Tweet

0

TNO onderzoekt alternatieve hack OV-chipkaart

"Kraak sleutels kan veel sneller en goedkoper"

Onderzoeksinstituut TNO heeft in zijn onlangs gepubliceerde rapport over de veiligheid van de OV-chipkaart een succesvolle hacktechniek over het hoofd gezien. Dat claimt onderzoeker Karsten Nohl van de universiteit van Virginia. TNO gaat op korte termijn bekijken of aanvullende maatregelen nodig zijn.

Dit meldt TransLink Systems (TLS), de joint venture van vervoersbedrijven die de kaart produceert. Nohl is een van de twee onderzoekers die eind vorig jaar tijdens het Berlijnse Chaos Computer Congres de hack demonstreerden van het beveiligingsalgoritme van de door TLS gebruikte Mifare Classic-chip. Het was het startsein voor een hoop ophef over de veiligheid van de kaart en risico's voor de gebruikers ervan.

In een onderzoeksrapport over de gevolgen van de hack concludeerde TNO eind vorige maand dat de huidige OV-chipkaart nog een paar jaar in gebruik kan blijven. Immers: slechts de eerste beveiligingslaag van de chip is gekraakt. En wanneer de chip uiteindelijk volledig wordt gekraakt, zijn niet meteen álle chipkaarten onveilig. Ieder exemplaar heeft namelijk een unieke sleutel. Wel zijn extra veiligheidsmaatregelen nodig en moet de chip na circa twee jaar worden vervangen.

Grove overschatting
"We verwelkomen de oproep in het [TNO-]rapport om de huidige kaarten te vervangen door veiliger kaarten, maar hebben twijfels bij de schatting dat een aanval niet binnen twee jaar zal gebeuren", reageert Nohl vandaag op zijn profielpagina op de site van de University of Virginia. TNO's bewering dat een succesvolle aanval duizenden euro's aan hardware zou kunnen vergen, is volgens hem bovendien "een grove overschatting". 

Volgens Nohl heeft TNO een snelle techniek om de sleutels op een kaart te kraken over het hoofd gezien. In dit document op zijn site schetst hij een aanval in drie stappen per kaart, waarbij de laatste stap op een normale pc in enkele minuten mogelijk zou zijn. Onduidelijk is volgens TLS hoe lang dit duurt en in hoeverre het praktisch haalbaar is. Wel zouden er maatregelen denkbaar zijn tegen het door Nohl geschetste scenario.

TLS heeft TNO direct opdracht gegeven om de claims van Nohl te onderzoeken en om te kijken of de eerder geadviseerde aanvullende veiligheidsmaatregelen nog voldoende zijn. Daarvoor heeft TNO informatie nodig over het beveiligingsalgoritme van de Mifare-chip. Producent NXP heeft zijn medewerking al toegezegd. Ook wil Nohl zijn hackscenario in detail toelichten, aldus TLS.

Eind vorige maand meldde staatssecretaris Huizinga van Verkeer dat de invoering van de chipkaart gewoon doorgaat, ondanks de onrust over de veiligheid. De invoerdatum van 1 januari 2009 staat echter niet meer vast. Huizinga belooft dat ze de strippenkaart en de huidige abonnementen pas zal afschaffen op het moment dat ze overtuigd is van "een goed, veilig en betrouwbaar vervoerbewijs".

bron: ZDNet