NXP reageert op Mifare-hack

Reading time: 3 minutes

Author:

Halfgeleidermaker NXP wil met een verklaring de claims rondom de Mifare-hack te ontzenuwen. Vorige week onthulden Karsten Nohl van de universiteit van Virginia samen met hackers Starbug en Henryk Plötz dat ze hun vingers hadden gekregen achter de geheime cryptografiealgoritmen van de Mifare Classic-technologie voor autorisatietoepassingen, waaronder de ov-chipkaart. Zij deden hun uitspraken op het Chaos Communication Congress. XS4All-medeoprichter en luis in de overheids-IT-pels Rop Gonggrijp zocht gelijk de publiciteit met de bewering dat de beveiliging van de ov-kaart niet meer te vertrouwen is. Privacygevoelige informatie zou op straat komen te liggen en kwaadwillende gebruikers zouden op kosten van anderen kunnen reizen.

Volgens NXP loopt het zo‘n vaart niet, alhoewel het wel zegt de beweringen ’zeer serieus‘ te nemen en deze verder te onderzoeken. ’NXP wil duidelijk maken dat de beweringen slechts betrekking hebben op het verkrijgen van een deel van het cryptografische algoritme. Als zodanig breekt dit de beveiliging niet‘, schrijft de chipmaker in een verklaring. ’In een toepassing is de versleuteling door de chip maar één onderdeel van het totale beveiligingssysteem dat uit meerdere lagen bestaat. Deze lagen leveren ieder een bijdrage aan de complete beveiliging van het systeem.‘ Bovendien, benadrukt NXP, zijn de geheime sleutels nog niet achterhaald. En zelfs al zouden de hackers dit voor elkaar hebben gekregen, dan zijn nog niet alle chips in gevaar omdat de sleutels niet voor alle kaarten identiek zijn.

Verder claimt NXP dat het systeem chips waaraan gerommeld is, zal kunnen herkennen. ’Doorgaans zijn systemen met meerdere lagen in de totale beveiliging in staat om kaarten waarmee is geknoeid op te sporen en binnen korte tijd de juiste maatregelen te nemen. Ook al zijn er problemen met één laag, dan nog verhinderen de andere lagen ongeoorloofd gebruik.‘

NXP wijst er ook op dat er een aanzienlijke hoeveelheid kennis en tijd nodig is om de kraak te kunnen zetten. ’Het werk om een deel van het cryptografische algoritme te achterhalen is verricht door zeer deskundige onderzoekers, die daar een aanzienlijke periode aan bezig zijn geweest. Naar verluidt hebben deze enorme inspanningen tot het achterhalen van een deel van het algoritme geleid.‘ Nohl en de zijnen moesten overgaan tot het openzagen van de chip en het circuit aan de hand van microscopische foto‘s reverse engineeren. Daarnaast analyseerden ze het radiografisch verkeer.

Misschien wel het belangrijkste punt van NXP is tenslotte het toepassingsgebied van de technologie. Volgens de onderzoekers wordt het rendabel om te investeren in apparatuur die de sleutels binnen afzienbare tijd kan breken, als daarmee grote winsten zijn te behalen. Voor een autodief zal het interessant zijn. Voor kleine bedragen, zoals elektronische portemonnees of de ov-chipkaart, rendeert dit niet. En dat is juist waarvoor Mifare Classic in gebruik is. ’De chip in kwestie behoort tot een familie van IC‘s voor contactloze kaarttoepassingen maar is niet – zoals foutief wordt voorgesteld in de presentatie – bedoeld voor E-Passport, traditionele banktoepassingen of de beveiliging van auto‘s‘, schrijft NXP in zijn verklaring. Overigens maakt Nohl in zijn presentatie juist duidelijk dat de cryptografie bij elektronische paspoorten een stuk sterker is. Ook is Mifare Classic in gebruik bij het beveiligen van gebouwen, waar wel degelijk wat van waarde te halen valt.