Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Hashwerte gecrackt: Compleo bastelt weiter an Sicherheit bei Ladesäulen

Der Ladesäulen-Hersteller Compleo musste ein zweites Mal die Sicherheit von Anzeigemodulen erhöhen. Dabei offenbart sich die Absurdität des Eichrechts.
/ Ein Bericht von Friedhelm Greis
58 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Anzeigemodule von Compleo werden in Allego-Säulen in Berlin verwendet. (Bild: Heiko Raschke/Golem.de)
Anzeigemodule von Compleo werden in Allego-Säulen in Berlin verwendet. Bild: Heiko Raschke/Golem.de

Nach dem Aufdecken einer Sicherheitslücke bei Anzeigemodulen hat der Ladesäulenhersteller Compleo ein weiteres Mal beim Hashverfahren nachgebessert. Damit will das Dortmunder Unternehmen, das bis Jahresende einen Börsengang plant(öffnet im neuen Fenster), verhindern, dass die angezeigten Hashwerte von Ladekarten-IDs auf verhältnismäßig einfache Weise zu cracken sind. Golem.de konnte Compleo nachweisen, dass das gewählte Hashverfahren nicht sicher war.

In Zusammenarbeit mit dem Sicherheitsexperten Mathias Dalheimer vom Chaos Computer Club (CCC) hatte Golem.de den Ladesäulenhersteller vor gut einem Jahr auf das Sicherheitsproblem hingewiesen. Mit dem sogenannten Speicher- und Anzeigemodul (SAM) von Compleo ließen sich zwischenzeitlich ohne jeden technischen Aufwand UIDs von Ladekarten auslesen. Solche Karten lassen sich dann auf einfache Weise klonen, was Dalheimer auf dem Chaos Communication Congress (34C3) in Leipzig demonstriert hatte.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Sachbearbeiter / Sachbearbeiterin (w/m/d) für die IT‑Basisdienstleistungen Endgerätemanager Bundesnachrichtendienst, Pullach (bei München) (öffnet im neuen Fenster)
IT‑Spezialisten (w/m/d) für zentrale Druck- und Scanlösungen Deutscher Bundestag, Berlin,Homeoffice (öffnet im neuen Fenster)
IT Security Manager (m/w/d) HEK - Hanseatische Krankenkasse, Hamburg (öffnet im neuen Fenster)
Beschäftigte*r (m/w/d) in der Systemadministration (EntgGr. 11 TV-L, 100 %) Leibniz Universität Hannover, Hannover (öffnet im neuen Fenster)
SAP IS-U Inhouse Consultant (m/w/d) Stadtwerke Bielefeld GmbH, Bielefeld (öffnet im neuen Fenster)
Ausbildung zu Technischen Assistenten oder Assistentin für Informatik (m/w/d) Johann-Bierwirth-Schule, Staatliches Berufliches Schulzentrum, Memmingen (öffnet im neuen Fenster)
Teamlead Development (m/w/d) CHEFS CULINAR Software und Consulting GmbH & Co. KG, Weeze (öffnet im neuen Fenster)
Fachkoordinator (m/w/d) IT & Digitalisierung WTSH - Wirtschaftsförderung und Technologietransfer Schleswig-Holstein GmbH, Kiel (öffnet im neuen Fenster)

Hashwerte mit Hashcat gecrackt

Die zwischenzeitliche Lösung von Compleo bestand darin, statt der UID deren Hashwert anzuzeigen. Eine Lösung, die Dalheimer von Anfang an als leicht angreifbar kritisierte. Zwar gilt das gewählte Hashverfahren SHA256 noch als einigermaßen sicher. Angesichts des begrenzten Zeichenraums, der gehasht werden kann, sollte es aber relativ leicht zu cracken sein.

Wie dies möglich ist, hat Golem.de mithilfe des Programms Hashcat gezeigt. Bei diesem Programm lassen sich bei Brute-Force-Angriffen die Parameter wie Hashverfahren, Zeichensatz und Zeichenlänge vorgeben. Die einzige Hürde, die überwunden werden musste: Hashcat unterstützt eigentlich keine verkürzten Hashes(öffnet im neuen Fenster). In dem Compleo-Modul werden aus Platzgründen jedoch nur die ersten 19 Stellen des 64-stelligen Hashwertes angezeigt.

Module und Kernel geändert

Um verkürzte Hashwerte zu cracken, haben wir den Quellcode von Hashcat entsprechend angepasst. Das ist inzwischen recht einfach möglich, weil die Parameter für die verschiedenen Hashverfahren in einzelnen Modulen hinterlegt sind (siehe PDF-Anleitung). Im Kernel ist ebenfalls eine kleine Anpassung erforderlich.

Das schnelle Cracken funktioniert nur deshalb, weil eine UID maximal 7 Byte (14 Hexadezimal-Stellen) umfasst. Das sind zwar theoretisch 72 Billiarden Möglichkeiten (16 hoch 14). Durch eine Besonderheit der Mifare-Classic-Tags stehen aber faktisch nur 6 Byte zur Verfügung, weil das erste Byte durch die Herstellerkennung für NXP(öffnet im neuen Fenster) bekannt ist. Zudem haben wir festgestellt, dass auch die beiden letzten Zeichen sehr häufig identisch sind.

Anzeige

Elektromobilität: Grundlagen und Praxis

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Hashwerte verändern sich

Selbst mit einer einfachen Geforce GTX 1050 Ti (Neupreis: 150 Euro) lässt sich somit ein Hashwert in maximal 27 Minuten herausfinden. Dabei werden rund 650 Millionen Hashwerte pro Sekunde berechnet. Auf einem anderen PC mit zwei schnelleren Nvidia-Karten Titan RTX kamen wir auf rund 8 Milliarden Hashwerte pro Sekunde (8 GHz). Damit lassen sich Hashwerte mit 12 Stellen in maximal 9 Stunden herausfinden. Bei den 10-stelligen dauert es dann nur zwei Minuten. Mit optimierten Rechnern, wie sie für Bitcoin-Mining genutzt werden, lassen sich in Sekunden sogar Billionen Hashwerte (Tera-Hashes) für SHA256 berechnen.

Mit den RFID-Tags von Roaming-Anbietern wie Plugsurfing lassen sich Ladevorgänge starten. (Foto: Martin Wolf/Golem.de)
Bild 1/9: Mit den RFID-Tags von Roaming-Anbietern wie Plugsurfing lassen sich Ladevorgänge starten. (Foto: Martin Wolf/Golem.de)
Für das Klonen einer Karte ist die UID aus dem ersten Block des Tags völlig ausreichend. (Foto: Martin Wolf/Golem.de)
Bild 2/9: Für das Klonen einer Karte ist die UID aus dem ersten Block des Tags völlig ausreichend. (Foto: Martin Wolf/Golem.de)
Die Ladevorgänge lassen sich nachträglich mit einem speziellen Anzeigemodul der Firma Compleo überprüfen. (Foto: Heiko Raschke/Golem.de)
Bild 3/9: Die Ladevorgänge lassen sich nachträglich mit einem speziellen Anzeigemodul der Firma Compleo überprüfen. (Foto: Heiko Raschke/Golem.de)
Das Speicher- und Anzeigemodul (SAM) zeigte bis vor kurzem jedoch die UID an, die teilweise nur 4 Bytes lang sind. (Foto: Friedhelm Greis/Golem.de)
Bild 4/9: Das Speicher- und Anzeigemodul (SAM) zeigte bis vor kurzem jedoch die UID an, die teilweise nur 4 Bytes lang sind. (Foto: Friedhelm Greis/Golem.de)
Die Module zeigten die UID zudem an, wenn der Ladevorgang mit dem Tag gestartet wurde. (Foto: Friedhelm Greis/Golem.de)
Bild 5/9: Die Module zeigten die UID zudem an, wenn der Ladevorgang mit dem Tag gestartet wurde. (Foto: Friedhelm Greis/Golem.de)
Jetzt werden nur noch Hashwerte der IDs angezeigt. (Foto: Friedhelm Greis/Golem.de)
Bild 6/9: Jetzt werden nur noch Hashwerte der IDs angezeigt. (Foto: Friedhelm Greis/Golem.de)
Auf einem PC mit zwei Nvidia-Karten Titan RTX lassen sich die Hashwerte in wenigen Stunden cracken. (Screenshot: Golem.de)
Bild 7/9: Auf einem PC mit zwei Nvidia-Karten Titan RTX lassen sich die Hashwerte in wenigen Stunden cracken. (Screenshot: Golem.de)
Mathias Dalheimer vom CCC zeigte bereits vor zwei Jahren, wie sich Ladekarten einfach klonen lassen. (Screenshot: Golem.de)
Bild 8/9: Mathias Dalheimer vom CCC zeigte bereits vor zwei Jahren, wie sich Ladekarten einfach klonen lassen. (Screenshot: Golem.de)
Eine sicherere Authentifizierung beim Laden dürfte noch einige Zeit auf sich warten lassen. (Screenshot: Golem.de)
Bild 9/9: Eine sicherere Authentifizierung beim Laden dürfte noch einige Zeit auf sich warten lassen. (Screenshot: Golem.de)

Nach einem entsprechenden Hinweis hat Compleo inzwischen das Verfahren geändert. Das fällt schon auf, wenn man an einer Ladesäule mit SAM seinen Ladechip an den Kartenleser hält. Während zuvor der SHA256-Hashwert angezeigt wurde, ist der Wert nun nur noch ganz kurz zu sehen. Dann wird jedoch umgehend ein anderer Hashwert angezeigt, der nicht mehr direkt aus der UID abgeleitet wird. Hält man den RFID-Chip wenige Minuten später wieder an die Säule, zeigt das Modul einen anderen Hashwert an.

Dieses Vorgehen ist aus Sicherheitsgründen eindeutig zu begrüßen. Zwar ist das Konzept der Mifare-Classic-Tags immer noch nicht sicher. Doch wenn es nur einen einzigen Sicherheitsfaktor gibt, sollte dieser nicht unnötig kompromittiert werden.

Allerdings stellt sich die Frage, ob das System nun noch mit dem Eichrecht kompatibel ist.

Authentifizierungstechnik nicht eichpflichtig

Denn Sinn und Zweck des Moduls besteht schließlich darin, eine Forderung des deutschen Eichrechts zu erfüllen. Demnach muss es Elektroautobesitzern möglich sein, einen abgerechneten Ladevorgang noch einmal an einer Ladesäule aufzurufen und die Daten zu überprüfen. Dazu gehört auch das Identifizierungsmittel: die Ladekarte.

Zuständig für die Zertifizierung der Messgeräte in Ladesäulen ist die Physikalisch-Technische Bundesanstalt (PTB) in Braunschweig. Diese teilte auf Anfrage von Golem.de mit, "dass die Authentifizierungstechnologie keine eichpflichtige Technologie darstellt und wir diesbezüglich kaum Anforderungen stellen dürfen".

Um ein Mindestmaß an Kundenschutz zu gewährleisten, enthalte jede ausgestellte Baumusterprüfbescheinigung den Hinweis, "dass Messwerte im Sinne des Eichrechts nur dann richtig verwendet werden, wenn der Messwerteverwender zeigen kann, welches Identifizierungsmittel den zu einem bestimmten Messwert gehörenden Ladevorgang verursacht hat".

Compleo macht keine Angaben zu Hashverfahren

Demnach muss der Messwerteverwender "für jeden Geschäftsvorgang und in Rechnung gestellten Messwert beweisen können, dass er diesen die Personenidentifizierungsdaten zutreffend zugeordnet hat". Aus diesem Grund sollte auf der Rechnung oder in dem Compleo-Modul eigentlich die UID des Ladechips angezeigt werden. Oder zumindest ein Wert, den die Nutzer selbst auf einfache Weise von der UID ableiten können.

Nun lässt sich aus dem angegebenen Hashwert jedoch nicht mehr ohne Weiteres auf die UID schließen. Auf Anfrage von Golem.de hat Compleo bislang nicht mitgeteilt, wie die Hashwerte jetzt berechnet werden.

Offenbar fügt das Modul der UID vor dem Hashen einen Zeitstempel oder einen anderen Faktor als sogenannten Salt(öffnet im neuen Fenster) hinzu. Doch Nutzer können diesen Wert nun nicht mehr selbst generieren. Möglicherweise schweigt Compleo, weil das Verfahren sonst wieder kompromittiert wäre. Mit Hashcat lassen sich schließlich auch Hashwerte mit Salt cracken.

Landesamt sieht sich nicht zuständig

Der PTB zufolge sind die Marktüberwachungsbehörden für die Messwertverwendung zuständig. In Berlin, wo der Ladenetzbetreiber Allego Hunderte Compleo-Säulen aufgestellt hat, ist dies das Landesamt für Mess- und Eichwesen. Doch auch das Landesamt hält sich in der Frage nicht für zuständig, da die Authentifizierungstechnologie nicht unter die mess- und eichrechtlichen Regelungen falle.

Die Behörde verweist auf Paragraf 33 des Mess- und Eichgesetzes (MessEG)(öffnet im neuen Fenster). Demzufolge muss der Messwerteverwender dafür sorgen, "dass Rechnungen, soweit sie auf Messwerten beruhen, von demjenigen, für den die Rechnungen bestimmt sind, in einfacher Weise zur Überprüfung angegebener Messwerte nachvollzogen werden können". Dazu sind "erforderlichenfalls geeignete Hilfsmittel bereitzustellen".

Anzeige

Elektromobilität: Grundlagen und Praxis

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Das Landesamt teilte dazu mit: "Für die konkrete technische Umsetzung ist der Verwender der Messwerte verantwortlich", Das ist jedoch nicht Compleo, sondern sind die sogenannten E-Mobility Service Provider (EMSP) oder Charge Point Operators (CPO)(öffnet im neuen Fenster). Zu den EMSP zählen Anbieter wie Plugsurfing, New Motion oder Maingau. Ladesäulenbetreiber (CPO) sind Anbieter wie Allego, Innogy oder Ionity, die teilweise auch selbst Apps bereitstellen und damit als EMSP agieren.

Wie können Kunden überprüfen, ob ein Ladevorgang tatsächlich ihrer Ladekarte zugeordnet wurde?

Compleo verweist auf Mobilitätsprovider

Compleo teilte dazu mit: "Der Nutzer kann den Hashwert zu seiner Karte beim Betreiber der Ladesäule erfragen. Der Betreiber hat die Information, wie der Hashwert gebildet wird, und kann mit der Tag-ID von Kunden (diese hat der EMSP auch) den Hashwert erzeugen. Es kann auch der Hashwert mit auf die Rechnung gedruckt werden, das ist aber vom Betreiber (EMSP/CPO) abhängig. Die Beweislast liegt beim EMSP." Das ist alles andere als kundenfreundlich.

Ohnehin erfüllen EMSP wie Plugsurfing bislang nicht die Voraussetzungen, um einen Ladevorgang noch einmal an der Ladesäule zu überprüfen. So ist auf den Rechnungen weder die UID noch ein Hashwert zu finden. Zudem lässt sich mit den Rechnungsangaben nicht der Ladevorgang an dem Compleo-Modul aufrufen. Denn dazu muss man an der Ladesäule den Zählerstand zu Beginn und Ende eines Ladevorgangs eingeben. Das wird auf den Rechnungen nicht angegeben.

Kritik von Dalheimer

CCC-Mitglied Dalheimer zeigte sich unzufrieden mit der Nachbesserung durch Compleo. "Wenn ich jetzt als Kunde zu einem Dritten gehen muss, um herauszufinden, wie ich die Signatur überprüfen kann, dann kann mir der Dritte auch alles Mögliche vorlügen. Das ist wie eine Zapfsäule ohne Anzeige, bei der man beim Bezahlen auf einen handschriftlichen Zählerstand des Tankwarts vertrauen muss", sagte er auf Anfrage von Golem.de.

Mathias Dalheimer: Warum das Laden eines Elektroautos unsicher ist (34C3)
Mathias Dalheimer: Warum das Laden eines Elektroautos unsicher ist (34C3) (52:54)

Seiner Ansicht nach ist die Nachvollziehbarkeit der Rechnung laut MessEG nicht gegeben, da nicht bekannt ist, wie die Hashwerte mit der UID zusammenhängen. "Was Compleo im vergangenen Jahr gemacht hat, ist, das Verfahren zu vergolden, obwohl es unrettbar kaputt ist. Es liegt nicht im Interesse von Compleo, ein kundenfreundliches und eichrechtskonformes Verfahren umzusetzen. Das wird scheitern, spätestens, wenn massenhaft die Abrechnungen an SAM-Ladestationen angezweifelt werden", sagte Dalheimer.

Absurde Lösungen mit wenig Nutzen

Das Beispiel zeigt einmal mehr: Die Forderungen des Mess- und Eichrechts führen in der Praxis zu absurden Lösungen, die für alle Beteiligten einen hohen Aufwand bedeuten. Allego musste in diesem Frühjahr die Hälfte seiner Mitarbeiter entlassen(öffnet im neuen Fenster), weil die Einnahmen gemessen an den Investitionen noch zu niedrig sind. Der Aufwand für eichrechtskonforme Module bringt den Elektroautofahrern aber wenig. Stattdessen wird bislang eher die Sicherheit ihrer Ladetags gefährdet.

Anzeige

Elektromobilität: Grundlagen und Praxis

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Abhilfe ist im Grunde nur möglich, wenn die unsicheren Mifare-Classic-Tags durch andere Chips ersetzt werden, die über einen zweiten Faktor wie eine Pin verfügen. Diese Anforderungen sollen mittelfristig in eine neue Anwendungsregel VDE-AR-E 2532-100 einfließen. Bis solche Tags auf den Markt kommen und die bisherigen ausgetauscht sind, dürfte es noch einige Zeit dauern.

Noch komfortabler und sicherer wäre es, einen Ladevorgang durch die Funktion Plug and Charge zu starten, wie es bei Tesla möglich ist. Zwar gibt es bereits einen entsprechenden Standard (ISO-15118(öffnet im neuen Fenster)) für die flächendeckende Einführung dieses Systems, doch ist dieser längst noch nicht umgesetzt. Möglicherweise kommt eine Verpflichtung für Plug and Charge mit der neuen Ladesäulenverordnung.

Zur Startseite 58 Kommentare

Relevante Themen

SecuritySicherheitslückeMobilitätAutoEnergie & KlimaEnergiewendeNachhaltigkeit