Odd skrev:
Men det är rent hypotetiska belägg du har. Visst, man kan blottlägga chipet och mäta direkt på chipet och man kan kanske med riktigt avancerad utrustning mäta strömförbrukningen för att möjligen räkna ut vad chipet kommunicerar internt men det är fortfarande den enda säkra delen av en mobiltelefon.
Hypotetiskt vet jag inte direkt.
Ett exempel var ju korten för betal-TV från firma Viaccess för några år sedan - där var ju korten felgjorda så man kunde läsa ur nycklarna (vilket fick till följd att abonnenter hos Boxer, Viasat med flera fick betala några hundralappar för att få nya, mindre buggiga, kort - det är extra elegant att den klantiga kortsystemsmakaren och tv-näten lyckades pungslå abonnenterna på hela kostnaden för sina misstag och mer därtill).
När några holländare började kolla närmare på MIFARE så visade det ju sig vara säkerhetsmässigt rent larv, inte särskilt oväntat med en proprietär "hemlig" säkerhetslösning. En massa myndigheter i Holland som hade MIFARE i sina passersystem fick hyra in manuell kontroll med vakter tills man hunnit byta ut skräpet. NXP kontrar med MIFARE Plus så att alla kunder får uppgradera, på egen bekostnad, och försöker dessutom med mer eller mindre vidriga medel tysta dem som upptäckt hålen. Ungefär samtidigt inför SL sitt Access - Access blir försenat, och troligen har man lagt på någon egen signering av data eftersom MIFARE inte klarade vad det lovade.
Exemplen på dåliga säkerhetssystem är många, de flesta har haft hangardörrshål, och då vill man inte ha dem spridda i miljarder små embedded-prylar där de inte går att laga. (SIM-kort kan eventuellt gå att laga, beroende på vad felet är och typ av SIM-kort.)
Odd skrev:Och har man så avancerade kunskaper och utrustning så är det nog andra grejer än resekorten man vill knäcka.. Bankkort, videokryptering, etc.
Just, det var därför jag skrev "Den tekniska säkerheten må väl vara ok när det handlar om bussbiljetter, men för bankaffärer och annat som det pratas om - varför i hela friden skulle man lita på sitt SIM-kort - smartcard kan ju allt som oftast läsas ur (trots att avsikten är, och säkerheten bygger på, att det inte ska gå)."
Den tekniska lösningen för dylika system borde vara helt öppen, framtagen av ett konsortium sponsrat av kanske företag, kanske stater, och fritt för alla att implementera och analysera. Dagens träsk av proprietära skitlösningar gagnar aldrig kunden, bara utfärdarna. T ex är det helt uttalat bankernas strategi att bara förbättra säkerheten på bankkorten när kostnaden för svindeln som banken måste stå för överstiger kostnaden för ett nytt säkrare system - att ge kunden bättre säkerhet så att denne kan vara någorlunda trygg och förhoppningsvis slippa svindel är inte värt något alls för bankerna.
/ragge s
