Unsichere Chip-Kreditkarten
Artikel erschienen in Swiss IT Magazine 2006/05
Eigentlich sollte der Einbau von Chips anstelle von Magnetstreifen in die neue Kreditkarten-Generation diese ja sicherer machen. Das ist aber nicht der Fall, wie Wissenschafter von der Cambridge University im Labor nachgewiesen haben. Über ein manipuliertes Karten-terminal lässt sich nämlich die Kommunikation der Karte mit dem Lesegerät abhören. Mit den so gewonnenen Daten können wiederum eigene Kreditkarten hergestellt und für Zahlungsvorgänge verwendet werden.
Der Betrug wird durch das eingesetzte Sicherheitsverfahren SDA (Static Data Authentication) ermöglicht. Dabei wird eine Kombination von festen Kartendaten mit einem RSA-Schlüssel signiert. Diese Signatur ist statisch und kann bereits bei der Herstellung der Karte in den Chip integriert werden. Da der Chip keine kryptografischen Operationen durchführen kann, wird die am Terminal eingegebene PIN zur Verifizierung im Klartext an die Karte geschickt und kann dabei abgehört werden. Sicherer wären dagegen die teureren DDA-Karten (Dynamic Data Authentication).