IC卡安全性分析与破解技术详解<\/h1>

1. 智能卡分类与技术概述<\/h2>

1.1 主要卡片类型<\/h3>

ID卡<\/strong>：<\/p>

只存储ID号，无算法<\/li>
设备仅识别ID号<\/li>
安全性低，易复制<\/li>
应用：普通门禁卡<\/li> <\/ul>
IC卡(Integrated Circuit)<\/strong>：<\/p>

1970年由法国人Roland Moreno发明<\/li>
带芯片的智能卡统称<\/li>
国际名称：Smart Card、IC Card、智慧卡等<\/li>
与磁条卡区别：采用芯片而非磁性介质存储<\/li> <\/ul>
磁条卡<\/strong>：<\/p>

磁性介质存储<\/li>
可被轻易读取和复制<\/li>
无密码时极易被盗刷<\/li>
一般为接触式<\/li> <\/ul>
RFID卡<\/strong>：<\/p>

采用射频识别技术(Radio Frequency Identification)<\/li>
供电方式分类：

无源卡：无电源，近距离识别（校园卡、公交卡、二代身份证）<\/li>
有源卡：自带电源，主动发射信号（ETC系统）<\/li>
半有源卡：平常休眠，低频信号激活后高频通信<\/li> <\/ul> <\/li> <\/ul>
M1卡(NXP Mifare1 Card)<\/strong>：<\/p>

使用飞利浦子公司恩智浦的Mifare1系列芯片<\/li>
常见型号：S50及S70<\/li>
特点：

可读写<\/li>
有存储器无处理器<\/li>
存储ID号和数据<\/li>
采用单一算法认证<\/li>
可暴力破解密钥<\/li> <\/ul> <\/li> <\/ul>
CPU卡<\/strong>：<\/p>

有操作系统和微处理器<\/li>
特点：

可读写<\/li>
有存储器和处理器<\/li>
安全性极高<\/li>
算法在设备内部<\/li> <\/ul> <\/li>
认证过程更复杂：

CPU卡发数据→设备与SAM卡运算→返回数据确认<\/li> <\/ul> <\/li>
有接触式和非接触式<\/li> <\/ul>
芯片卡<\/strong>：<\/p>

CPU卡的另一种简称<\/li>
可接触式也可非接触式<\/li> <\/ul>
1.2 接触式与非接触式<\/h3>
非接触式卡<\/strong>：<\/p>

射频卡<\/li>
由IC芯片、感应天线组成<\/li>
封装在标准PVC卡片内<\/li>
芯片及天线无外露<\/li> <\/ul>
接触式卡<\/strong>：<\/p>

芯片金属暴露在外<\/li>
通过触点与读写器交换信息<\/li>
现代银行卡多为接触式芯片卡<\/li> <\/ul>
双界面卡<\/strong>：<\/p>

同时支持接触式和非接触式<\/li>
例：苏州社保卡（可刷医保和公交）<\/li> <\/ul>
1.3 NFC与RFID关系<\/h3>
NFC<\/strong>：<\/p>

RFID的子集<\/li>
工作频率：13.56MHz<\/li>
工作距离：0-10cm<\/li>
特点：

支持读写模式和卡模式<\/li>
支持P2P通信<\/li>
兼容ISO14443\/ISO15693标准<\/li> <\/ul> <\/li>
应用：门禁、公交卡、手机支付<\/li> <\/ul>
RFID<\/strong>：<\/p>

工作频率：低频、高频(13.56MHz)及超高频<\/li>
工作距离：几厘米到几十米<\/li>
应用：生产、物流、跟踪、资产管理<\/li> <\/ul>
ETC<\/strong>：<\/p>

RFID的分支<\/li>
工作频率：2.45GHz<\/li>
应用：高速收费<\/li> <\/ul>
2. 非接触式IC卡结构与通信原理<\/h2>
2.1 卡片组成结构<\/h3>

IC芯片<\/li>
感应线圈<\/li>
封装在标准PVC卡片内<\/li>
通信距离：5-10cm<\/li> <\/ul>
2.2 供电原理（无源IC卡）<\/h3>

读写器发射固定频率电磁波<\/li>
卡片内部LC谐振电路产生共振<\/li>
电容积累电荷达2V后为电路供电<\/li>
现代电压可达3.5V<\/li> <\/ol>
2.3 通信原理<\/h3>

频率：13.56MHz<\/li>
读写器信号组成：

电源信号：为芯片供电<\/li>
指令和数据信号：指挥芯片操作<\/li> <\/ol> <\/li>
读写器组成：

单片机<\/li>
专用智能模块<\/li>
天线<\/li>
与PC的接口<\/li> <\/ul> <\/li> <\/ul>
2.4 通信协议与认证过程<\/h3>
通信过程<\/strong>：<\/p>

寻卡：卡片进入磁场，发送UID<\/li>
选卡：读写器选择卡片<\/li>
认证：对指定扇区进行认证<\/li> <\/ol>
认证过程（M1卡）<\/strong>：<\/p>

卡片产生随机数NT，明文发送给读写器<\/li>
读写器：

根据卡片ID找到密钥<\/li>
用密钥加密NT得到aR<\/li>
发送aR和读写器随机数nR给卡片<\/li> <\/ul> <\/li>
卡片：

验证nR<\/li>
错误：终止认证<\/li>
正确：加密nR并发送<\/li> <\/ul> <\/li> <\/ol>
M1卡安全缺陷<\/strong>：<\/p>

加解密算法和密钥硬件实现<\/li>
无尝试次数记录<\/li>
可无限次尝试暴力破解<\/li> <\/ul>
CPU卡安全优势<\/strong>：<\/p>

加密通过CPU实现<\/li>
记录尝试次数<\/li>
多次错误会锁卡<\/li> <\/ul>
3. M1卡破解技术与实践<\/h2>
3.1 破解工具<\/h3>
1. 带NFC功能的手机<\/strong>：<\/p>

硬件：NFC手机（如小米）<\/li>
软件：Mifare Classic Tools (MCT)<\/li> <\/ul>
2. PN532<\/strong>：<\/p>

价格：约30元<\/li>
需焊接或胶带固定<\/li>
上位机软件：miLazyCracker<\/li>
Linux驱动：libnfc<\/li> <\/ul>
3. PM5\/PM6<\/strong>：<\/p>

价格：100-110元<\/li>
专用M1卡服务程序<\/li>
支持一键读写、爆破<\/li>
PM6支持更多卡片型号<\/li> <\/ul>
3.2 破解实践案例<\/h3>
公司饭卡分析<\/strong>：<\/p>

扇区0：卡片UID、厂商信息、密钥<\/li>
扇区2-3：

第一行前4字节：余额（十六进制，需字节反转）<\/li>
第二行：消费金额和次数<\/li>
第三行：

递增数据：日期<\/li>
不规则数据：时间（时:分:秒）<\/li>
最后：累计刷卡次数<\/li> <\/ul> <\/li>
校验方式：金额+后面4字节=固定值<\/li> <\/ul> <\/li> <\/ul>
写入限制<\/strong>：<\/p>

可能原因：

写入密钥未知（非默认FFFFFFFFFF）<\/li>
设备\/软件限制<\/li> <\/ul> <\/li> <\/ul>
3.3 其他卡片测试结果<\/h3>
公司门禁卡<\/strong>：<\/p>

SAK20标志<\/li>
CPU卡，无法简单破解<\/li> <\/ul>
社保卡<\/strong>：<\/p>

读取数据为空<\/li>
可能原因：

半加密<\/li>
NFC功能未启用<\/li> <\/ul> <\/li> <\/ul>
二代身份证<\/strong>：<\/p>

手机能感应但无响应<\/li>
非接触式IC卡（Type B CPU卡）<\/li>
带COS（芯片操作系统）<\/li> <\/ul>
4. 智能卡安全现状与建议<\/h2>
4.1 发展现状（2013年数据）<\/h3>

中国最大IC卡市场之一<\/li>
2011年：

销售收入：90亿元<\/li>
销售数量：24.3亿张<\/li> <\/ul> <\/li>
二代身份证：已发行约10亿张<\/li> <\/ul>
发展趋势<\/strong>：<\/p>

高安全性：

对称密钥：DES、3DES<\/li>
非对称密钥：1024位RSA<\/li> <\/ul> <\/li>
低功耗设计<\/li>
一卡多用<\/li>
大容量存储<\/li>
复合式（双界面）卡<\/li> <\/ol>
4.2 攻击方式与案例<\/h3>
1. 干扰攻击<\/strong>：<\/p>

扰乱读写器与标签通信<\/li>
破坏系统可用性<\/li> <\/ul>
2. 克隆攻击<\/strong>：<\/p>

2004年：破解DST加密（汽车防盗）<\/li>
可低成本复制智能卡<\/li> <\/ul>
3. 芯片攻击<\/strong>：<\/p>

电流分析攻击：

简单电源攻击<\/li>
差分电源攻击<\/li> <\/ul> <\/li>
故障攻击：

破坏触发器<\/li>
获取密码算法信息<\/li> <\/ul> <\/li>
案例：

2008年：Mifare芯片破解（全球10亿张卡受影响）<\/li>
2011年：Mifare DESFire MF3ICD40破解（7小时，3000美元设备）<\/li> <\/ul> <\/li> <\/ul>
4. 可用性攻击<\/strong>：<\/p>

物理破坏标签<\/li>
强电磁脉冲破坏电路<\/li> <\/ul>
5. 其他攻击<\/strong>：<\/p>

重放攻击<\/li>
中间人攻击<\/li>
窃听攻击<\/li>
DoS攻击<\/li> <\/ul>
4.3 M1卡安全建议<\/h3>

避免使用默认密钥（如FFFFFFFFFFFF）

设置复杂密钥<\/li> <\/ul> <\/li>
全扇区加密

非仅关键扇区加密<\/li>
增加混淆数据<\/li> <\/ul> <\/li>
结合数据库验证

不单纯依赖卡内数据<\/li>
每次刷卡与数据库比对<\/li> <\/ul> <\/li>
逐步替换为CPU卡

更高安全性<\/li>
防暴力破解<\/li> <\/ul> <\/li> <\/ol>
5. 技术细节补充<\/h2>
5.1 M1卡数据结构示例<\/h3>
Block0: 卡片信息（UID、厂商等） Block1: 密钥A | 访问控制 | 密钥B Block2: 数据块（如余额） <\/code><\/pre> 5.2 认证过程技术细节<\/h3> 随机数生成：硬件伪随机数<\/li> 加密算法：CRYPTO1（Mifare Classic）<\/li> 密钥长度：48位<\/li> <\/ul> 5.3 破解工具使用要点<\/h3> miLazyCracker：依赖libnfc<\/li> 命令：.\/miLazyCrackerFreshInstall.sh<\/li> <\/ul> <\/li> MCT手机端：需支持全功能NFC<\/li> 可读取UID、扇区数据<\/li> <\/ul> <\/li> <\/ol> 5.4 防御措施进阶<\/h3> 物理防护：防拆设计<\/li> 防侧信道攻击屏蔽<\/li> <\/ul> <\/li> 加密增强：动态密钥<\/li> 一次一密<\/li> <\/ul> <\/li> 行为监测：异常交易检测<\/li> 多因素认证<\/li> <\/ul> <\/li> <\/ol>

IC卡安全性分析与破解技术详解<\/h1>

1. 智能卡分类与技术概述<\/h2>

2. 非接触式IC卡结构与通信原理<\/h2>

3. M1卡破解技术与实践<\/h2>

4. 智能卡安全现状与建议<\/h2>

5. 技术细节补充<\/h2>

5.4 防御措施进阶<\/h3> 物理防护： 防拆设计<\/li> 防侧信道攻击屏蔽<\/li> <\/ul> <\/li> 加密增强： 动态密钥<\/li> 一次一密<\/li> <\/ul> <\/li> 行为监测： 异常交易检测<\/li> 多因素认证<\/li> <\/ul> <\/li> <\/ol>

5.4 防御措施进阶<\/h3>

物理防护：

防拆设计<\/li>
防侧信道攻击屏蔽<\/li> <\/ul> <\/li>
加密增强：

动态密钥<\/li>
一次一密<\/li> <\/ul> <\/li>
行为监测：

异常交易检测<\/li>
多因素认证<\/li> <\/ul> <\/li> <\/ol>