MiFare-RFID-Verschlüsselung spielend leicht zu knacken

In Anbetracht der vielen hundert Millionen MiFare-Chips, die beispielsweise für Zugangskontrollsysteme oder elektronische Bezahlsysteme weltweit im Einsatz sind, muss man wohl von einem Fiasko sprechen. Schuld daran sind nach Nohls Meinung sowohl MiFare-Hersteller NXP als auch dessen Kunden: "Teil des Erfolgs von MiFare war der niedrige Preis. Gute Sicherheit hätte mehr gekostet und dem rasanten Wachstum von 'sicheren' RFIDs wohl einen Dämpfer verpasst. Diese Rechnung stimmt so aber auch seit einigen Jahren nicht mehr, da selbst in den sicheren Karten die Verschlüsselungstechnologie nur noch einen kleinen Teil ausmacht. Der richtige Zeitpunkt, da umzuschwenken, ist von NXP ganz klar verpasst worden."

Im US-Bundesstaat Washington tritt im Juli dieses Jahres ein Gesetz gegen das illegale Auslesen von RFID-Daten aus Ausweispapieren in Kraft. Wer dagegen in krimineller Absicht verstößt, muss mit einer hohen Gefängnisstrafe rechnen. In den Augen von Karsten Nohl ist das jedoch der falsche Ansatz: "Wenn ich mir aber so überlege, wie viele Probleme es mit Drogen und Betrug gibt, scheint es nicht zu reichen, etwas illegal zu machen. Bei RFIDs gibt es zudem die Chance, viele Systeme schlicht sicher zu machen, und das vielleicht zum ersten Mal. Diese Chance darf jetzt nicht dadurch vertan werden, dass man sich mit schlechten Systemen hinter Gesetzen versteckt."

Nohl fordert, in Zukunft bei der breiten Einführung von "neuen Technologien wie RFID, wo die Risiken noch nicht völlig verstanden sind", vorsichtiger zu sein. "Es ist dann wohl oft besser, eine konservative Abschätzung zu machen und eventuell erst einmal zu warten." [von Robert A. Gehring]