Najpopularniejszymi kartami zbliżeniowymi są karty Mifare Classic firmy NXP Semiconductors. Na świecie sprzedano ich ponad miliard. Producent podaje, że karty te obejmują 70% rynku kart zbliżeniowych. Są powszechnie używane w systemach kontroli dostępu, rozliczania płatności usług, jako bilety komunikacji zbiorowej oraz rejestracji czasu pracy. Wykorzystują je organizacje rządowe (także w Polsce), firmy transportu zbiorowego (taką kartą jest np. Warszawska Karta Miejska) oraz wiele firm, które powierzyły bezpieczeństwo technologii Mifare. Paradoksalnie, są to firmy, które zdecydowały się na wdrożenie takich kart głównie ze względów bezpieczeństwa. Są to przeważnie bogate korporacje, które zainwestowały znaczne fundusze w system posiadający poważny błąd konstrukcyjny - możliwość skopiowania. Przy niektórych błędach implementacji jest to szczególnie łatwe, taką kartę można skopiować w czasie poniżej 10 sekund.

Pierwsze próby i nowy atak

Próby złamania zabezpieczeń kart Mifare podejmowano wielokrotnie. Pierwsze ataki wymagały kontaktu urządzenia odbiorczego z czytnikiem. Następnym krokiem było opracowanie scenariusza ataku, w którym przechwytywany jest sygnał z czytnika bez obecności zgodnej karty, a następnie odczytywanie danych karty z użyciem informacji pochodzących z poprzednich obliczeń. W obu przypadkach niezbędny był dostęp do czytnika kart. Najnowszy atak, informacje o nim opublikowano w maju br., spełnia warunek maksymalnie niekorzystnego scenariusza, gdzie napastnik zdalnie kopiuje dane z nieznanej karty danego standardu w bardzo krótkim czasie, bez znajomości żadnych sygnałów wysyłanych przez czytnik.

Najważniejszą słabością kart zbliżeniowych jest nieodporny algorytm i fatalnej jakości generator liczb losowych, którego obliczenia są przewidywalne w czasie. Opis tego ataku przedstawiono na konferencji Eurocrypt 2009 w Kolonii i zostanie ponownie pokazany - uwzględniając nowe zdobycze kryptologii - na Międzynarodowej Konferencji Bezpieczeństwa oraz Kryptografii SECRYPT 2009 w Mediolanie (7-10 lipca). Autorami raportu, do którego dotarliśmy są naukowcy z Polski i Wlk. Brytanii. Podobne dokumenty zostały także opublikowane na holenderskich portalach hackerskich.