NXP introduceert 'superveilige' Mifare Plus-chip

Hoe zeggen ze dat ook al weer? Eerst zien, dan... geloven? Die vorige chip was toch ook zo veilig als we NXP en Trans Link mochten geloven?

Het is verstandig van NXP om het volledige openbare AES te gebruiken in plaats van het nu gekraakte CRYPTO1 systeem, maar het gebruik van AES alleen is nog geen garantie dat de chip nu niet te kraken is. Er kan nog van alles mis zijn met andere beveiligingsaspecten zoals bijvoorbeeld sleutelmanagement of sessiemanagement.

Zoals de vorige reactie ook al aangaf: eerst zien, dan geloven.


Erik

En, inhakend op de privacyzorgen over de ov-chipkaart: "Met Mifare Plus kunnen consumenten gerust zijn dat hun persoonlijke gegevens niet door anderen kunnen worden getraceerd."
Nou ja, dat zal dan wel niet gelden voor de verstrekkers van zo'n kaart met chippie, want het is nu juist de bedoeling van de OV bedrijven om de bewegingen van het reizende individu te traceren.
Da's juist wat velen niet willen. Daarnaast blijft het dan nog de vraag, hoe die bedrijven met de verzamelde gegevens die ze van de kaart plukken, omgaan, oftewel bewaren.

Waarom gebruikt men niet meteen een 1024 bits? Dan ben je druk bezig om het te kraken.
Zal wel de enorm hoge prijs zijn.

-- En, inhakend op de privacyzorgen over de ov-chipkaart: "Met Mifare Plus kunnen consumenten gerust zijn dat hun persoonlijke gegevens niet door anderen kunnen worden getraceerd." --

De enige manier waarop de chipkaart geaccepteerd kan worden is als deze door geen enkel ander apparaat 'gezien' kan worden. De korte-afstand uitlezing moet dus in de kaart zijn ingebouwd, niet in de lezer. Verder mogen er GEEN persoonlijke gegevens op de kaart staan en/of worden bijgehouden in een database. Kaarten moeten NIET traceerbaar zijn. Je moet met geen mogelijkheid kunnen nagaan waar een kaart gebruikt is, en/of welke route er met een kaart is afgelegd. De kaart mag alleen als 'tegoedpasje' dienen en verder niks.

Elk ander gebruik is een onaanvaardbare inbreuk op de privacy van de burger. Als je wilt weten hoeveel mensen er op welke tijdstippen reizen, kun je ook gewoon anonieme, ouderwetse telsystemen bij de deuren installeren.

Het is gewoon simpel, niks is veilig.
als het om digitale informatie gaat.
En alles is te kraken.

en de oplossing is zoals gewoonlijk belgische crypto .. :)

De ketting is zo sterk als de zwakste schakel. Je kan nog een onkraakbaar algoritme gebruiken voor encryptie, maar als je implementatie niet deugt heb je er alsnog niks aan. Van prutsers die eerst nog met droge ogen beweren dat "er op het gebied van beveiliging niets mis is met de mifare classic" verwacht ik geen waterdichte implementatie. Waarschijnlijk ligt de masterkey van de encryptie gewoon onder het toetsenbord van de directeur.

Overigens zou de overheid dom zijn om alsnog met dit bedrijf in zee te gaan. Dit bedrijf verdient het toch om nooit meer zaken mee te doen en volledig weggevaagd te worden uit securityland! Maar ja in overheidsland schijnt dat soms anders te werken.

Alhoewel dus helemaal nieuw en veel veiliger, biedt de Mifare Plus volledige terugwaartse compatibiliteit met eerdere versies van de Mifare-familie.

M.A.W. een nieuwe chip met hetzelfde onveilige (software) design van de OV-CHIP. Nu er toch zoveel poeha over is, is het een goede tijd om een goede AUDIT uit te voeren.

Is de gebruikte encryptie openbaar gemaakt? Of baseert NXP nog steeds op het principe "Security through obscurity"?
Is er ook voor de burger een mogelijkheid om te CONTROLEREN welke gegevens opgeslagen wordt op zo'n chip?

Er is nog een simpele oplossing te bdenken door de staatssecretaris waarbij iedereen (nou ja bijna iedereen) weer rustig kan gaan slapen.
Gewoon de volgende tekst op de OV-chipkaart printen:
"Deze kaart is beveiligd"