La technologie sans contact NFC – Aspects protocolaires et sécurité Fabrice Peyrard, Emmanuel Conchon ([email protected]) La technologie sans contact en champs proche Famille des technologies sans contact Etiquettes RFID (Radio Frequency Identification) Carte sans contact Stockage des données confidentielles avec garantie d’authenticité Near Field Communication (NFC) Les étiquettes RFID première génération Fonction d’identification Faible volume de données stockées/échangées Pas ou peu de sécurité Fonctionnement passif L’énergie est envoyée par le lecteur pour assurer la communication 2 La technologie sans contact en champs proche Les cartes sans contact Date des années 80 sous la forme de badge (pour l’identification essentiellement) Dans les années 90, elles se sont développées sous la forme de carte de micro paiement, cartes de fidélités, de transport etc… Depuis les années 2000 des cartes sécurisées se sont imposées avec des fonctionnalités de stockage des données confidentielles, d’authentification… Exemple: le passeport biométrique Une carte = une fonction 3 La technologie sans contact en champs proche Les cartes sans contact Mifare Classic (NXP) Taille: 1k (existe aussi en 4k) 768 octets de stockage répatis sur 16 secteurs 1 secteur de sécurité contenant deux clés (A et B) permettant de protéger l’accès aux autres secteurs Mifare UltraLight (NXP) Taille: 512bits Pas de sécurité Mifare DESFire (NXP) Intègre des algorithmes de chiffrement (3-DES, AES) Authentification basée sur MAC Test de proximité pour éviter les attaques par relay Certification Critère Commun EAL4+ (conçu, testé et vérifié méthodiquement) 4
19
Embed
La technologie sans contact NFC – Aspects …p-fb.net/fileadmin/_migrated/content_uploads/CRYPTIS-20150202.pdf · Mode de communication NFC. NFC et normes Deux normes sont utilisées
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
La technologie sans contact NFC –Aspects protocolaires et sécurité
Famille des technologies sans contact Etiquettes RFID (Radio Frequency Identification)
Carte sans contact Stockage des données confidentielles avec garantie d’authenticité
Near Field Communication (NFC)
Les étiquettes RFID première génération Fonction d’identification
Faible volume de données stockées/échangées
Pas ou peu de sécurité
Fonctionnement passif L’énergie est envoyée par le lecteur pour assurer la communication
2
La technologie sans contact en champs proche
Les cartes sans contact Date des années 80 sous la forme de badge (pour l’identification essentiellement)
Dans les années 90, elles se sont développées sous la forme de carte de micro paiement, cartes de fidélités, de transport etc…
Depuis les années 2000 des cartes sécurisées se sont imposées avec des fonctionnalités de stockage des données confidentielles, d’authentification… Exemple: le passeport biométrique
Une carte = une fonction
3
La technologie sans contact en champs proche
Les cartes sans contact Mifare Classic (NXP)
Taille: 1k (existe aussi en 4k)
768 octets de stockage répatis sur 16 secteurs
1 secteur de sécurité contenant deux clés (A et B) permettant de protéger l’accès aux autres secteurs
Mifare UltraLight (NXP) Taille: 512bits
Pas de sécurité
Mifare DESFire (NXP) Intègre des algorithmes de chiffrement (3-DES, AES)
Authentification basée sur MAC
Test de proximité pour éviter les attaques par relay
Certification Critère Commun EAL4+ (conçu, testé et vérifié méthodiquement)
4
La technologie sans contact en champs proche
Mifare Plus (NXP) La remplaçante de la Mifare Classic
Renforcement de la sécurité avec une certification EAL 4
FELICA (Sony) Clé de chiffrement générée dynamiquement à chaque transaction
Certification Critère Commun EAL 4
Topaz Tag Innovision
Java Card Contactless
5
La technologie sans contact en champs proche
La technologie NFC Un équipement NFC peut avoir plusieurs fonctions et intégrer de manière native
la sécurité
Peut être vu comme une extension de la technologie RFID
Caractéristiques Communication basée sur la technologie radio à 13.56 MHz
Très courte portée 1 à 4 cm max
Faibles débits (106 / 216 / 414 kbps)
Communication établie sans paramétrage (no discovery, no pairing) en 0.1sec
Deux types d’équipements: Lecteur actif (NFC Initiator)
Tag passif (NFC Target)
6
Comparaison des technologies PAN/BAN
7
NFC et Internet des Objets (IoT)
8
NFC et Internet des Objets (IoT)
Wireless Pairing
9
NFC et Internet des Objets (IoT)
Applications domestiques Enregistrement de garantie
Maintenance à distance
Mise à jour de Firmware
10
NFC et Internet des Objets (IoT)
Applications domestiques Contrôle domotique
Eclairage
Température
Consommation
Compteurs
…
11
NFC et Internet des Objets (IoT)
Objet avec composant NFC et bus I2C Interconnecté au microcontrôleur de l’objet
En mode Peer-To-Peer si l’objet est autoalimenté
En mode Tag si l’objet est alimenté par le lecteur (smarphone)
12
NFC et Internet des Objets (IoT)
Apple et NFC …
Un rouleau compresseur du déploiement NFC …
Centré sur le paiement sans contact (Apple Pay Service)
Sécurité augmenté et garantie sur iPhone 6 et iPhone 6 Plus Un Secure Element embarqué
Un biocapteur Touch ID fingerprint verification
« An innovative biosensor security function built into the Apple Watch »
13
Exemples de déploiement de solutions NFC/RFID
Barcelona Contacless Plus de 8000 tags NFC déployés à travers la ville
Fourniture d’informations locales sur le quartier
Permet le téléchargement d’applications spécifiques
Réservation de vélo
…
MediHandTrace à l’hôpital Nord de Marseille Suivi du respects des procédure d’hygiène des personnels infirmiers
Etiquette RFID dans les chaussures de personnels
Lecteur au niveau des distributeurs hydro alcooliques connectés
14
NFC en France
15
NFC en France
Technologie poussée par l’Association Française du Sans Contact Mobile Marque Cityzi
Repose sur la carte SIM comme élément de sécurité Orange, Bouygues Telecom et SFR notamment sont membres de l’AFSCM
Les applications Cityzi reposent sur trois acteurs Le fournisseur de service
Développe une cardlet qui sera stockée sur la carte SIM, une application mobile et une plateforme NFC
L’opérateur mobile Fournit un espace sur la carte SIM pour le déploiement des cardlets ainsi qu’un service
de téléchargement et de blocages OTA des applications
L’utilisateur final
16
NFC en France
17
Source: AFSCM « Vademecum » 2013
NFC en France
Mise en œuvre d’une solution Cityzi
18
Source: AFSCM « Vademecum » 2013
NFC en France
Validation de l’application Cityzi (cardlet + application) Effectuée par un laboratoire référencé par l’AFSCM
Prend environ 15j et coute environ 5000€
Valable jusqu’à la mise à jour de l’application
19
Mode Reader-Writer RFID: plusieurs tags et 1 lecteur,
NFC: 1 tag et plusieurs lecteurs
Mode Peer-To-Peer
Mode Tag Emulation
20
Mode de communication NFC
NFC et normes
Deux normes sont utilisées pour les communications en champs proches entre un lecteur et un tag ISO 14443-A (représente environ 85% des tags dans le monde)
Poussée par Philips SemiConductors devenue depuis NXP et reposant sur al technologie MIFARE
ISO 14443-B Poussée par Innovatron-Moreno
Une norme définit les communications pour le voisinage (50-60cm) ISO 15693
Equivalente à la norme ISO 18000-3 pour le RFID
21
NFC et normes
Le principal organisme en charge de la spécification des standards est le NFC Forum Regroupement de nombreux industriels (Samsung, Nokia, Sony, Visa…)
Objectif de standardisation pour assurer l’inter-operabilité des équipements en définissant notamment le modèle des données
Assure également une compatibilité avec la norme ISO 14443
Les spécifications sont ensuite reprises est standardisées par plusieurs organismes dont l’ISO et l’ECMA ISO 18092 / ECMA 340: NFC IP-1
ISO 21481 / ECMA 352: NFC IP-2
22
NFC et normes
D’autres organismes contribuent également sur des domaines spécifiques ETSI/SCP (Smart Card Platform) pour l’interface entre la carte SIM et le contrôleur
NFC
Global Platform pour les spécifications du Secure Element et l’hébergement des applications
EMVCo pour l’impact sur les applications de paiement
23
Pile protocolaire NFC
24
Pile protocolaire NFC
25
Pile protocolaire NFC
LLCP (Logical Link Control Protocol)
SNEP (Simple NDEF Exchange Protocol)
NDEF (NFC Data Exchange Format)
RTD (Record Type Definition): URI, smart poster, signature
Applications: Bluetooth Secure Simple Pairing (SSP)
Connection Handover of WiFi or Bluetooth communications
Personal Health Device Communication ISO/IEEE Std. 11073-20601
26
NDEF Record
Format de message
Transport en P2P
27
NDEF Messages NDEF Messages
Les NDEF Record peuvent être de différents types: MIME (RCF 2046)
URI (RFC 3986)
NFC_FORUM_RTD: Smart poster
EXTERNAL_RTD: Pour les types propriétaires
Exemple pour l’URI Composé de deux champs
URI ID code
Définit le protocole à utiliser
URI field (en UTF-8)
28
1 http://www.irit.fr
NDEF Messages
29
SNEP (Simple NDEF Exchange Protocol)
Protocole très simple basé sur le principe requête/réponse
Taille maximum des messages échangés: 232-1
Gestion de la fragmentation
30
SNEP (Simple NDEF Exchange Protocol)
31
SNEP (Simple NDEF Exchange Protocol)
Protocole très simple basé sur le principe requête/réponse
Taille maximum des messages échangés: 232-1
Gestion de la fragmentation
S’appuie sur la couche LLCP pour la création d’un canal de communication en mode connecté
Format de messages Requête
Réponse
32
SNEP (Simple NDEF Exchange Protocol)
Requêtes
Réponses
33
Mode Reader / Writer
Comparable aux QR-Codes En lecture en renvoyant une information (texte, URI, …) mais permet surtout…
Technologies supportées ISO 14443 A/B, Mifare Ultralight, Classic/Standard 1K/4K
NXP DESFire, Sony Felica, Innovision Topaz, Jewel tag
34
More Reader / Writer et Android
Modification des permissions
Gestion des activités en fonction des tags
35
Mode Peer-to-Peer
Echange P2P bidirectionnel de données
Entre terminaux mis dos-à-dos
Principalement utilisé avec « Android Beam »
Applications Partage de liens et de pages Internet
Assistant de connections WiFi et Bluetooth
Paiements sans contact (Google Wallet, Orange Cash)
Echange de vCards
E-ticketing
…36
Mode Peer-to-Peer et Android
37
Mode Peer-to-Peer et Android
Format de données d’Android Beam: Messages NDEF Respect du standard du NFC-Forum
Fourniture dans l’API d’un ensemble de classe permettant de manipuler lesformats NDEF standards (URI, MIME…)
Coté émetteur
38
Mode Peer-to-Peer et Android
Coté récepteur L’activité doit
s’enregistrerpour découvrirles messagesNDEF
39
Mode Peer-to-Peer et Android
Les échanges Beam reposent en théorie sur SNEP/NPP mais le lien retourn’est pas disponible Impossible d’établir une communication bidirectionnelle avec un seul lien Android beam
Complexifie la mise en place de mécanismes de sécurité Challenges
Négociation de clés
…
Nativement il n’est pas possible d’accéder directement aux protocoles SNEP/NPP depuis l’API Android
Android Beam nécessite une action volontaire de l’utilisateur « Tap » pour être initié
40
Mode émulation de Tag
Le terminal émule un tag passif
Le lecteur ne distingue pas un tag réel d’un tag virtuel
Le lecteur peut contenir plusieurs tags virtuels … fini les portes cartesencombrés
Utilisation d’un ID par application (AID)
Android peut émuler un tag si seulement si l’écran du smartphone est actif
Secure Element Trusted Execution Environment (TEE)
Environnement sécurisé pour exécuter et stocker des applications et desdonnées
49
Architecture sécurisée d’un terminal NFC
50
NDEF Signatures
L’authenticité et le contrôle d’intégrité peuvent être assurés au niveau des messages NDEF grâce à un mécanisme de signature Enregistrement (Record) optionnel qui permet de signer les enregistrements qui le
précède
Rolland a montré en 2011 que ce mécanisme présentait des limitations Signature d’un groupe d’enregistrement mais pas nécessairement de l’ensemble
Possibilité d’avoir des signatures différentes parfaitement légitimes prise une par une mais qui ne peuvent être associées
Attaque par recomposition des enregistrements
51
NDEF Signatures
Ex SmartPoster
Source: Rolland et al, « Security Vulnerabilities of the NDEF Signature Record Type», Proceedings of Third International Workshop on Near Field Communication 2011
52
ISO/IEC 13157 (NFC-SEC)
Publiée sous forme de standard en 2010
Objectif: renforcer la sécurité au niveau Liaison de donnée sur un lien NFC