Pincode makkelijker te achterhalen

Sat Feb 22 21:00:30 CET 2003

REPLY TO: D66 at nic.surfnet.nl

"Dr. Marc-Alexander Fluks" <fluks at science.uva.nl> schreef:

>  Cees Binkhorst <cees at BINKHORST.XS4ALL.NL>
> >Insiders zouden echter wel degelijk misbruik van deze methode
> >kunnen maken, menen de onderzoekers. Tijdens een lunchpauze
> >van 30 minuten zou een kwaadwillende makkelijk
> >7000 pincodes kunnen achterhalen,
>
>  Dat is onzin: de pincode is immers nergens geregistreerd.
>  Als je een pincode intoetst dan wordt dat vertaald naar iets

Een deel van het betreffende document
http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-560.pdf hieronder:

However, HSMs  (Cees: Hardware Security Module) implementing several
common PIN generation methods have a flaw.

The first ATMs were IBM 3624s, introduced widely in the US in around
1980, and most PIN generation methods are based upon their approach.
They calculate the customer's original PIN by encrypting the account
number printed on the front of the customer's card with a secret DES
key called a "'PIN generation key". The resulting ciphertext is
converted into hexadecimal, and the first four digits taken. Each
digit has a range of `0'-`F'. In order to convert this value into a
PIN which can be typed on a decimal keypad, a "decimalisation table"
is used, which is a many-to-one mapping between hexadecimal digits
and numeric digits. The left decimalisation table in Figure 1 is
typical.

0123456789ABCDEF                0123456789ABCDEF
0123456789012345                0000000100000000
Figure 1: Normal and attack decimalisation tables

This table is not considered a sensitive input by many HSMs, so an
arbitrary table can be provided along with the account number and a
trial PIN. But by manipulating the contents of the table it becomes
possible to learn much more about the value of the PIN than simply
excluding a single combination. For example, if the right hand table
is used, a match with a trial pin of 0000 will confirm that the PIN
does not contain the number 7, thus eliminating over 10% of the
possible combinations. We first present a simple scheme that can
derive most PINs in around 24 guesses, and then an adaptive scheme
which maximises the amount of information learned from each guess,
and takes an average of 15 guesses. Finally, a third scheme is
presented which demonstrates that the attack is still viable even
when the attacker cannot control the guess against which the PIN is
matched.

Het is dus kennelijk een hash-waarde van je rekeningnummer.
De hash wordt berekend met behulp van o.a. een black-box, waartoe
geen fysieke toegang mogelijk is.

Je hebt kennelijk nooit een nieuwe bankpas gehad. De pin-code op een
nieuwe pas, die ik krijg, is dezelfde als op de oude pas.
Ergo, hij wordt _wel_ vastgelegd, alhoewel de vastlegging niet in een
recht-toe-recht-aan tabelletje in een map ergens in een kast
plaatsvindt.

Kennelijk bevindt de hierboven besproken 'decimalisaton table' zich
niet _in_ de black-box (This table is not considered a sensitive
input by many HSMs) en kan dus gemanipuleerd worden, waardoor niet-
correcte cijfers van de pincode worden uitgesloten. Dit kan, alweer
kennelijk, _in_ de bank een aantal malen herhaald worden, omdat de
apparatuur _daar_ een onbeperkt aantal trials toelaat.
De automaat in de muur laat dit _niet_ toe, waardoor na drie(?) keer
foute invoer de pas geblokkeerd wordt.

>  anders en vervolgens wordt gekeken op dat andere op de magneet-
>  strip van je pasje staat. Dat is de reden waarom de pas niet
>  werkt als de magneetstrip beschadigd is. Het pasnummer/reke-
>  ningnummer wordt automatisch gelezen om te kijken of je saldo
>  toereikend is.
>
>  Als de pincode bestaat uit 4 cijfers, dan zijn er dus 10000
>  combinaties, geen 15. En na drie keer proberen wordt de pas
>  al geblokkeerd.

Zie voorbeeld hierboven, hoe gevonden wordt dat er _geen_ 7 in zit.

>  Fraude kan alleen als men de magneetstrip kopieert en
>  daarnaast de pincode afkijkt.
>
>  Leuke grap als er iemand voor me pint: je doet alsof je het
>  gezien hebt en merkt verbaasd op 'Goh, je hebt dezelfde pin-
>  code als ik.' Die werkt dus altijd.
>                                                    :-)

Net zoals de monteur, die belt en vraagt om de code die _hij_ even
vergeten is.

>
>  Marc Fluks, Amsterdam

Groet,

Cees

**********
Dit bericht is verzonden via de informele D66 discussielijst (D66 at nic.surfnet.nl).
Aanmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SUBSCRIBE D66
Afmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SIGNOFF D66
Het on-line archief is te vinden op: http://listserv.surfnet.nl/archives/d66.html
**********