11-03-22 
Der EMV-Chip ist die lauteste Antwort der Finanzwirtschaft auf alle Fragen nach der Sicherheit im bargeldlosen Zahlungsverkehr, schrieb ich vor einem Jahr (1) und widmete mich dann dem geheimnisvollen MM, den codier- und maschinenlesbaren Merkmalsstoffen im Kartenkörper von Zahlungskarten.

Ganz frei von Bedenken war der Mikrocomputer in den Zahlungskarten schon damals nicht. Anfang 2010 wurde der Chip verbindlich in der Fläche eingeführt. Rund 30 Millionen der von den Banken ausgegebenen Karten wies einen Programmierfehler auf. Ihre Chips konnten die Jahreszahl 2010 nicht richtig verarbeiten (2). Es begann eine groß angelegte Umtauschaktion. Die dazu diskutierte Alternative war, die Chips per Update am Geldautomaten umzuprogrammieren. Für mich stellte sich deshalb die Frage: Wenn ein Update einfach so aufgespielt werden kann, ob dann auch Angreifer Manipulationen am Chip vornehmen können? Ich ließ die Frage offen.

Schon 2006 berichtete über eine Laborstudie britischer Forscher in der Form eines Man-in-the-Middle-Angriffs (3). Der damals billigste Chip verwendete das unverschlüsselte SDA-Verfahren und übermittelte die PIN in Klartext zum Terminal. Auf dem Weg dahin kann sie ausgelesen werden (4). Bingo!

Später demonstrierte dieselbe Forschergruppe, wie die Offline-Autorisierung der Chips manipuliert werden kann, auch wenn die Übermittlung verschlüsselt erfolgt (5): Hier erfolgt die Autorisierung im Chip selber. Das Terminal erwartet nur den Genehmigungscode "0x9000", der ihm signalisiert, dass die Autorisierung erfolgreich durchgeführt wurde. Das ist eine leichte Übung für den Man-in-the-Middle.
  

Schwachpunkt PIN Schwachpunkt Offline-Autorisierung Schwachpunkt technische Sicherheit technische Funktionen des EMV-Chips Datenklau und Manipulation Schwachstellenbewertung Fazit: Eingeschränkt sicher

Die Einzelheiten ihrer Experimente beschrieben die britischen Forscher im April 2010 (6), einschließlich der Programmcodes und weiterer Details. Der britische Bankenverband versuchte daraufhin, weitere Publikationen zu diesem Thema zu verhindern (7).

Eine andere Forschergruppe verfeinerte das Angriffsszenario, wie Marc Heuse jetzt bei berichtet (8). Zum Datenabgriff verwenden sie nunmehr eine flache Platine (9), die in den Kartenschlitz des Geldautomaten eingesetzt werden kann. Sie beeinflusst das Terminal so, dass es von einer Online-Autorisierung absieht und schließlich sogar die unverschlüsselte Übermittlung der PIN akzeptiert (10). Damit lassen sich auch die Kryptomechanismen im Chip umgehen.

Das Thema nahm dann auch Knoke bei Spiegel online auf (11). Er verweist wohlwollend auf das Arbeitspapier Skimming, was jedenfalls der Ankündigung der Version #2.2 (12) im Cyberfahnder zu einer neuen Aufmerksamkeitsspitze verholfen hat.

Angesichts dieser Labor-Experimente stellt sich die generelle Frage nach der Sicherheit des EMV-Chips.
 

 
Die Persönliche Identifikationsnummer - PIN - ist im EMV-Chip gespeichert und kann in verschiedenen Formen zum Terminal zur Authentifizierung übermittelt werden:

stark verschlüsselt mit der Dynamic Data Authentication - DDA (13),

fest verschlüsselt mit der Static Data Authentication - SDA (14) oder

unverschlüsselt.

Dem Anfang 2010 vorgestellten Verfahren war die PIN schließlich egal, weil die Authentifizierungsfunktion im EMV-Chip selber ausgehebelt wurde. Der Man-in-the-Middle übermittelte einfach nur den Genehmigungscode "0x9000".
 

 
Eine sichere Autorisierung verspricht nur das Online-Verfahren (15). Hierbei werden die Kartendaten, Transaktionsdaten und schließlich die PIN zum Rechenzentrum der kartenausgebenden Bank übermittelt, dort geprüft und schließlich der Genehmigungscode "0" zurück gemeldet (16). Damit ist zugleich die Garantie verbunden, dass die ausstellende Bank für die Transaktion bürgt.

Vor allem im Einzelhandel ist auch noch die Einzugsermächtigung gebräuchlich. Bei ihr weist sich der Kunde zwar mit seiner Zahlungskarte aus, die Transaktion genehmigt er aber selber mit seiner Unterschrift. Das führt zu einer Risikoverschiebung zu Lasten des Einzelhändlers. Er kann nicht darauf vertrauen, dass seine Forderung tatsächlich bedient wird.

An dieser Stelle schafft die Offline-Autorisierung Abhilfe. Wann immer das Online-Verfahren nicht durchgeführt werden kann, erfolgt die Autorisierung im Terminal, indem die PIN aus der Tastatureingabe mit dem Schlüssel oder dem Klartext aus dem EMV-Chip abgeglichen wird. Ist das Terminal dazu zu "dumm", akzeptiert es einfach nur den Genehmigungscode, den der EMV-Chip nach dem Abgleich generiert. Das Nachsehen hat der haftende und beweispflichtige Kunde.
 

 
Die vorgestellten Angriffsverfahren beschränken sich auf die Schnittstelle zwischen EMV-Chip und Terminal. Dennoch ist die grundsätzliche Frage berechtigt, wie es mit der inneren Sicherheit des EMV-Chips aussieht. Kann er ausgelesen und manipuliert werden?
  

 
Die einschlägigen Glossare (17) bieten einen guten Einstieg, erklären die Fachbegriffe, bleiben aber wegen der technischen Hintergründe oberflächlich und wortlos. Das gilt auch für das von kartensicherheit.de "nur für den internen Gebrauch" herausgegebene Glossar (18), das äußerst empfehlenswert ist, aber den Schwerpunkt Sicherheitsmanagement bedient. Das gilt schließlich auch für den Beitrag in der (19).

Das andere Extrem liefern Programmieranweisungen für Chips, die in die tiefsten Hintergründe für die Java-Programmierung verzweigen. Um die Technik zu verstehen, müssen wir andere Quellen suchen.

Den Einstieg gibt uns ein 10 Jahre alter Folienvortrag von Michael Syrjakow (20).

Der EMV-Chip ist eine "intelligente" Smart Card mit einem gekapselten Mikrocomputer in einem Mikrochip (21). Seine Kontaktfläche ist nach ISO 7810 genormt. Mit den beiden oberen Kontaktstellen wird er mit Strom versorgt und die übrigen 6 Kontakte dienen dem Datentransfer.

Sein integriertes Innenleben besteht aus typischen EDV-Komponenten. Zunächst sind das Speicher-Bausteine:

flüchtiger Arbeitsspeicher [RAM (22)]

Festwertspeicher [ROM (23)] für
  das Betriebssystem,
  die Datenkommunikation und
  die Verschlüsselung [DES (24), RSA (25)]

Flashspeicher [EEPROM (26)] für
  die Dateiverwaltung [Filesystem],
  die Adressierung der Programme [Program Files],
  die Anwendungsprogramme [Applikationen] und
  die Passwörter und Prüfcodes [Keys].
 

 
 Eine sichere Umgebung für Daten liefert nur der ROM. In ihm sind die Grundprogramme gekapselt, also die wichtigsten Routinen für die Programmabläufe, die Datenkommunikation und die Verschlüsselung.

 Das Problem ist der Flashspeicher. In seiner früheren Variante (EPROM) konnte er nur manuell gelöscht und neu beschrieben werden. Jetzt enthält er die Dateiverwaltung und alle Anwendungen, die auf das Betriebssystem aufsetzen, und kann er von dem Prozessor [CPU (27)] beliebig neu beschrieben werden. Er beherbergt auch die individuellen Daten der Karte, die Kontodaten, PIN, Prüfsummen und Algorithmen für die Verschlüsselung. Das ist auch der Grund dafür, dass der 2010-Bug mit einem Update abgestellt werden konnte: Das Betriebssystem benötigt Variablen für die Standorte im Dateisystem und für die besonderen Verarbeitungsabläufe für die spezifizierte Karte. Diese Daten sind alle im Flashspeicher und können prinzipiell manipuliert werden.

 Die Zugriffssicherheit gegen missbräuchliche Abfragen von außen müsste vom Eingabe-und Ausgabesystem [Input/Output (28)] als eine Art Türsteher geleistet werden werden, also von der Schnittstellenverwaltung.

Von der Architektur her ist die Schnittstellenverwaltung gut platziert. Sie hat keine direkte Verbindung zu den Speicherelementen und den auf dem Chip gespeicherten Daten, sondern nur zum Prozessor. Sie soll auch über einen Pufferspeicher verfügen (29), so dass sie Dateneingänge von außen kontrolliert und wiederholt an den Prozessor weiter geben kann.

Dem Prozessor (30) selber ist in aller Regel ein Krypto-Koprozessor angeschlossen, der die Verschlüsselungen durchführt. Zusammen gewährleisten sie vom Prinzip her, dass die auf dem Chip gespeicherten Daten nur in einer geprüften Umgebung und auf einem verschlüsselten Weg preisgegeben werden.
 

 
Drei Tatsachen trüben das Bild:

Der 2010-Bug hat gezeigt, dass der EMV-Chip Update-fähig ist und seine Applikationen auf dem Flashspeicher von außen geändert werden können. Damit ist es prinzipiell möglich, schädlichen Code einzubringen, der an das Betriebssystem angepasst ist und dann vom Prozessor ausgeführt werden kann.

Wenn der Flashspeicher von außen geändert werden kann, dann kann er prinzipiell auch ausgelesen werden.

Die jüngste Laborstudie hat die Anfälligkeit der Software-Architektur gezeigt. Der EMV-Chip lässt offenbar so viele verschiedene Arbeits-Modus zu, dass auch eine unverschlüsselte Datenkommunikation möglich ist. Wenn das die Applikationen und der Prozessor zulassen, dann nützt die beste technische Sicherheitsarchitektur nichts.

Drei hypothetische Annahmen kommen hinzu:

Wenn es gelingt, den Prozessor auszuschalten oder zu umgehen, dann können die Verarbeitungsvorgänge auch vom Angreifer selber ausgeführt werden (Grafik links).

Wenn es gelingt, Schadcode in den Flashspeicher einzubringen, dann kann er mit allen bekannten Methoden der Malware die Daten auslesen, an den Angreifer melden und Daten ändern.

Wenn es gelingt, den Pufferspeicher im Eingabe- und Ausgabesystem zu überfluten, dann besteht die theoretische Möglichkeit, dass der Eingabecode direkt in den Arbeitsspeicher gelangt und dort Malware-Funktionen ausführt.
 

 
Die britischen Laboruntersuchungen belegen, dass der EMV-Chip über seine Schnittstelle zum Terminal angegriffen werden kann. Er scheint von Haus aus so viele verschiedene Verarbeitungsmöglichkeiten zu bieten, dass jedenfalls einzelne davon die vernünftige Sicherheitsarchitektur aushebeln. Das Bestreben, dem EMV-Chip eine überaus große Einsatzbreite zu geben, hat offenbar die Sicherheitsanforderungen zurücktreten lassen.

Das gilt vor allem für die Möglichkeit, die gespeicherte PIN unverschlüsselt zum Terminal zu übermitteln. Das gehört hardwareseitig ausgeschlossen.

Auch die Möglichkeit, dass der Chip eine selbständige Autorisierung durchführen kann, ist eine unverzeihliche Sicherheitssünde. Wenn es also reicht, dass der Man-in-the-Middle nur den Genehmigungscode "0x9000" an das Terminal weiter geben muss, dann kann man das Sicherheitsmerkmal PIN gleich aufgeben.

Wenn von außen der Flashspeicher geändert werden kann, dann ist damit die Hintertür zum Auslesen der gespeicherten Daten geöffnet. Wenn man bedenkt, dass die Zahlungskarten in aller Regel nur zwei Jahre lang im Gebrauch sind, dann gibt es keinen vernünftigen Grund für eine Update-Fähigkeit. Sie muss vom Prozessor aus ausgeschlossen werden.

Das Eingabe- und Ausgabesystem ist keine Firewall. Eine sichere Architektur würde verlangen, dass es mit dem Prozessor nur über einen Kryptoprozessor kommunizieren kann. Das schränkt zwar die Anwendungsmöglichkeiten ein, verhindert aber unautorisierte Datenzugriffe und Datenübermittlungen im Klartext.
 

 
Das Smart Card-Konzept ist bestechend im Hinblick auf seine grundlegende Sicherheitsarchitektur. Wegen der zu breiten Möglichkeiten, die der EMV-Chip bietet, erscheinen die Sicherheitsvorkehrungen jedoch perforiert.

Selbst dem Nicht-Techniker (wie mir) drängt sich auf, dass die grundlegende Schwachstelle des EMV-Chips die Überfrachtung des Flashspeichers ist, der alle Applikationen birgt. Ihre Grundfunktionen müssten eigentlich im Festwertspeicher eingebunden sein und im Flashspeicher dürften nur die Variablen gespeichert werden.

Der Prozessor dürfte nur über feste Befehlssätze verfügen und nicht programmierbar sein.

Das Eingabe- und Ausgabesystem müsste unmittelbar mit einem Kryptoprozessor verbunden sein, der den Prozessor abschirmt. Ein Klardaten-Transport würde dadurch ausgeschlossen.

Dem Juristen stellen sich die Fragen nach der Risikoverteilung und der Beweislast. Zu recht hat Knoke angemerkt: Der Angriff aber zeigt noch ein ganz anderes Problem auf: Den Liablity Shift, die Verschiebung der Verantwortung von der Bank oder dem Geldkartendienstleister hin zum Kunden. Denn das EMV-Prinzip gilt als "sicher", im Schadensfall obliegt dem Kunden damit die Beweislast, Opfer eines Datendiebstahls geworden zu sein. (31)
 

 
Der Einsatz des EMV-Chips kann angesichts der Schnittstellenangriffe in den Labortests und den offenbar gewordenen strukturellen Mängeln keine Beweislastregel der Art rechtfertigen, dass er zunächst einmal als sicher anzusehen ist. Wenn es zum Streitfall kommt, ist zunächst zu fragen, in welchem Arbeitsmodus und in welcher Umgebung er eingesetzt wurde.

Wurde er zur Online-Autorisierung eingesetzt, dann dürfte es sich um die Originalkarte handeln. Das gilt besonders dann, wenn auch die digitale Kartennummer (32) abgefragt und geprüft wurde.

Wurde er zur Offline-Autorisierung eingesetzt, dann ist nach der eingesetzten Verschlüsselung zu fragen. RSA hat Schwächen und die Übermittlung im Klartext lässt eher einen Missbrauch wahrscheinlich erscheinen.

Die Autorisierung im Chip selber kann für sich keine Sicherheit beanspruchen.

Es ist zu erwarten, dass zunächst Rechtsstreite mit widersprechenden Ausgängen geführt werden. Der Finanzwirtschaft ist zu raten, die hier diskutierten Schwachstellen ernst zu nehmen und abzustellen. Sie werden sich meiner Erfahrung nach verdichten und bergen das Risiko eines nachhaltigen Vertrauensverlustes.
 

(1) Sicherheitsmerkmale und Merkmalstoffe, 06.02.2010

(2) Turbulenzen beim bargeldlosen Zahlungsverkehr, 06.02.2010;
EC-Karten-Update soll Fehler beheben, c't 3/2010, S. 53.

(3) Schwachstellen in neuer Kreditkartengeneration, 08.03.2006

(4) Mike Bond, Chip and PIN (EMV) Point-of-Sale Terminal Interceptor, 07.03.2006

(5) Daniel Bachfeld, Phish & Chips. Angriff auf das EMV-Verfahren bei Bezahlkarten, c't 6/2010

(6) Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond, Chip and PIN is Broken, University of Cambridge 07.04.2010

(7) EMV offline, 27.12.2010;
Peter Muehlbauer, Britische Banken wollen Cambridge-Universität zensieren, 27.12.2010

(8) Marc Heuse, PIN-Skimming bei Chipkarten möglich, Heise online 16.03.2011

(9) Großansicht

(10) Andrea Barisani, Daniele Bianco, Adam Laurie, Zac Franken, Chip & PIN is definitely broken. Credit Card skimming and PIN harvesting in an EMV world, Inverse Path 15.03.2011

(11)

Felix Knoke, EU will Internet-Radiergummi als Gesetz. Sicherheitsexperten demonstrieren Chipkarten-Skimming

(12) Aktualisierung des AP Skimming, 25.02., 16.03.2011

 
(13) Kein Geld am Bankautomaten wegen Sicherheitschip, Heise online 04.01.2010

(14) Ebenda (13)

(15) Autorisierung und Clearing, 02.08.2009

(16) Zwei Szenarien lassen mir seither keine Ruhe:
Was passiert eigentlich, wenn sich der Angreifer in eine der Zwischenstationen hackt und zum Beispiel die Gebührenforderung verändert und nach der Genehmigung den Differenzbetrag auf ein eigenes Konto umleitet?
Und was passiert, wenn sich der Angreifer in das Rechenzentrum des Geldautomaten-Betreibers hackt, und dem Geldautomaten immer wieder den Genehmigungscode "0" sendet?
Die Antwort auf die zweite Frage kennen wir schon: Hacker's Traum: Jackpot, 29.07.2010.
Wegen der ersten Frage gilt nichts anderes.

(17) Zum Beispiel: Chip Terms Explained
A Guide to Smart Card Terminology, Visa 31.10.2002

(18) Glossar kartensicherheit.de, Oktober 2007

(19) EMV (Kartenzahlungsverkehr)

(20) Michael Syrjakow, Smart Cards, Uni Karlsruhe 05.02.2001

(21) Prozessorchipkarten; Bild.

(22) Random-Access Memory

(23) Festwertspeicher = Read-Only Memory

(24) Data Encryption Standard

(25) RSA-Kryptosystem

(26) Electrically Erasable Programmable Read-Only Memory

(27) Hauptprozessor

(28) Eingabe und Ausgabe

(29) Eingabe und Ausgabe. Hardware

(30) Auch die Prozessoren gibt es in zwei Varianten ( Prozessorchipkarten), solche, die über einen festen Befehlssatz verfügen ("fest verdrahtet" sind) und jene, die programmiert und für besondere Anwendungen angepasst werden können. Das gilt vor allem für die  Javakarte.

(31) (11)

(32) Siehe: Card Validation Code.
Über die digitale Kartennummer (der 2008 eingeführte iCVV oder Dynamic CVV) gibt es nur wenige brauchbare Hinweise. Er ergänzt die aufgedruckte Kartennummer und ist offenbar sowohl auf dem Magnetstreifen wie auch im EMV-Chip gespeichert. Warum aber, wie Heuse meint [ (8)], dieses Merkmal dem Herausgeber den missbräuchliche Einsatz des Magnetstreifens signalisiert, kann ich noch nicht nachvollziehen.