Алгоритм шифрования Crypto-1 не выдержал испытания временем.
В июле 2024 года эксперты по кибербезопасности обнаружили новую уязвимость в технологии бесконтактных карт MIFARE Classic, которая широко используется в транспортных системах, системах доступа и других критически важных областях. Эта технология давно привлекает внимание как исследователей, так и злоумышленников, но последние открытия показали, что уязвимость может быть более серьёзной, чем предполагалось ранее.
Исследователи из французской компании Quarkslab провели детальный анализ алгоритма шифрования Crypto-1, который используется в картах MIFARE Classic для защиты данных. Этот алгоритм был разработан в 1990-х годах и уже несколько лет считается устаревшим, но все ещё широко используется. Новые методы атак, такие как улучшенные варианты брутфорса и атаки по побочным каналам, позволяют злоумышленникам значительно легче преодолевать защиту и клонировать карты.
В частности, специалисты обнаружили, что атака на одну из слабых сторон алгоритма Crypto-1 позволяет быстро вычислить ключ шифрования, что открывает злоумышленникам доступ ко всем данным, хранящимся на карте. Используя специальное оборудование и программные инструменты, такие как Proxmark3, злоумышленники могут клонировать карту всего за несколько минут.
Эта ситуация вызывает серьёзное беспокойство у организаций, которые зависят от использования карт MIFARE Classic для обеспечения безопасности. В число таких организаций входят транспортные системы крупных городов, университеты, коммерческие компании и даже государственные учреждения.
Эксперты настоятельно рекомендуют всем пользователям данной технологии как можно скорее рассмотреть возможность перехода на более современные решения, такие как MIFARE DESFire, которые используют более надёжные алгоритмы шифрования, например, AES (Advanced Encryption Standard).
Кроме того, специалисты отмечают, что проблема затрагивает не только системы доступа, но и другие сферы, где применяются карты MIFARE Classic, например, системы оплаты, идентификации и контроля. Компании, использующие устаревшие карты, могут столкнуться с серьёзными финансовыми и репутационными рисками, если их системы будут скомпрометированы.
В связи с этим многие компании и организации начали срочную проверку своих систем безопасности. Некоторые из них уже приступили к поэтапному обновлению инфраструктуры, что потребует значительных затрат, но в перспективе позволит избежать более серьёзных проблем.
Исследователи также подчёркивают, что использование устаревших технологий в критически важных системах безопасности недопустимо в современных условиях, когда киберугрозы становятся всё более изощренными. Чтобы обеспечить безопасность и предотвратить возможные атаки, необходимо переходить на современные технологии, способные обеспечить высокий уровень защиты данных.
Ладно, не доказали. Но мы работаем над этим