WIP (momentan nur die Folien verschriftlicht)

Überblick

Was ist NFC?

Near Field Communication (im folgenden NFC) ist eine Technologie, um Kommunikation über sehr kurze Entfernung zu ermöglichen. Es handelt sich hierbei um eine Erweiterung des RFID Standards ISO 14443, wodurch die Kommunikation sowohl zwischen NFC Geräten, als auch zwischen RFID Chips und NFC Geräten möglich ist. Dies erlaubt die Weiternutzung bestehender Infrastrukturen, ohne komplett neue Systeme ins Feld bringen zu müssen.

In den folgenden Abschnitten werden mehrere Einsatzmöglichkeiten sowie die Grundlagen der Technologie und deren Sicherheitsrisiken näher dargestellt.

Anwendungen

Wozu überhaupt NFC? -- Beispielanwendungen

• Mobile Tickets - Einchecken per Telefon.
• Smart Posters - Werbung, Informationen.
• Pairing - Bluetoothpairing vereinfachen.

Touch & Travel

• Mobiltelefon als elektronisches Ticket
• Einchecken an Touchpoint
• Aktuell: zweite Testphase (seit Dez. 2008)

TODO Grafik {bilder/mehdorn.jpg} Aus [1], So 16. Mai 18:09:36 CEST 2010}

Frankfurter U-Bahn

• smart poster
• Reiseinformationen
• Eventinformationen
• Informationen über Sehenswürdigkeiten
• Spezielle Angebote

vgl. nfcworld_april2010. \includegraphics[scale=0.5]{bilder/frankfurt-info-module.jpg}

NFC und andere Technologien

Mobilkom Austria:

• Elektronisches Geld, Tickets, etc.

Aus mobilkomaustria:

Thanks to NFC, many everyday applications will become even simpler: With a single movement of the hand, a mobile phone can be transformed into a railway ticket, tram ticket, pay-and-display parking ticket, lottery ticket and much more.

Technische Grundlagen

Technische Grundlagen

• ISO 18092
• Bidirektionale Kommunikation über kurze Entfernung (bidirectional proximity coupling device ).
• Basiert auf ISO 14443 (Standard für kontaktlose Chipkarten und deren Kommunikation)

Technische Grundlagen

• 13,56 MHz Spektrum (vgl. ISO 14443 und proximity cards )
• Transferraten: 106, 216, 424 kbit/s}
• Kommunikation üblicherweise über 2-4 cm (vgl. mulliner2009vulnerability)}
• NDEF (NFC Data Exchange Format) für die Kommunikation

Weitere Informationen: [2]

Operationsmodi

• reader/writer mode NFC-fähiges Gerät agiert als proximity coupling device (PCD).
• card emulation mode NFC-fähiges Gerät agiert als proximity inductive coupling card (PICC).
• peer-to-peer mode Zwei NFC-fähige Geräte tauschen über das Protokoll beliebige Daten aus.

${\displaystyle \Rightarrow }$ aktiver und passiver Modus

Message--Reply Concept

• Gerät A schickt an Gerät B eine Nachricht, um darauf eine Antwort zu erhalten.
• Passive Geräte können nicht als Initiator auftreten.

\includegraphics[scale=0.5]{bilder/message_reply/msgreply.png}

Sicherheit

Problematik

• Funktechnologie -- bringt Vielzahl von möglichen Gefahren
• Keine digitale Signaturen für passive Tags -- Manipulation

Gefahren

Mögliche Gefahren

• Eavesdropping \cite[S. 5] (Haselsteiner 2006)
• Data modification (corruption, modification, insertion) (ebd.)
• Man-in-the-middle} (ebd.)
• Manipulation von tags (Mulliner 2009)

Sicherheit bezüglich bestimmter Gefahren

Ernst Haselsteiner und Klemens Breitfuß analysieren in haselsteiner2006security die Sicherheit von NFC:

• Eavesdropping - möglich bei Abständen unter 10 m (aktiver Modus) oder 1 m (passiver Modus)
• Data modification/corruption/insertion - können erkannt und vermieden werden
• Man-in-the-middle -- schwer durchführbar

Diese Angriffe sind also nur schwer durchführbar. Sind einfachere Angriffe denkbar?

Manipulation

Manipulierte Tags

Collin Mulliner führt in mulliner2009vulnerability mehrere Beispielangriffe auf.

• NDEF Fuzzing -- Mobiltelephon stürzt eventuell bei bestimmten Werten einfach ab
• Padding -- Verbergen des URI
• NFC Wurm -- Link auf .jar, Nokia 6131 NFC führt diese Datei nach Beenden des Browsers aus

Manipulierte Tags

• Triviale Fehler in der Implementation
• Leicht auszunutzen
• Gefährlich, weil billig

Fazit

• Es gibt noch bestehende Sicherheitsprobleme, wobei Manipulation von tags am realistischten erscheint.
• Eavesdropping kann einfach verhindert werden. (vgl. haselsteiner2006security)
• Eine PKI ist nötig, um sicher mit passiven Tags arbeiten zu können.

Quellenverzeichnis

CLARK, Sarah: Frankfurt transport network gets NFC and QR Code smart posters. In: www.nearfieldcommunicationsworld.com Version: April 2010

HASELSTEINER, E.; BREITFUSS, K.: Security in near field communication (NFC). In: Workshop on RFID Security (RFIDSec’06), 2006

MATTES, Elisabeth: Telekom Austria Group: mobilkom austria and renowned partners launch the world’s largest and most comprehensive roll-out of NFC services. In: www.nfc-forum.org Version: September 2007

MULLINER, C.: Vulnerability Analysis and Attacks on NFC-enabled Mobile Phones. In: 2009 International Conference on Availability, Reliability and Security IEEE, 2009, S. 695–700