Maximale Auslesedistanz von ISO 14443 RFID-Chips

(Dieser Artikel verwendet einige Begriffe, die nicht näher erklärt werden. Eine Übersicht kann im Glossar gefunden werden.)

Die Frage, welches die maximale Distanz ist, aus der ein RFID-Chip ausgelesen werden kann, sorgt immer wieder für Verwirrung. Dies kommt einerseits daher, dass sich die Reichweiten je nach Typ (und damit auch Frequenzbereich) des eingesetzten RFID-Chips unterscheiden, und andererseits muss zwischen aktivem Auslesen und passivem Mithören unterschieden werden.

Dieser Text beschäftigt sich mit der Auslesedistanz von RFID-Chips nach ISO 14443, da diese in elektronischen Pässen verwendet werden. Sie arbeitet auf einer Frequenz von 13.56 MHz, also im Kurzwellenbereich, der z.B. auch von Radiosendern benutzt wird.

Aktives Auslesen

Von aktivem Auslesen wird gesprochen, wenn ein Angreifer direkt mit dem Tag des Opfers kommuniziert. Da dieses über keine eigene Energiequelle verfügt, muss der Leser des Angreifers den Chip mit Energie versorgen (dies funktioniert über induktive Kupplung, ähnlich wie bei einem Transformator).

Die Spezifikation ISO 14443 spricht von "Proximity Coupling" und nennt einen Einsatzbereich von etwa 10 cm. Da der Tag vom Leser stets mit genügend Energie versorgt werden muss, ist es auch tatsächlich schwierig, grössere Reichweiten zu erreichen. Bis zu einem gewissen Mass lässt sich dies durch folgende zwei Massnahmen beim Leser erreichen:

• Grössere Antennenfläche
• Mehr Energie

Da die Kopplung zwischen Tag und Leser aber mit zunehmender Distanz sehr schnell schlechter wird, ist aber auch damit nur eine begrenzte Reichweite möglich. Einem Forscher der Universität Cambridge gelang es beispielsweise, mit einer Leistung von 4 W und einer Antenne von 297 x 420 mm, einen Tag aus einer Distanz von 27 cm zu aktivieren (wobei aber die Antwort vom Chip für eine Auswertung zu schwach war) [1]. Zwei andere Forscher, Ilan Kirschenbaum und Avishai Wool, bieten auch gleich eine Bauanleitung für einen Leser an, mit dem das aktive Auslesen aus ca. 25 cm Distanz möglich ist [2].

Wie weit sich die Reichweite noch vergrössern lässt, ist schwer zu sagen. Die beiden Forscher Kfir und Wool untersuchten die Frage anhand von Simulationen und sagten eine Reichweite von 40 - 50 cm voraus [3].

In Medien wird manchmal davon berichtet, dass ein Chip aus einer Distanz von mehreren Metern ausgelesen wurde. Damit ist aber meist entweder passives Mithören, oder ein anderer Frequenzbereich gemeint. Ein aktives Auslesen eines ISO 14443 RFID-Tags aus einer Entfernung von mehr als 50 cm dürfte sehr schwierig, falls nicht gar unmöglich sein.

Passives Mithören

Von passivem Mithören ist die Rede, wenn es darum geht, die Kommunikation zwischen einem Leser und einem Tag (die sich beide nicht unter der Kontrolle des Angreifers befinden) mitzuhören, ohne selbst daran teilzunehmen.

Nur Kommunikation Leser zu Tag

Da der Leser einen sehr starken Träger aussendet (und auch senden muss, um den Tag mit genügend Energie zu versorgen) und die Informationen mittels Amplitudenumtastung direkt auf den Träger moduliert sind, ist ein Mithören der Kommunikation vom Leser zum Tag relativ einfach und sollte problemlos auch aus Distanzen über 10 m möglich sein.

Die grosse Leistung des Trägers kann man sich mit einem einfachen Kurzwellenradio vor Augen führen. Stellt man ein solches auf eine Frequenz von 13.56 MHz ein, so hört man auch aus einer Distanz von 50 m noch problemlos die vom RFID Leser verursachten Störungen. Obwohl Radios i.A. eine zu kleine Bandbreite haben, wäre mit etwas aufwendigerem Equipment auch eine Rekonstruktion der Information, die der Leser zum Tag sendet, möglich.

Szenario eines Angriffs

Da bei einem passiven Angriff auf die Kommunikation des Lesers auch grössere Distanzen möglich sind, wäre es z.B. denkbar, dass ein Angreifer von einem Restaurant in der Nähe der Passkontrolle auf einem Flughafen vertrauliche Informationen mithört. Die nötige Ausrüstung dazu könnte beispielsweise in einem Rucksack oder Koffer untergebracht, und mit einem Laptop gesteuert werden. Auch wenn damit nur eine Richtung mitgehört werden kann, und die Kommunikation ausserdem verschlüsselt ist, wäre es z.B. vorstellbar, die gewonnenen Informationen zu nutzen, um einen kryptographischen Angriff auf den BAC-Schlüssel zu unternehmen, womit nachher auch ein aktives Auslesen aus der Nähe möglich wäre.

Beide Richtungen

Möchte ein Angreifer beide Richtungen der Kommunikation mitschneiden, so muss auch das Signal vom Tag zum Leser berücksichtigt werden.

Da der Tag nur wenig Energie zur Verfügung hat, und davon nur einen Teil für die Lastmodulation verwenden kann, antwortet dieser dem Leser mit einem deutlich schwächeren Signal (i.A. ist die Antwort 60 - 80 dB schwächer; dies bedeutet, dass das Signal vom Tag eine Energie hat, die 1'000'000 bis 100'000'00 mal kleiner ist als die Energie des Trägers). Zusätzlich befinden sich die Seitenträger (Antwort des Tags) auf einem Abstand von nur 847kHz zum Hauptträger (Signal des Lesers). Daher muss dem Angreifer einen Empfänger mit sehr guten Filtern zur Verfügung stehen, um das Signal des Lesers von der Antwort des Tags unterscheiden zu können.

Aus welcher Distanz nun ein Abhören möglich ist, hängt u.a. also vom verwendeten Equipment ab. Dem BSI gelang beispielsweise ein Abhören aus 2 m mit einfachen Mitteln [4]. Dem bereits erwähnten Forscher aus Cambridge gelang ein passives Abhören auch aus einer Distanz von 4 m [1]. Wie weit sich diese mit besseren Geräten und Antennen noch vergrössern lässt, ist schwer abzuschätzen.

Wie ein Messbericht des BAKOM bestätigt [5], ist es möglich die Kommunikation des Lesers mit dem Pass aus einer Distanz von 25 Metern mitzuhören. Über noch grössere Distanzen kann das Signal über das Stromnetz mitgehört werden: Da die Passleser am Stromnetz angeschlossen sind, dringt das Signal ungewollterweise auch über die Kuperfleitungen nach draussen und kann laut Bakom aus einer Distanz von bis zu 500 Metern gelesen werden.

Zusammenfassung

Folgende Reichweiten sind denkbar:

• Aktiv: 25 cm, ev. bis 50 cm; mehr als 1 m ist sehr unwahrscheinlich
• Passiv, nur Kommunikation Leser zu Tag: Problemlos auch mehr als 10 m
• Passiv in beide Richtungen: 4 m, ev. auch mehr
• Passiv übers Stromnetz: 500 m

Sowohl die aktive Reichweite von 25 cm, als auch die Möglichkeiten zum passiven Mithören, lassen einem Angreifer ein breites Spektrum an Möglichkeiten, um an Daten zu kommen.

Quellen:

[1] Gerhard P. Hancke, Practical Attacks on Proximity Identification Systems (Short Paper)
[2] Ilan Kirschenbaum und Avishai Wool, How to Build a Low-Cost, Extended-Range RFID Skimmer
[3] Ziv Kfir und Avishai Wool, Picking virtual pockets using relay attacks on contactless smartcard systems
[4] BSI, RFID - Abhörmöglichkeiten der Kommunikation zwischen Lesegerät und Transponder am Beispiel eines ISO 14443-Systems
[5] BAKOM - Abklärungen über die Datenauslesung auf Distanz beim biometrischen Pass