我家里有一个NFC标签用于进入公共区域。我的室友正在玩Arduino的读卡器/写卡器。之前我曾经研究过这个话题,我告诉他克隆卡并不容易,因为他们有加密测量来保护数据,他不得不破解它们。我很久以前就已经读过这篇文章,所以我告诉他,因为卡片可能是Mifare,如果他真的想要他可以用this在3分钟内破解它。
为了我的娱乐,他告诉我他可以读取所有数据块。我想也许他们错了数据,但每次都是一样的。所以我告诉他写一个随机的块。令我惊讶的是他可以(他在写的时候读了它)。由此我认为这张卡没有激活写保护。这并不一定意味着它没有使用安全措施来避免使用公钥/私钥进行克隆,因为它们可能是独立的AFAIK,也许他们忘记了或者他们没有将它们设置为只读出于某种原因,但我希望我家的钥匙能够采取措施避免克隆!
所以问题是,我们如何验证卡片是否可以轻松克隆?所有的迹象似乎都指出它完全不安全,但也许我们只是阅读一些公开的块,而不是私有块,而且恰好卡片没有写保护。我们可能只是尝试克隆并查看我们是否可以进入建筑物但是读者可能会使用该ID作为验证(因为它可以被复制但对于安全性不是很好但是我们不会知道但所以它不是100%证明。
总而言之,基于所提供的信息,可以确保该卡没有保护以避免阅读它吗?我们怎样才能确定我们读到的数据是对的?
编辑:只有一个扇区在标签中写入了数据(第一个)并且不能写入该部分,但在其他部分中它没有问题。我认为这是ID。因此,我认为该建筑只是检查标签的ID以进行验证。这是一种安全风险,我们很难破解,但对于拥有硬件知识的人来说非常容易,因为建筑物的钥匙没有加密。我的假设是正确的吗?
答案 0 :(得分:2)
是的,你的假设对我来说是正确的。使用卡的芯片UID(“唯一ID”)是非常普遍的,并且在安全性方面不是最好的想法:虽然UID通常在制造时设置,但是可以获得可以设置UID的一些设备。一个示例是具有HCE(“主机卡仿真”)的带根的Android手机,其中分配随机UID的NFC库使用要克隆的UID进行编辑。
最有可能的是,你家的门禁控制系统根本没有使用任何Mifare功能 - 任何非接触式卡都可以使用,只要它只使用UID。