MIFARE

MIFARE（マイフェア）は、NXPセミコンダクターズ（元フィリップスの半導体部門）が特許・商標を保有する非接触ICカード・RFID、およびその通信規格。国際規格「ISO/IEC 14443 Type A」として規定されている。

概要[編集]

会員カード・カードキー・チケット・交通系ICカード・電子マネーなど、世界中で広く使用されている。

MIFAREと名づけられた、非接触ICカードは5種類存在する。

MIFARE Standard (MIFARE Classic) カード：ISO/IEC 14443-4には対応しておらず、NXP独自のアルゴリズム非公開の認証と暗号化プロトコルを採用している。
MIFARE Plusカード：MIFARE Classicカードの脆弱性に対応したもの。
MIFARE UltraLightカード：MIFARE Standardからセキュリティといくつかのコマンドを除いたもの。ISO/IEC 14443-4準拠。
MIFARE DESfireカード：ISO/IEC 14443-4(T=CL)準拠のICカード。NXP製のOSがROMに焼きこんである。
MIFARE Prox、MIFARE smartMX：ISO/IEC 14443-4 (T=CL)に準拠したICカード。

MIFARE Standard[編集]

安価であるため、電子マネー、社員証、交通機関や競技場のチケットなど広く用いられている。

メモリは、セグメントとブロックに分けられ、シンプルなセキュリティのメカニズムによってアクセス制御がなされている。ASICベースのため計算能力は限られている。 MIFARE Standard 1kは、約768バイトのメモリを持ち、それが16のセクタに分かれている。これらのセクタは、AとBと呼ばれる二つの鍵でプロテクトされている。それぞれのセクタに対して、読み込み、書き込み、値の増減などの操作ができる。MIFARE Standard 4kは、3kBのメモリを持ち、それが40のセクタに分かれている。そのうち32のセクタがMIFARE Standard 1kのセクタと同じ容量で、残りの8つが倍の容量を持つ。MIFARE Standard miniのメモリ容量は320バイトで、5つのセクタを持つ。

1994年に発売されたということもあり設計が古く、また48ビット鍵を使った独自の暗号化アルゴリズムCrypto-1に脆弱性があることが判明したため^[1]、MIFARE Classicに改名された。 2015年には、改良版のMIFARE Classic EV1にも脆弱性が発見されているため^[2]、新規採用は推奨されていない。このシリーズの後継は、MIFARE Plus。

MIFARE UltraLight[編集]

MIFARE Standardの簡易版。ISO/IEC 14443-4・NFCフォーラム Type 2に準拠。メモリはわずか64バイトで、セキュリティ機能もない。しかし非常に安価であるため、会員証や使い捨てのチケットに用いられている。2006年ワールドカップでも使われた。改良版に、トリプルDESを採用したMIFARE Ultralight C、リロード攻撃による脆弱性に対応したMIFARE Ultralight EV1がある。

MIFARE DESFire[編集]

MIFARE Standardとは異なり、マイクロプロセッサにDESFire OSというソフトウェアがプログラムされている。MIFARE Standard 4kとほぼ同等の機能をもつが、より高い柔軟性と、より強力なトリプルDESセキュリティを持ち、より高速で、T=CLの規格にも準拠している。カードとリーダライタの通信可能距離はリーダライタの電波強度やアンテナサイズに依存するが、およそ10cm程度。

2011年に、サイドチャネル攻撃による脆弱性があることが発表された^[3]。

NFCフォーラム Type 4に準拠した改良版には、128ビットAESに対応したMIFARE DESFire EV1、リレーアタックに対応したMIFARE DESFire EV2、オープンDES・2K3DES・3K3DES・AESに対応しISO/IEC 14443 Type-A・ISO/IEC 7816-4に準拠したMIFARE DESFire EV3もある。

MIFARE DESFire8[編集]

MIFARE DESFireの8kB版だが、他に以下のような特長がある。

ランダムUID
AES128暗号に対応
コモンクライテリアEAL4＋

2006年11月に発表された。

MIFARE Plus[編集]

MIFARE Classicの脆弱性に対応したもの。既存システムをより安全性の高いオープン標準にアップグレードできるよう考慮されている。他に、以下のような特長がある。

ランダムUID（7バイト）
AES128暗号に対応
コモンクライテリアEAL4+

改良版に、リレーアタックに対応したMIFARE Plus EV1、高速化し中間者攻撃対策を講じたMIFARE Plus EV2がある。

MIFARE T=CL カード[編集]

MIFARE ProXとSmartMXは、マイクロプロセッサを用いている。ハードウェア単体では動作せず、専用のOSが必要になる。暗号計算（トリプルDES、AES、RSA暗号等）のためにコプロセッサが内蔵されていることが多い。処理速度や機能は接触型カードに匹敵する。実際、SmartMXシリーズには、接触型や接触/非接触両方のインタフェースを備えたカードもある。ベンダ独自のOS、オープンOS（JavaCard等）両方に対応できる。

インストールされるソフトウェアによって、カードはさまざまな目的に使われるが、高いレベルのセキュリティが必要とされる場合に用いられることが多く（ICパスポート、クレジットカードなど）、コモンクライテリアなど、第三者の認定をうけていることが多い。SmartMXは、ドイツ連邦電子情報保安局によって、コモンクライテリアのEAL5+認定を受けており、リバースエンジニアリング、故障利用攻撃、電力解析等への高い耐タンパー性を持つ。最終製品でこのような認証を取得するためには、チップ上で動作するOSも認証を取得する必要がある。

歴史[編集]

MIFAREはもともとはMikronによって開発されたもので、MIFAREは「MIkron FARE-collection System」の略である。Mikronは、アメリカ合衆国のAtmel、オランダのフィリップス、ドイツのシーメンスにMIFARE技術をライセンスした。1998年にフィリップス社によって買収された。

フィリップスによる買収の後、日立製作所もMIFAREのライセンスを取得した。これは1999年に開始され2006年に終了したNTTの非接触ICテレホンカードの開発プロジェクトのためだった。NTTの非接触ICテレホンカード開発プロジェクトには3つの陣営が参加していた。トーキン-田村電機-シーメンス連合、日立製作所-フィリップス（技術サポートのみ）連合、デンソー-モトローラ（製造のみ）連合である。NTTは、MIFARE Classicのような、ワイヤードロジックによる小容量のものと大容量の2種類のチップを要求した。日立製作所は大容量バージョンのみを開発し、そのメモリ容量を小さくして小容量バージョンとした。シーメンスは保有するMIFAREテクノロジーを改良し、チップを開発した。モトローラはMIFAREのようなチップの開発を試みたが、最終的には断念した。当初、ICテレホンカードは100万枚/月の売り上げが見込まれていたが、最終的な売り上げは10万枚/月程度だった。

1994年 - MIFARE Standard 1k 非接触テクノロジが発表される
1996年 - 韓国ソウルの「バスカード（現在のUパス）」でMIFARE Standard 1kが用いられる
1997年 - トリプルDESコプロセッサ搭載のMIFARE PROが発表される
1999年 - PKIコプロセッサ搭載のMIFARE PROXが発表される
2001年 - MIFARE UltraLight が発表される
2002年 - マイクロプロセッサを用いた、MIFARE DESFireが発表される
2004年 - MIFARE DESFiireを用いるシステムで使用するMIFARE DESFiire SAMが発表される
2006年 - MIFARE DESFiire8が、AES128暗号対応の最初の製品として発表される
2008年3月 - MIFARE PLUS が、MIFARE Classicの代替として発表される

セキュリティ[編集]

2007年12月に行われた第24回カオスコミュニケーション会議 (Chaos Communication Congress)で、ヘンリック・プロッツとカーステン・ノールは MIFARE Classic の脆弱性に関するプレゼンテーションを行った。彼らは MIFARE Classic のチップに対してリバースエンジニアリングを行い、MIFARE Classic のアルゴリズムを解析し、いくつかの脆弱性を発見した。彼らは、解析された暗号アルゴリズムの詳細とその脆弱性についての論文を2008年中に発表するとした。なお、この件は MIFARE Classic 以外のカードには無関係である。

2008年3月には、オランダのナイメーヘンにあるラドバウド大学 (Rdaboud University Nijmegen) のデジタルセキュリティ研究グループが、MIFARE Classicカードのプロトコルを解析することによって認証/暗号化アルゴリズムの特定に成功し、さらに鍵を効率的に特定できることを公表した。MIFARE Classic の鍵長は48ビットなので、そのままでも総当り攻撃可能であるが、アルゴリズムの脆弱性を利用すれば数分で特定できるという。鍵を特定できるとクローンカードを作成することができる^[4]^[5]。

この結果を受けて、オランダ自治省及びオランダ王国関係者は Rijkspas の導入を2008年第4四半期から延期するか検討すると発表した^[6]。

参考・脚注[編集]

^ K. Nohl, Starbug and H. Plotz. "Mifare, little security, despite obscurity." Pre-sentation on the 24th Congress of the Chaos Computer Club (CCC), December 2007.
^ Carlo Meijer, Roel Verdult "Ciphertext-only Cryptanalysis on Hardened Mifare Classic Cards". 22nd ACM Conference on Computer and Communications Security (CCS 2015), ACM, 1 October 2015
^ Oswald, David, and Christof Paar, “Breaking Mifare DESFire MF3ICD40: Power Analysisand Templates in the Real World,”CHES 2011, LNCS, Vol. 6917, 2011, pp. 207–222.
^ http://www.hrgeeks.com/2008/03/14/so-long-mifare-rf-id-system/
^ 「ICカードの暗号は数分で解読可能」――RFIDのセキュリティ懸念広がる
^ http://www.minbzk.nl/actueel/110972/veel-chips-in （オランダ語）

外部リンク[編集]

[1] K. Nohl, Starbug and H. Plotz. "Mifare, little security, despite obscurity." Pre-sentation on the 24th Congress of the Chaos Computer Club (CCC), December 2007.

[2] Carlo Meijer, Roel Verdult "Ciphertext-only Cryptanalysis on Hardened Mifare Classic Cards". 22nd ACM Conference on Computer and Communications Security (CCS 2015), ACM, 1 October 2015

[3] Oswald, David, and Christof Paar, “Breaking Mifare DESFire MF3ICD40: Power Analysisand Templates in the Real World,”CHES 2011, LNCS, Vol. 6917, 2011, pp. 207–222.

[4] ttp://www.hrgeeks.com/2008/03/14/so-long-mifare-rf-id-system/

[5] 「ICカードの暗号は数分で解読可能」――RFIDのセキュリティ懸念広がる

[6] ttp://www.minbzk.nl/actueel/110972/veel-chips-in （オランダ語）

[1]

[2]

[3]

[4]

[5]

[6]