Warning: Undefined array key "bio" in /home/techwatch/domains/test.bits-chips.nl/public_html/wp-content/plugins/wpcodebox2/src/Runner/QueryRunner.php(126) : eval()'d code on line 13
Author:
Reading time: 2 minutes
Volgens TNO is er op den duur een betere beveiliging van de ov-chipkaart nodig dan Mifare Classic, maar is de nood voor migratie niet acuut. Dat blijkt uit een rapport dat het onderzoeksinstituut opstelde in opdracht van staatssecretaris Tineke Huizinga voor Trans Link Systems, de ontwikkelaar van de kaart. Aanleiding was de commotie die was ontstaan nadat hackers eind vorig jaar claimden het beveiligingsalgoritme te hebben gebroken.
Het onderzoek trapt eigenlijk een aantal open deuren in. Scenario‘s voor misbruik hebben maar kleine gevolgen voor kaarthouders. Het afsnoepen van iemands tegoed in het veld is niet realistisch, alhoewel er een scenario is waarin de kaarthouder financieel moet worden gecompenseerd. De openbare versie van het rapport gaat niet dieper in op dit scenario. Ook de privacygegevens zijn redelijk veilig; het enige persoonlijke gegeven dat op de kaart staat, is de geboortedatum.
TNO werkte in zijn onderzoek nauw samen met NXP, de fabrikant van het Mifare-beveiligingsalgoritme, en met de universiteit van Bochum in Duitsland. Het onderzoeksinstituut keek of de claims van de hackers geloofwaardig waren. Tot nog toe hebben die de details van hun werk nog niet naar buiten gebracht. Volgens TNO is de kans echter groot dat zij gelijk hebben en dat de werking van het algoritme straks op straat ligt. De TNO-onderzoekers denken dat het dan mogelijk is om een apparaat te bouwen dat individuele kaarten kraakt in enkele uren met een brute-force attack. De kosten voor een dergelijk machine bedragen rond de zesduizend euro. Is de sleutel van een kaart bekend, dan zijn klonen van bestaande kaarten te maken of valse nieuwe kaarten te produceren. Het uiterlijk hiervan zal echter afwijken en opvallen in een controle. Volgens het rapport zijn er mogelijkheden voor criminelen om winst te halen uit het kraken van een kaart, maar is het waarschijnlijker dat zo‘n machine in een academische omgeving zijn geboorteplaats vindt.
De TNO-onderzoekers denken dat het complete ov-chipkaartsysteem in alle scenario‘s indicatoren zal kunnen vinden dat de kaarten gedokterd zijn. Via blacklists zijn ze dan te blokkeren. Ook het achterhalen van de master key, waar alle sleutels op de kaarten van zijn afgeleid, achten ze niet mogelijk.
Voor het veiligstellen van de technologie op korte termijn doet TNO een aantal aanbevelingen, die het echter niet openbaar maakt. Trans Link Systems zegt deze maatregelen zo snel mogelijk te implementeren. Wel denkt TNO dat er de komende jaren apparaten zullen verschijnen die de Mifare-beveiliging kunnen omzeilen. Dat is ook met GSM gebeurd nadat het encryptiealgoritme bekend werd. Daarom adviseert TNO Trans Link Systems om de komende jaren een migratie naar een krachtiger beveiligingsalgoritme voor te bereiden.
TNO keek in zijn onderzoek alleen naar de Mifare Classic-kaarten en alleen naar de gevolgen van het lekken van het beveiligingsalgoritme. De wegwerpkaart, die niet versleuteld is, kwam niet aan de orde. Het onderzoeksinstituut heeft ook geen proeven uitgevoerd, alleen theoretisch werk.
