第一次验证时，读卡器首先验证0扇区的密码，tag给读卡器发送一个随机数nt（明文），然后读卡器通过跟密码相关的加密算法加密nt，同时自己产生一个随机数nr,(密文)发送给tag，tag用自己的密码解密之后，如果解密出来的nt就是自己之前发送的nt，则认为正确，然后通过自己的密码相关的算法加密读卡器的随机数nr（密文）发送给读卡器，读卡器解密之后，如果跟自己之前发送的随机数nr相同，则认为验证通过，之后所有的数据都通过此算法加密传输。
        首先记住这里面只有第一次的nt是明文，之后都是密文，而且nt是tag发送的，也就是验证过程中，tag是主动先发随机数的。我们破解的时候，读卡器中肯定没有密码（如果有就不用破解了），那么tag发送一个nt给读卡器之后，读卡器用错误的密码加密之后发送给tag，tag肯定解密错误，然后验证中断，这个过程中，我们只看到tag发送的明文随机数，tag根本没有把自己保存的密码相关的信息发送出来，那怎么破解呢？
        所以，要已知一个扇区的密码，第一次验证的时候，使用这个扇区验证成功之后，后面所有的数据交互都是密文，读其他扇区数据的时候，也需要验证，也是tag首先发送随机数nt，这个nt是个加密的数据，我们前面也说过每个扇区的密码是独立的，那么加密实际上就是通过tag这个扇区的密码相关的算法加密的nt，这个数据中就包含了这个扇区的密码信息，所以我们才能够通过算法漏洞继续分析出扇区的密码是什么。
        这也是为什么nested authentication攻击必须要知道某一个扇区的密码，然后才能破解其他扇区的密码。
        3）  darkside攻击
        假设某个IC卡的所有扇区都不存在默认密码怎么办？暴力破解根本不可能，那这时候就是算法的问题导致的darkside攻击，我们照样不说具体算法什么漏洞之类，同样，我们考虑首先要把tag中的key相关的数据骗出来，也就是让tag发送出来一段加密的数据，我们通过这段加密的数据才能把key破解出来，如果tag不发送加密的数据给我们，那没法破解了。
        前面我们也说了，第一次验证的时候tag会发送明文的随机数给读卡器，然后验证读卡器发送加密数据给tag，tag验证失败就停止，不会发送任何数据了，这样看，根本就没有办法破解密码。
        实际上经过研究人员大量的测试之后，发现算法还存在这样一个漏洞，当读卡器发送的加密数据中的某8bit全部正确的时候tag会给读卡器发送一个加密的4bit的数据回复NACK，其他任何情况下tag都会直接停止交互。
        那么这个4bit的加密的NACK就相当于把tag中的key带出来了，然后再结合算法的漏洞破解出key，如果一个扇区的key破解出来，就可以再使用nested authentication 攻击破解其他扇区密码。
        4）  正常验证过程获得key
        1-3都是通过一般的读卡器，把tag中的密码破解出来，破解的原理中，不管密码破解算法的漏洞，实际上都是要让tag中发送出来一段密文。
        那如果读卡器本身就保存有密码，卡也是授权的卡，也就是说卡和读卡器都是正确授权的，那么他们之间的加密数据交换就可以直接使用PM3等监控下来，然后通过“XOR效验与算Key”程序算出密码来。
        这种情况下一般都是内部人员做案，或者把读卡器中的SAM偷出来，SAM实际上就是保存读卡器中密码的一个模块，然后通过另外的读卡器插入SAM，用正常的授权的卡刷卡，然后监控交换数据，从而算出密码。
        5）  另一个方面
        前面4类方法基本上把目前的rfid卡破解讲清楚了，文字太多，所以也就没有截图，还有一个地方大家不知道考虑了么？
        我们提到的都是卡和读卡器之间的数据交换，这是加密的数据，但是有没有想过读卡器跟电脑相连这块，电脑中肯定没有加密芯片，所以这块肯定是明文传输，在某种环境中，比如通过电脑的控制程序导入密码（假设是二进制等不能直接观看的密码文件）到读卡器的时候，我们通过监控USB口（串口）数据通信，是不是就能明文看到密码呢？

软件装载密码到读卡器

使用USB监控抓到的明文数据，包含了导入到读卡器中的密码明文。 
        常用工具说明：