mifare DESFire EV2

Второе поколение, совместимо с предшественниками, расширенные механизмы аутентификации, поддержка виртуальных карт, защита от relay-атак, сервисные приложения.

Mifare DESFire EV3

Третье поколение (2020), сертифицировано по EAL5+, поддержка Tag Type 4 (NFC), расширенный набор алгоритмов (DES, 2/3-key 3DES, AES), таймер транзакций.

Mifare DESFire EV3C

Реализует основные возможности DESFire EV3 и дополнительно может эмулировать память Mifare Classic 1K для миграции со старых систем.

Модули Secure Access Module (SAM) — не бесконтактные карты, а специальные защищённые модули для хранения криптоключей и выполнения операций шифрования между терминалами (устройствами чтения) и картами Mifare; доступны в вариантах PCM 1.1 (контактный модуль, ISO/IEC 7816-2) и HVQFN32.

Mifare SAM AV3 (третье поколение) поддерживает IC-микросхемы Mifare, а также UCODE DNA, ICODE DNA и NTAG DNA^[14].

Облачная платформа, переводящая классические карты на основе Mifare в цифровой вид для использования в смартфонах и носимых устройствах с NFC. Поддерживает билеты для транспорта, мобильный доступ, микроплатежи и другие сценарии умного города^[15].

• 1994 — выпуск Mifare Classic 1K.
• 1996 — внедрение Mifare Classic 1K в транспортной системе Сеула.
• 1997 — выпуск Mifare PRO с поддержкой Triple DES.
• 1997 — выпуск Mifare LIGHT (384 бит пользовательской памяти).
• 1999 — выпуск Mifare PROX с поддержкой PKI.
• 2001 — запуск Mifare Ultralight.
• 2002 — запуск Mifare DESFire (на процессоре).
• 2004 — запуск Mifare SAM — модуль защищённой инфраструктуры для DESFire.
• 2006 — анонс Mifare DESFire EV1 — первая поддержка AES-128.
• 2008 — образование консорциума MIFARE4Mobile.
• 2008 — анонс Mifare Plus (AES-128, обратная совместимость).
• 2008 — выпуск Ultralight C с Triple DES.
• 2010 — анонс Mifare SAM AV2.
• 2012 — запуск Ultralight EV1 с расширенной безопасностью.
• 2014 — выпуск MIFARE SDK (позднее TapLinx) для Android.
• 2014 — выпуск NXP Smart MX2 — поддержка Plus и DESFire EV1 (EAL 5).
• 2015 — выпуск Mifare Plus SE (эконом-вариант для массового рынка).
• 2016 — выпуск Mifare Plus EV1, совместимого с Classic.
• 2016 — анонс DESFire EV2 с расширенной безопасностью, приватностью и поддержкой нескольких приложений.
• 2016 — переименование SDK в TapLinx.
• 2018 — запуск облачного сервиса Mifare 2GO.
• 2020 — 출시 DESFire EV3^[16].
• 2020 — запуск Plus EV2 (SL3, поддержка 2GO, EAL5+, таймер транзакций).
• 2022 — выпуск Mifare Ultralight AES.
• 2023 — запуск DESFire EV3C (совместим с Classic).
• 2024 — выпуск Mifare DUOX с поддержкой PKI.

Разработка портфеля Mifare изначально велась компанией Mikron (Граткорн, Австрия), которую приобрела Philips в 1995 году^[17].

Infineon Technologies (до 1999 — Siemens) лицензировала Mifare Classic в 1994 и производила собственные решения на базе этого стандарта^[18]. Infineon до сих пор выпускает микросхемы с поддержкой Mifare для разных применений.

В конце 1990-х лицензионные соглашения были заключены с Hitachi^[19] и позднее — с Renesas, Gemalto, Oberthur и Giesecke & Devrient.

Использует 48-битный ключ для шифрования^[20].

В 2007—2008 годах на Chaos Communication Congress и других конференциях было продемонстрировано частичное и полное реверс-инжинирирование алгоритма^[21].^[22][23] В 2008 группа Digital Security университета Радбауд опубликовала атаку на систему московских бесконтактных проездных (OV-chipkaart), использующих Mifare Classic^[24]. Для реализации использовался инструмент Proxmark3 — открытый аппаратно-программный комплекс для анализа бесконтактных карт.

Различные атаки на Mifare Classic подробно описаны в ряде публикаций, например, A Practical Attack on the MIFARE Classic, Dismantling MIFARE Classic и других^[25].

Атаки позволяют клонировать и модифицировать карты, раскрывая ключ шифрования (200 с — для «длинных» атак, либо 40 мс при частичном доступе). Для кардинальной защиты требуется переход на более современные семейства Mifare^[26].

В 2010—2011 опубликованы атаки методом побочных каналов, позволившие клонировать карты и обойти 3DES^[27]. В результате компания реализует более стойкие механизмы защиты и рекомендует использовать индивидуализированные ключи с возможностью блокировки подозрительных/потерянных карт.

В 2012 году показано, как манипулировать балансами транспортных карт Ultralight с помощью Android-устройства; защита подобных решений достигается только применением онлайн-хранения регистра баланса или использованием защищённых модификаций серии (Ultralight C, EV1 и др.)^[28].

В комплексных системах на бесконтактных смарт-картах безопасность должна обеспечиваться на уровне карт, считывателей и серверной инфраструктуры (например, дополнительные счётчики транзакций и списки отзыва, возможность постоянной связи считывателя с сервером для проверки подлинности карты).

Для гарантий совместимости продукции ведущих производителей реализована сертификация (с 1998 года) по пресетам Mifare, включающая проверку коммуникации по беспроводному каналу ISO14443 и полному исполнению команд. Сертификацией занимаются независимые лаборатории (Arsenal Testhouse, UL, LSI-TEC и др.), результаты доступны в общедоступной базе^[29].