Erklärung: blueSmart - Verschlüsselung nicht geknackt

Der Branchendienst Heise online hat unter dem Titel „32C3: Verschlüsselung gängiger RFID-Schließanlagen geknackt“ berichtet, dass elektronische Schließsysteme, die mit sogenannten RFID-Transponderkarten arbeiten, mit trivialen Mitteln geknackt werden können.

Dies ist, bezogen auf unsere blueSmart Technologie, falsch. Anders als Heise online unter Berufung auf Aussagen des Herrn Ralf Spenneberg von Open Source Training berichtet, können die in unserer blueSmart Technologie enthaltenen RFID-Transponder nicht „trivial einfach“ geklont werden. Diese pauschale Aussage ist schon deswegen überraschend, weil wir Herrn Spenneberg im Sommer letzten Jahres darüber in Kenntnis gesetzt haben, dass seine Annahmen über die Funktionsweise des Systems blueSmart nicht zutreffend sind.

Unsere blueSmart Technologie arbeitet zusätzlich zu der Authentifizierung des Hitag-S- Transponders mit einer 128 Bit AES Verschlüsselung der Schlüsseldaten.

Das Herstellen eines Klons eines unserer blueSmart Schlüssel durch einfaches Auslesen von Verbindungsdaten in einem öffentlichen Verkehrsmittel - wie in Heise online beschrieben - ist nicht möglich.

Das blueSmart System verfügt über zahlreiche zusätzliche Sicherheitsfeatures wie zum Beispiel das unbedingte Sperren von Schlüsseln oder zeitlich eng eingeschränkte Berechtigungen. Höhere Sicherheitsanforderungen können gemäß VdS Empfehlungen durch zusätzliche Abfrage von persönlichen Sicherheitsmerkmalen erreicht werden.

Wir beobachten selbstverständlich auf Tagesbasis, wie sich unsere Schließtechnologien in der Praxis verhalten, denn wir können kriminelle Hackerangriffe nie zu 100 % ausschließen. Hackerangriffe auf blueSmart oder geklonte blueSmart Schlüssel sind uns bis heute nicht bekannt geworden.

Dessen ungeachtet gilt: Das Auslesen von Schließtechnologien, gleich zu welchem Zweck, ist eine Straftat und wird von Winkhaus bei Bekanntwerden unnachgiebig verfolgt.

blueSmart: Encryption not hacked

Under the headline „32C3: Encryption of established locking system cracked“ the service provider Heise online has reported that electronic locking systems that work with the so-called RFID-transponder cards may be cracked with “trivial means”.

As regards our blueSmart technology this statement is false. In contrast to the Heise online report that refers to the statements of Mr Ralf Spenneberg of Open Source Training the RFID transponder that are incorporated in our blueSmart technology cannot be cloned in a „trivially simple“ way. The statements of Ralf Spenneberg are in particular surprising because we have informed Mr Spenneberg already in the summer last year that his assumptions as regards the functionality of the blueSmart system are not correct.

Complementary to the authentication of the HITAG-S transponder our blueSmart technology works with a 128 Bit AES encryption of the key data.

Therefore, it is not possible – as Heise online described it – to produce a clone of our blueSmart key by merely reading out the communication data in public transport.

Our blueSmart system has many additional security features as for example the mandatory locking of keys and the time wise strongly restricted authorizations. Even higher security requirements may be achieved in accordance with the VdS recommendations by request of personal security details.

We intensely observe on a day to day basis how our locking technology is working in practise, because we cannot exclude criminal attacks of hackers to 100%. However, we have not been informed about any hacker attack successfully targeting our blueSmart technology.

Regardless of these facts: It is a criminal offense to read out locking technologies irrespective of the purpose and will be strictly prosecuted by Winkhaus.

Déclaration: blueSmart - technologie de chiffrement non décodée

Le site spécialisé Heise Online a rapporté sous le titre « 32C3: le chiffrement des systèmes courants de fermeture RFID est percé », que des systèmes de fermeture électroniques fonctionnant avec des cartes à transpondeur dites RFID pourraient être décodés par des moyens de déchiffrement ordinaires.

Ceci est faux s’agissant de notre technologie blueSmart. Contrairement à ce que prétend Heise Online en s’appuyant sur les déclarations de Monsieur Ralf Spenneberg de Open Source Training, les transpondeurs RFID contenus dans notre technologie blueSmart ne peuvent pas être « simplement et trivialement » clonés. Cette affirmation générale est d’autant plus surprenante que nous avions informé Monsieur Spenneberg l’été dernier que ses hypothèses de travail concernant le fonctionnement du système blueSmart étaient inadéquates.

Notre technologie blueSmart utilise, en plus de l’authentification du transpondeur Hitag-S, un codage 128 Bit AES des données de clé.

Dès lors, la fabrication d’un clone d’une de nos clés blueSmart par simple extraction des données de transmission dans les transports publics – comme décrit sur Heise Online – n’est pas possible.

Le système blueSmart dispose de nombreuses fonctions supplémentaires de sécurité, comme par exemple la désactivation forcée des clés ou bien des accès limités à de très courtes durées. Des niveaux de sécurité plus élevés peuvent être obtenus, conformément aux recommandations de l’organisme de contrôle indépendant VdS, par l’ajout de critères d’identification personnalisés.

Nous observons bien entendu, jour après jour, comment nos technologies de fermeture de sécurité réagissent en pratique car nous ne pouvons pas exclure à 100 % des attaques criminelles perpétrées par des hackeurs. Nous n’avons à ce jour connaissance ni de telles attaques sur blueSmart, ni de l’existence de clés blueSmart clonées.

Nonobstant ce qui précède, il est clair que la violation de technologies de fermeture, quel qu’en soit le but, constitue une infraction pénale qui poursuivie de façon résolue par Winkhaus si elle devait être avérée.

blueSmart: Encryptie niet gekraakt

Service provider Heise online heeft onder de kop “32C3: Encryption of established locking system cracked” gesteld dat elektronische sluitsystemen die werken met zogenaamde RFID transponder cards op “triviale wijze” zouden kunnen worden gekraakt.

Deze stelling is, voor zover het onze blueSmart technologie betreft, onjuist. In tegenstelling tot de stellingen in het rapport van Heise online, waarin wordt gerefereerd aan uitlatingen van de heer Ralf Spenneberg van Open Source Training, kan de RFID transponder die deel uitmaakt van onze blueSmart technologie, niet op “triviaal eenvoudige wijze” worden gekloond. De uitlatingen van de heer Spenneberg zijn in het bijzonder verbazingwekkend, omdat wij de heer Spenneberg vorige zomer al hebben geïnformeerd dat zijn aannames met betrekking tot de functionaliteit van het blueSmart systeem niet correct zijn.  

Overeenkomstig de waarmerking van de HITAG-S transponder, werkt onze blueSmart technologie met een 128 Bit AES encryptie van de sleutelgegevens.

Het is daarom onmogelijk om - zoals Heise online stelt - een kloon van onze blueSmart sleutel te produceren door eenvoudigweg de versleutelde gegevens in het publieke toegankelijke dataverkeer uit te lezen.

Ons blueSmart systeem heeft bovendien veel extra beveiligingskenmerken, zoals de mogelijkheden om sleutels te blokkeren en de toegangsautorisaties sterk te beperken. Het is daarnaast mogelijk om, in overeenstemming met de VdS aanbevelingen, nog hogere beveiligingsvereisten te behalen door middel van het vragen naar persoonlijke beveiligingsgegevens.

Wij houden altijd nauwlettend in de gaten hoe onze sluitsystemen in de praktijk functioneren, omdat wij criminele aanvallen van hackers helaas niet 100% kunnen uitsluiten. Wij zijn er echter niet van op de hoogte dat onze blueSmart technologie ooit succesvol door hackers is aangevallen.

Afgezien hiervan, benadrukken wij dat het een misdrijf is om elektronische sluitsystemen uit te lezen, ongeacht het doel waarvoor dit gebeurt. Winkhaus zal hier dan ook altijd strafrechtelijke stappen tegen ondernemen.