Lecture de carte sans contact / Linux - Page 1

Dans le cadre de mon boulot, j'ai de temps en temps à faire de la lecture de cartes sans contact afin de vérifier qu'elles soient bien encodées et lisibles. Ca n'arrive pas souvent (tout au plus une fois/mois, voire /trimestre), mais comme je suis sous Linux, c'est un peu galère : je n'ai pas trouvé de GUI qui me permette de le faire simplement. Du coup, je suis obligé de lancer une VM sous Windows (XP !) pour utiliser une application qui ne me sert qu'à ça (ISLOG ReadCard Community Edition).
Idéalement, j'aimerais pouvoir me débarrasser de cette VM qui ne me sert à rien (juste à ça, et à ouvrir deux fois par ans le fichier Excel utilisé par la RH pour nos congés et qui contient une terachiée de macros qui passent mal sous Libreoffice). Du coup, je voulais savoir si certains d'entre vous connaissaient des softs avec GUI (même si atrocement moches, même si en Java) fonctionnant sous Linux pour la lecture de cartes sans contact (si ça peut prendre en charge les cartes SAM avec des clés pour la lecture des zones encodées dans la carte c'est mieux, mais secondaire).

(Edit : Je viens de tomber sur https://sourceforge.net/projects/jsmartcard/ ; je jette un oeil pour voir si ça passe simplement sous Linux)

Bon, l'appli Java ne fait pas ce que je veux (et ne détecte même pas mon lecteur). Je suis tombé sur InfoNotary Smart Card Manager, mais pas mieux :/

-> La détection du lecteur fonctionne pour les deux, mais InfoNotary ne détecte pas de présence de carte ; l'appli Java détecte aussi, du coup (ça va mieux en lançant le démon qui va bien ), par contre je ne peux pas avoir simplement de dump de la structure, il faut faire des requêtes bas niveau :/

Edit : J'ai trouvé Cardpeek qui fait presque ce que je veux (mais uniquement presque :/). Il faudrait que je me mette au LUA et que je sache un peu mieux comment lire une carte Mifare/Desfire pour que ce soit bon

J'allais te proposer CardPeek mais t'es déjà tombé dessus.

bon déja "cartes sans contact" ne veut rien dire, il en existe trouze milliers.

ensuite tu parles de SAM donc j'ai compris DESfire mais c'était pas clair du tout pour quiconque qui connait pas un peu les cartes

Un outil de cartapuss avec GUI qui marche sous linux? namaisoh, ca va pas non? hahahaha.

je n'ai que ca a te proposer:

https://pypi.python.org/pypi/desfire

donc oui tu vas devoir te plonger dans le monde merveilleux des APDUs, pas le choix.

Tiens, c'est le même lecteur de cartes que celui que j'ai sur mon bural

Effectivement, comme je l'ai ajouté dans le ./2, c'est du Mifare DESfire... En tout cas, c'est pas super réjouissant tout ça Merci pour l'info en tout cas !

Nil: tu connais le BASIC? Alors le Lua ne sera pas tres compliquer a apprendre, le language est simple et bien foutut

J'ai moins peur de faire du LUA que de m'embêter avec
- la façon qu'a l'appli de gérer les scripts
- la façon de comprendre comment lire la clé contenue dans la SAM pour lire les données des secteurs de la carte DESfire (je n'ai pas l'impression que l'appli permette de lire le lecteur de SAM et le lecteur sans contact en même temps :/)

on ne lit pas la clé d'un SAM, on initialise le SAM pour qu'il exécute des actions crypto avec une clé dont on donne la référence

sinon c'est pas un sam

pour desfire y'a donc dans le sam des fonctions d'authentification et de (dé)chiffrement.

Merci du détail... ça me fait donc dire que c'est totalement mort, ou alors il faudrait que je m'y plonge totalement dedans
Notre prestataire nous fournit aussi (à la demande) des SAM non physiques sous forme de dll, mais sous Linux, ça ne m'avancera pas à grand chose (et, de toutes façons, je ne saurai pas qu'en faire)

si votre truc a BEAUCOUP de ressources, notre boite fabrique des HSM Desfire. C'est très cher mais ca permet de centraliser des mégatonnes d'opérations desfire sur un serveur avec un "méga sam pci express" et toute une suite d'outils soft.

Oh non, on n'a pas BEAUCOUP de ressources, loin de là ^^ Je ne peux pas entrer dans les détails ici (enfin, je pourrais, mais je ne préfère pas), mais en gros a deux zones séparées dans nos cartes, une qui doit pouvoir être lue au niveau national et une au niveau régional (et on peut ajouter des applications spécifiques à chaque établissement, mais on ne l'utilise pas). De mon côté, j'ai juste besoin de vérifier, de façon très occasionnelle, que les deux zones soient bien encodées. On a un poste qui permet de le faire, mais je dois faire 5 minutes de marche, du coup si je peux le faire depuis mon poste, c'est plus simple #procrastination#

Bah, la DLL, il y a plus de chances de pouvoir extraire la clé, même si la DLL sera presque certainement fortement obfusquée. Les smartcards sont très sécurisées en matériel contre l'extraction de la clé, le but étant justement de ne pas pouvoir le faire. (Du coup, je ne sais pas comment ils ont fait pour la DLL. Ont-ils généré la clé sur ordinateur avant de l'uploader (ou carrément coder en dur lors de la production) sur les smartcards? Ont ils 2 clés différentes? Parce que normalement, la clé d'une smartcard est générée par la smartcard et personne ne connaît la clé privée (lock-in très efficace, et si la smartcard casse, la clé est perdue).)

Kevin Kofler (./12) :
Parce que normalement, la clé d'une smartcard est générée par la smartcard et personne ne connaît la clé privée

Ça dépend de l'usage ; c'est le cas pour une clef destinée à signer, mais ce n'est pas le cas pour une clef destinée à chiffrer.

Kevin Kofler (./12) :
(Du coup, je ne sais pas comment ils ont fait pour la DLL. Ont-ils généré la clé sur ordinateur avant de l'uploader (ou carrément coder en dur lors de la production) sur les smartcards?

Je pense que c'est ça. Mais attention, les clés de chiffrement sont celles présentes dans les SAM, par dans les smartcards.

Oui bon (j'ai oublié de dire que je n'ai pas la clé de la pièce dans laquelle se trouve le poste, ça change un petit peu le commentaire )

Tu ne peux pas crocheter la serrure avec une de tes griffes ?

Si seulement, ce sont des serrures sécurisées à la con, et comme on déménage dans 4 mois, c'est même pas la peine d'imaginer pouvoir avoir une clé vu le prix qu'elles coûtent.

Kevin: non. En général la génération on board ne concerne que les clés asymétriques de haute sécurité, RSA et ECC. Dès qu'on utilise des clés symétriques (ce qui est le cas pour Desfire), on produit les cartes avec une clé injectée en clair a la fabrication a l'usine (dans un environnement sécurisé, donc), et on injecte immédiatement la clé désirée chiffrée avec la clé originale.

Les clés asymétriques (PKCS15 pour les smart cards) ne sont utilisées en pratique que pour les applications de très haute sécurité type gouvernement (ID), paiement, et controle d'accès "défense/datacenter/ministère".
Raison: Ca coute beaucoup trop cher a mettre en place et c'est souvent plus simple pour le fraudeur de piquer une carte ou de fracturer la porte.

Donc la majorité du reste utilise encore la crypto symétrique, qui peut s'utiliser "a l'aise" vu la sécurité des cartes, qui empêche la relecture.

Si t'avais des clés symétriques random dans les cartes, tu ne pourrais pas t'en servir de manière pratique. En symétrique, tu as besoin que Alice (la carte, ok) et Bob (le système) connaissent la clé. Comment t'en servirais tu sans faire sortir cette clé, que ce soit en clair ou chiffré avec autre chose? Et justement, le but est de ne PAS faire sortir les clés des cartes...

En général les clés de chaque carte sont plutot calculées (diversifiées) a partir d'une clé maitre et d'un numéro de série de la carte, ca permet de stocker cette clé maitre dans une carte "SAM" (security module) et de pouvoir gérer un ensemble de cartes sans avoir a faire sortir la clé. En général le SAM dispose d'un moyen de générer la clé symétrique, de la stocker, de l'exporter chiffrée et diversifiée dans les cartes cibles, et de se servir de la clé maitre pour authentifier toutes les cartes de la série (après lui avoir indiqué le numéro de série de la carte a traite). Ca a des avantages énormes
-la compromission d'une carte ne compromet pas tout le système
-les clés ne sortent jamais (on peut se démerder pour avoir des sam de fabrication de sam)