บัตร Mifare เป็นบัตร RFID ที่ใช้กันในการตรวจคนเข้าออกประตูหรือเพื่อการจ่ายเงินที่ค่อนข้างปลอดภัย โดยมีการเก็บข้อความลับไว้ภายในตัวบัตรและอาศัยซีพียูภายในประมวลผลข้อความที่ส่งเข้าไปเพื่อยืนยันตัวตน แต่ล่าสุดนักวิจัยก็สามารถดึงเอาข้อความลับในตัวบัตรออกมาได้แล้ว ทำให้สามารถปลอมแปลงบัตรได้อย่างสมบูรณ์ ในบัตรรุ่น MF3ICD40 ของ NXP
กระบวนการถอดรหัสนั้นอาศัยเทคนิค Differential Power Analysis (DPA) ซึ่งวิเคราะห์การใช้พลังงานของตัวบัตรเมื่อได้รับข้อมูลในรูปแบบต่างๆ กัน เมื่อได้ข้อมูลมากพอจะทำให้นักวิจัยสามารถถอดเอาข้อความลับภายในตัวบัตรออกมาได้ กระบวนการนี้ถูกเสนอโดยนักวิจัยของ IBM มาตั้งแต่ปี 2002
ทาง NXP ระบุว่าบัตรรุ่นนี้ถูกผลิตมาตั้งแต่ 9 ปีที่แล้วและไม่ได้ออกแบบให้ทนทานต่อการโจมตีรูปแบบนี้ ดังนั้นบริษัทจะหยุดสายการผลิตภายในปลายปีนี้และให้ความช่วยเหลือลูกค้าให้ย้ายระบบไปใช้งานบัตร MIFARE DESFire EV1 ซึ่งจะทนทานต่อการโจมตีแบบนี้
งานวิจัยนี้ทาง David Oswald และ Christof Paar ได้นำเสนอในงาน Workshop on Cryptographic Hardware and Embedded Systems (CHES) ที่ญี่ปุ่น โดยมีการติดต่อไปยังบริษัท NXP ล่วงหน้า
กระบวนการ DPA ต้องการเครื่องมือในห้องแลปที่ราคาแพงและความเชี่ยวชาญในการถอดรหัสสูง แต่ถ้าใครกำลังจะลงระบบใหม่ๆ ก็ควรหาบัตรที่ใช้มาตรฐานสูงจนทนทานต่อการโจมตีแนวทางนี้ได้แล้ว
ที่มา - ArsTechnica, mifare.net