Analyzovali sme verejne pou\u017e\u00edvan\u00e9 \u010dipov\u00e9 karty (Bratislavsk\u00e1 elektri\u010denka, univerzitn\u00e9\/ISIC preukazy, parkovacie karty, preukazy Slovak Lines a in\u00e9) na Slovensku a v \u010cech\u00e1ch zalo\u017een\u00e9 na technol\u00f3gi\u00ed Mifare Classic. Pomocou viacer\u00fdch technologick\u00fdch postupov a na z\u00e1klade dostupn\u00fdch vedeck\u00fdch publik\u00e1ci\u00ed sme prakticky demon\u0161trovali mo\u017enos\u0165 kompletn\u00e9ho z\u00edskania pr\u00edstupov\u00fdch k\u013e\u00fa\u010dov pou\u017e\u00edvan\u00fdch na \u0161ifrovanie obsahu uveden\u00fdch kariet. Prakticky sme tie\u017e overili mo\u017enos\u0165 plnej kontroly nad testovan\u00fdmi \u010dipov\u00fdmi kartami vr\u00e1tane kompletn\u00e9ho pre\u010d\u00edtania, modifik\u00e1cie a vyklonovania. Odhadli sme n\u00e1klady na realiz\u00e1ciu samotn\u00e9ho \u00fatoku ako aj navrhli vhodn\u00e9 bezpe\u010dnostn\u00e9 protiopatrenia \u2013 od najbezpe\u010dnej\u0161\u00edch (kompletn\u00e9 stiahnutie zranite\u013en\u00fdch kariet a nahradenie bezpe\u010dnej\u0161\u00edmi) a\u017e po menej bezpe\u010dn\u00e9 (zviazanie UID karty s pasa\u017eierom, overovanie platnosti UID karty, digit\u00e1lne podpisovanie obsahu, „decrement counter“ rie\u0161enie).<\/p>\n
Na demon\u0161tr\u00e1ciu z\u00e1va\u017enosti uvedenej zranite\u013enosti a nevyhnutnosti s\u00fa\u010dasn\u00e9 karty presta\u0165 pou\u017e\u00edva\u0165 a nahradi\u0165 bezpe\u010dnej\u0161\u00edmi, sme vytvorili a zverejnili vlastn\u00fa implement\u00e1ciu \u201eoffline nested“ \u00fatoku pomocou ktor\u00e9ho je mo\u017en\u00e9 \u00fatokom na kartu (bez pou\u017eitia legit\u00edmnej RFID \u010d\u00edta\u010dky) z\u00edska\u0165 v\u0161etky k\u013e\u00fa\u010de ku v\u0161etk\u00fdm sektorom.<\/p>\n