Weer nieuwe kraak chip OV-chipkaart

door

Kaartlezer

door

Nieuws - Buitenlandse onderzoekers heb nog meer beveiligingsgaten aangetroffen in de chip die de OV-chipkaart zou moeten beschermen.

Dat blijkt uit een onderzoeksverslag van Nicolas T. Courtois van de University College London Adastral Park campus en Karsten Nohl van de University of Virginia in de Verenigde Staten. Zij claimen een andere manier te hebben gevonden dan wetenschappers aan de Radboud Universiteit gebruikten om zwakheden in de Mifare Classic te vinden.

Het nieuwste onderzoek toont een fundamenteel probleem dat voor meer RFID-kaarten geldt. De Mifare Plus chip, die NXP later dit jaar op de markt wil brengen, zou op voorhand al gedoemd zijn te mislukken.

Eerdere onderzoeken waren vooral gericht op het gebruikte protocol ofwel de set aan afspraken om te communiceren. De onderzoekers aan de Radboud Universiteit Nijmegen troffen daarin al fundamentele problemen aan, die het mogelijk maken kaarten uit te lezen of te klonen in minder dan een seconde.

Aanvallen met statistieken

De nieuwe techniek gebruikt een analyse van het dataverkeer tussen een kaart en een toegangspoort. De onderzoekers hebben genoeg aan een minieme hoeveelheid data van vijftig bits (eentjes en nulletjes) om aan de slag te gaan. Op basis van statistieken breken zij vervolgens de versleuteling.

De nieuwe methode werkt bij chips die gebruik maken van stream cipher, een methode waarbij bits één voor één worden verzonden. Voor algoritmes die gebruik maken van zogenaamde block ciphers, waarbij groepen bits tegelijk worden verzonden, geldt dat niet. De eerste methode kan vergeleken worden met een roltrap die mensen een voor een naar boven brengt, terwijl de tweede meer als een lift functioneert, waar tegelijk meerdere personen instappen.

Nadat de sleutel is opgevangen, zeggen de onderzoekers binnen twaalf seconden in staat te zijn om een kaart te kopiëren. "We zouden dat kunnen versnellen, maar dat is het punt niet", zegt Nohl. "Wij willen aantonen dat het kan."

Nohl en Courtois hebben de exacte details van het nieuwste beveiligingslek nog niet vrijgegeven. Criminelen zouden die informatie anders kunnen gebruiken om systemen te aan te vallen.

Mifare Plus

NXP, het bedrijf achter de Mifare Classic Chip, kent de aanval nog niet, maar reageert gelaten op de bevindingen. Voor de nieuwe chip, die een migratie naar veiligere protocollen mogelijk maakt, is dit slecht nieuws. De chip kent drie versleutelingsmechanismen, waarvan de Classic-compatible modus nu ook getroffen lijkt te zijn.

De onderzoekers hebben geen goed woord over voor de zwakheden. "Er is een nieuw record voor het zwakste cryptografisch algoritme gebroken", zegt Courtois tegenover Webwereld.

Politiek moe

"Als dit klopt dan is het duidelijk. Was de OV-chipkaart nog niet failliet na het onderzoek van de Radboud Universiteit, dan is hij het nu wel", zegt GroenLinks-kamerlid Wijnand Duyvendak. "Deze kaart wordt niet meer geaccepteerd."

Ook de SP is de gang van zaken beu. "Het is duidelijk dat er met de kaart gestopt moet worden", zegt SP-kamerlid Emile Roemer. "De staatssecretaris moet als de wiedeweerga met een nieuw plan komen."

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.