MIFARE

MIFARE（マイフェア）は、NXPセミコンダクターズ（元もとフィリップスの半導体はんどうたい部門ぶもん）が特許とっきょ・商標しょうひょうを保有ほゆうする非ひ接触せっしょくICカード・RFID、およびその通信つうしん規格きかく。国際こくさい規格きかく「ISO/IEC 14443 Type A」として規定きていされている。

概要がいよう

会員かいいんカード・カードキー・チケット・交通こうつう系けいICカード・電子でんしマネーなど、世界中せかいじゅうで広ひろく使用しようされている。

MIFAREと名なづけられた、非ひ接触せっしょくICカードは5種類しゅるい存在そんざいする。

MIFARE Standard (MIFARE Classic) カード：ISO/IEC 14443-4には対応たいおうしておらず、NXP独自どくじのアルゴリズム非公開ひこうかいの認証にんしょうと暗号あんごう化かプロトコルを採用さいようしている。
MIFARE Plusカード：MIFARE Classicカードの脆弱ぜいじゃく性せいに対応たいおうしたもの。
MIFARE UltraLightカード：MIFARE Standardからセキュリティといくつかのコマンドを除のぞいたもの。ISO/IEC 14443-4準拠じゅんきょ。
MIFARE DESfireカード：ISO/IEC 14443-4(T=CL)準拠じゅんきょのICカード。NXP製せいのOSがROMに焼やきこんである。
MIFARE Prox、MIFARE smartMX：ISO/IEC 14443-4 (T=CL)に準拠じゅんきょしたICカード。

MIFARE Standard

安価あんかであるため、電子でんしマネー、社員しゃいん証しょう、交通こうつう機関きかんや競技きょうぎ場じょうのチケットなど広ひろく用もちいられている。

メモリは、セグメントとブロックに分わけられ、シンプルなセキュリティのメカニズムによってアクセス制御せいぎょがなされている。ASICベースのため計算けいさん能力のうりょくは限かぎられている。 MIFARE Standard 1kは、約やく768バイトのメモリを持もち、それが16のセクタに分わかれている。これらのセクタは、AとBと呼よばれる二ふたつの鍵かぎでプロテクトされている。それぞれのセクタに対たいして、読よみ込こみ、書かき込こみ、値ねの増減ぞうげんなどの操作そうさができる。MIFARE Standard 4kは、3kBのメモリを持もち、それが40のセクタに分わかれている。そのうち32のセクタがMIFARE Standard 1kのセクタと同おなじ容量ようりょうで、残のこりの8つが倍ばいの容量ようりょうを持もつ。MIFARE Standard miniのメモリ容量ようりょうは320バイトで、5つのセクタを持もつ。

1994年ねんに発売はつばいされたということもあり設計せっけいが古ふるく、また48ビット鍵かぎを使つかった独自どくじの暗号あんごう化かアルゴリズムCrypto-1に脆弱ぜいじゃく性せいがあることが判明はんめいしたため^[1]、MIFARE Classicに改名かいめいされた。 2015年ねんには、改良かいりょう版ばんのMIFARE Classic EV1にも脆弱ぜいじゃく性せいが発見はっけんされているため^[2]、新規しんき採用さいようは推奨すいしょうされていない。このシリーズの後継こうけいは、MIFARE Plus。

MIFARE UltraLight

MIFARE Standardの簡易かんい版ばん。ISO/IEC 14443-4・NFCフォーラム Type 2に準拠じゅんきょ。メモリはわずか64バイトで、セキュリティ機能きのうもない。しかし非常ひじょうに安価あんかであるため、会員かいいん証しょうや使つかい捨すてのチケットに用もちいられている。2006年ねんワールドカップでも使つかわれた。改良かいりょう版ばんに、トリプルDESを採用さいようしたMIFARE Ultralight C、リロード攻撃こうげきによる脆弱ぜいじゃく性せいに対応たいおうしたMIFARE Ultralight EV1がある。

MIFARE DESFire

MIFARE Standardとは異ことなり、マイクロプロセッサにDESFire OSというソフトウェアがプログラムされている。MIFARE Standard 4kとほぼ同等どうとうの機能きのうをもつが、より高たかい柔軟じゅうなん性せいと、より強力きょうりょくなトリプルDESセキュリティを持もち、より高速こうそくで、T=CLの規格きかくにも準拠じゅんきょしている。カードとリーダライタの通信つうしん可能かのう距離きょりはリーダライタの電波でんぱ強度きょうどやアンテナサイズに依存いぞんするが、およそ10cm程度ていど。

2011年ねんに、サイドチャネル攻撃こうげきによる脆弱ぜいじゃく性せいがあることが発表はっぴょうされた^[3]。

NFCフォーラム Type 4に準拠じゅんきょした改良かいりょう版ばんには、128ビットAESに対応たいおうしたMIFARE DESFire EV1、リレーアタックに対応たいおうしたMIFARE DESFire EV2、オープンDES・2K3DES・3K3DES・AESに対応たいおうしISO/IEC 14443 Type-A・ISO/IEC 7816-4に準拠じゅんきょしたMIFARE DESFire EV3もある。

MIFARE DESFire8

MIFARE DESFireの8kB版ばんだが、他たに以下いかのような特長とくちょうがある。

ランダムUID
AES128暗号あんごうに対応たいおう
コモンクライテリアEAL4＋

2006年ねん11月に発表はっぴょうされた。

MIFARE Plus

MIFARE Classicの脆弱ぜいじゃく性せいに対応たいおうしたもの。既存きそんシステムをより安全あんぜん性せいの高たかいオープン標準ひょうじゅんにアップグレードできるよう考慮こうりょされている。他たに、以下いかのような特長とくちょうがある。

ランダムUID（7バイト）
AES128暗号あんごうに対応たいおう
コモンクライテリアEAL4+

改良かいりょう版ばんに、リレーアタックに対応たいおうしたMIFARE Plus EV1、高速こうそく化かし中ちゅう間あいだ者しゃ攻撃こうげき対策たいさくを講こうじたMIFARE Plus EV2がある。

MIFARE T=CL カード

MIFARE ProXとSmartMXは、マイクロプロセッサを用もちいている。ハードウェア単体たんたいでは動作どうさせず、専用せんようのOSが必要ひつようになる。暗号あんごう計算けいさん（トリプルDES、AES、RSA暗号あんごう等ひとし）のためにコプロセッサが内蔵ないぞうされていることが多おおい。処理しょり速度そくどや機能きのうは接触せっしょく型がたカードに匹敵ひってきする。実際じっさい、SmartMXシリーズには、接触せっしょく型がたや接触せっしょく/非ひ接触せっしょく両方りょうほうのインタフェースを備そなえたカードもある。ベンダ独自どくじのOS、オープンOS（JavaCard等とう）両方りょうほうに対応たいおうできる。

インストールされるソフトウェアによって、カードはさまざまな目的もくてきに使つかわれるが、高たかいレベルのセキュリティが必要ひつようとされる場合ばあいに用もちいられることが多おおく（ICパスポート、クレジットカードなど）、コモンクライテリアなど、第三者だいさんしゃの認定にんていをうけていることが多おおい。SmartMXは、ドイツ連邦れんぽう電子でんし情報じょうほう保安ほあん局きょくによって、コモンクライテリアのEAL5+認定にんていを受うけており、リバースエンジニアリング、故障こしょう利用りよう攻撃こうげき、電力でんりょく解析かいせき等とうへの高たかい耐たいタンパー性せいを持もつ。最終さいしゅう製品せいひんでこのような認証にんしょうを取得しゅとくするためには、チップ上じょうで動作どうさするOSも認証にんしょうを取得しゅとくする必要ひつようがある。

歴史れきし

MIFAREはもともとはMikronによって開発かいはつされたもので、MIFAREは「MIkron FARE-collection System」の略りゃくである。Mikronは、アメリカ合衆国あめりかがっしゅうこくのAtmel、オランダのフィリップス、ドイツのシーメンスにMIFARE技術ぎじゅつをライセンスした。1998年ねんにフィリップス社しゃによって買収ばいしゅうされた。

フィリップスによる買収ばいしゅうの後のち、日立製作所ひたちせいさくしょもMIFAREのライセンスを取得しゅとくした。これは1999年ねんに開始かいしされ2006年ねんに終了しゅうりょうしたNTTの非ひ接触せっしょくICテレホンカードの開発かいはつプロジェクトのためだった。NTTの非ひ接触せっしょくICテレホンカード開発かいはつプロジェクトには3つの陣営じんえいが参加さんかしていた。トーキン-田村たむら電機でんき-シーメンス連合れんごう、日立製作所ひたちせいさくしょ-フィリップス（技術ぎじゅつサポートのみ）連合れんごう、デンソー-モトローラ（製造せいぞうのみ）連合れんごうである。NTTは、MIFARE Classicのような、ワイヤードロジックによる小しょう容量ようりょうのものと大だい容量ようりょうの2種類しゅるいのチップを要求ようきゅうした。日立製作所ひたちせいさくしょは大だい容量ようりょうバージョンのみを開発かいはつし、そのメモリ容量ようりょうを小ちいさくして小しょう容量ようりょうバージョンとした。シーメンスは保有ほゆうするMIFAREテクノロジーを改良かいりょうし、チップを開発かいはつした。モトローラはMIFAREのようなチップの開発かいはつを試こころみたが、最終さいしゅう的てきには断念だんねんした。当初とうしょ、ICテレホンカードは100万まん枚まい/月つきの売うり上あげが見込みこまれていたが、最終さいしゅう的てきな売うり上あげは10万まん枚まい/月つき程度ていどだった。

1994年ねん - MIFARE Standard 1k 非ひ接触せっしょくテクノロジが発表はっぴょうされる
1996年ねん - 韓国かんこくソウルの「バスカード（現在げんざいのUパス）」でMIFARE Standard 1kが用もちいられる
1997年ねん - トリプルDESコプロセッサ搭載とうさいのMIFARE PROが発表はっぴょうされる
1999年ねん - PKIコプロセッサ搭載とうさいのMIFARE PROXが発表はっぴょうされる
2001年ねん - MIFARE UltraLight が発表はっぴょうされる
2002年ねん - マイクロプロセッサを用もちいた、MIFARE DESFireが発表はっぴょうされる
2004年ねん - MIFARE DESFiireを用もちいるシステムで使用しようするMIFARE DESFiire SAMが発表はっぴょうされる
2006年ねん - MIFARE DESFiire8が、AES128暗号あんごう対応たいおうの最初さいしょの製品せいひんとして発表はっぴょうされる
2008年ねん3月 - MIFARE PLUS が、MIFARE Classicの代替だいたいとして発表はっぴょうされる

セキュリティ

2007年ねん12月に行おこなわれた第だい24回かいカオスコミュニケーション会議かいぎ (Chaos Communication Congress)で、ヘンリック・プロッツとカーステン・ノールは MIFARE Classic の脆弱ぜいじゃく性せいに関かんするプレゼンテーションを行おこなった。彼かれらは MIFARE Classic のチップに対たいしてリバースエンジニアリングを行おこない、MIFARE Classic のアルゴリズムを解析かいせきし、いくつかの脆弱ぜいじゃく性せいを発見はっけんした。彼かれらは、解析かいせきされた暗号あんごうアルゴリズムの詳細しょうさいとその脆弱ぜいじゃく性せいについての論文ろんぶんを2008年ねん中ちゅうに発表はっぴょうするとした。なお、この件けんは MIFARE Classic 以外いがいのカードには無関係むかんけいである。

2008年ねん3月がつには、オランダのナイメーヘンにあるラドバウド大学だいがく (Rdaboud University Nijmegen) のデジタルセキュリティ研究けんきゅうグループが、MIFARE Classicカードのプロトコルを解析かいせきすることによって認証にんしょう/暗号あんごう化かアルゴリズムの特定とくていに成功せいこうし、さらに鍵かぎを効率こうりつ的てきに特定とくていできることを公表こうひょうした。MIFARE Classic の鍵かぎ長ちょうは48ビットなので、そのままでも総そう当あたり攻撃こうげき可能かのうであるが、アルゴリズムの脆弱ぜいじゃく性せいを利用りようすれば数すう分ふんで特定とくていできるという。鍵かぎを特定とくていできるとクローンカードを作成さくせいすることができる^[4]^[5]。

この結果けっかを受うけて、オランダ自治省じちしょう及およびオランダ王国おうこく関係かんけい者しゃは Rijkspas の導入どうにゅうを2008年ねん第だい4四半期しはんきから延期えんきするか検討けんとうすると発表はっぴょうした^[6]。

参考さんこう・脚注きゃくちゅう

^ K. Nohl, Starbug and H. Plotz. "Mifare, little security, despite obscurity." Pre-sentation on the 24th Congress of the Chaos Computer Club (CCC), December 2007.
^ Carlo Meijer, Roel Verdult "Ciphertext-only Cryptanalysis on Hardened Mifare Classic Cards". 22nd ACM Conference on Computer and Communications Security (CCS 2015), ACM, 1 October 2015
^ Oswald, David, and Christof Paar, “Breaking Mifare DESFire MF3ICD40: Power Analysisand Templates in the Real World,”CHES 2011, LNCS, Vol. 6917, 2011, pp. 207–222.
^ http://www.hrgeeks.com/2008/03/14/so-long-mifare-rf-id-system/
^ 「ICカードの暗号あんごうは数すう分ふんで解読かいどく可能かのう」――RFIDのセキュリティ懸念けねん広ひろがる
^ http://www.minbzk.nl/actueel/110972/veel-chips-in （オランダ語ご）

外部がいぶリンク

MIFARE.net（英語えいご） - 公式こうしきサイト
NXPセミコンダクターズ
Mifareとは？

[1] K. Nohl, Starbug and H. Plotz. "Mifare, little security, despite obscurity." Pre-sentation on the 24th Congress of the Chaos Computer Club (CCC), December 2007.

[2] Carlo Meijer, Roel Verdult "Ciphertext-only Cryptanalysis on Hardened Mifare Classic Cards". 22nd ACM Conference on Computer and Communications Security (CCS 2015), ACM, 1 October 2015

[3] Oswald, David, and Christof Paar, “Breaking Mifare DESFire MF3ICD40: Power Analysisand Templates in the Real World,”CHES 2011, LNCS, Vol. 6917, 2011, pp. 207–222.

[4] ttp://www.hrgeeks.com/2008/03/14/so-long-mifare-rf-id-system/

[5] 「ICカードの暗号あんごうは数すう分ふんで解読かいどく可能かのう」――RFIDのセキュリティ懸念けねん広ひろがる

[6] ttp://www.minbzk.nl/actueel/110972/veel-chips-in （オランダ語ご）

[1]

[2]

[3]

[4]

[5]

[6]