资料：M1卡破解带来的危险及应对办法.pdfVIP

今年年初以来，一个消息的传出震惊了整个 IC 卡行业。最近，德国和美国的研究人员成功 地破解了 NXP 的 Mifare1芯片的安全算法。Mifare1芯片主要用于门禁系统访问控制卡，以 及一些小额支付卡，应用范围已覆盖全球。因此这项“成果”引起了不小的恐慌，因为一个 掌握该破解技术的小偷可以克隆任何一个门禁卡，从而自由进出政府机关大楼或公司办公 室；可以批量的克隆或伪造各种储值卡大肆购物而不被发现。国内发行的这种卡，估计有几 亿张在投入使用，它的安全性涉及到众多的运营单位和持卡人的利益。近 日，有研究人员宣 布 MIFARE 系列产品的安全性存在薄弱环节，在他的研究室里，通过研究读写器和卡之间的 通信数据 ，找到 了这种卡 的加密算法和认证通信 的协议 ，并有两种方法可 以得到 MIFAREclass 逻辑加密卡的分区密码。通过这种方法，破坏者可以使用非常廉价的设备在 40ms 内就可以轻易获得一张 M1卡的密码。面对这种灾难性的事实，有些公司宣称他们有办 法弥补这一漏洞，用户可以继续使用这种卡片而不必担心。那么，M1卡的破解真的有那么大 的破坏力么，目前的一些“安全”手段真的有效么。回答这一问题，我们需要先从了解 Mifare1系列卡片的结构和安全认证机制开始。 Mifare 系列非接触 IC 卡是荷兰 Philips 公司的经典 IC 卡产品（现在 Philips 公司 IC 卡部门独立为 NXP 公司，产品知识产权归 NXP 所有）。它主要包括在门禁和校园、公交领域 广泛使用的 MifareoneS50 （1K 字节）、S70(4K 字节)，以及简化版 MifareLight 和升级版 MifarePro4种芯片型号。这几种芯片中，除MifarePro 外都属于逻辑加密卡，即内部没有独 立的 CPU 和操作系统，完全依靠内置硬件逻辑电路实现安全认证和保护的 IC 卡。其主要结 构如图所示： 主要结构图 在 Mifare1芯片结构中，AuthenticationAccessControl 认证与访问控制单元用于完成 卡片的密码认证，控制各个数据扇区的读写权限；CryptoUnit 数据加密单元就是其认证和 加解密运算的算法引擎。Mifare 系列 IC 卡是 NXP 公司的专利产品，它采用了一种 NXP 特有 的加密算法来完成认证和加解密运算。由于这种算法是 NXP 特有且不公开的算法，Mifare 系列 IC 卡采用了一种特殊的手段来实现在不公开算法的前提下完成认证，即将同样的算法 引擎放置在 NXP 出产的专用 Mifare 读写基站芯片中（如常用的 RC500和 RC531），认证过程 由基站芯片“代替”用户系统与 Mifare 芯片之间完成。这一认证过程就是常常被 Mifare 模板资料 资源共享 系列芯片宣传的“三重认证”，其实质就是基站芯片与 Mifare 芯片之间相互传递随机数以 及随机数的密文，通过对随机数密文的解密比对实现对卡片的认证。Mifare 芯片所引以为 豪的“数据加密传输”也是由基站芯片加密后传送给 Mifare 芯片的。这个过程可以简化为 下图所示： MIFARE 卡的“三重认证”示意图 如图所示，M1卡所宣称的三次认证及输入加密传输等安全特性指的是 M1卡与 RC500等 NXP 基站芯片 （或兼容芯片）之间的认证和加密。由于NXP 对 M1卡与基站芯片间的通讯协议 和加密认证机制严格保密，因此从这里进行破解难度很大。然而不幸的是，最终这个算法和 机制还是被破解了。研究人员找出了算法和通讯协议中的漏洞，可以轻易地通过几十次试探 攻击 （约40ms）就能够获得一张卡片的所有密钥。事实上，在 Mifare 芯片的兼容产品出现 的那一天起，这个秘密就已经不是秘密了，因为完全兼容，实际就意味着已经掌握了这个算 法。 在 Mifare1卡片安全问题暴露后，一些公司公开宣称已经有了解决的办法，其中的法宝 就是所谓 “一卡一密”，也就是每一张卡片的每一个扇区的密钥都不相同，使用 CPU 卡装载 系统根密钥，根据 Mifare1卡的唯一序列号计算子密钥，防止一张卡片被破解而影响整个系 统。其实这种解决方案在 Mifare1卡破解之前就已经出现。那么，一卡一密真的能解决 Mifare1的安全问题么，我们还是要从 Mifare1卡的认证机制着手进行分析。 我们已经知道，Mifare1卡的认