Translink moet Mifare uit ov-chipkaart vervangen
Gepubliceerd: Vrijdag 29 februari 2008
Auteur: Brenno de Winter
De ov-chipkaart kan doorwerken met gekraakte chip, maar moet uiteindelijk wel een andere chip kiezen. Ook worden er meer 'geheime maatregelen' genomen.
Dat blijkt uit het TNO-onderzoeksrapport (pdf) over de beveiliging van de ov-chipkaart dat vrijdagochtend in Den Haag werd gepresenteerd. Voor het onderzoek heeft TNO drie punten rond de beveiliging in het achterhoofd. Er wordt volgens Translink gebruik gemaakt van niet alleen de Mifare Classic-chip, maar ook zijn er extra sleutels toegevoegd en op de achtergrond wordt fraude geconstateerd.
Aanbevelingen
Volgens de onderzoekers van TNO zal de chip uiteindelijk moeten worden vervangen, maar is dat nu nog niet accuut. Als fraude al zou lukken dan denkt het bedrijf dat er maximaal twee dagen met een kaart kan worden gereisd. Losse poortjes zouden direct toegang hebben tot een zwarte lijst en bij een bus of tram kan het twee dagen duren.
Omdat de winst voor een aanvaller beperkt is, zal de chip niet meteen hoeven te worden vervangen. TNO adviseert de omgeving vooral eerst gereed te maken voor een overstap en op een termijn van twee jaar de nieuwe infrastructuur te presenteren.
Het onderzoeksinstituut ziet geen reden om te adviseren ook reizigers de kaart te laten inleveren, waardoor mensen ten onrechte lastig zouden worden gevallen. Ook ziet TNO weinig problemen voor de privacy, omdat op de kaart alleen de geboortedatum te halen zou zijn.
Geheime oplossingen
Naast het vervangen van de chip zal ook een aantal producten dat op een anonieme kaart kan worden gezet worden veranderd. Hierdoor is het minder eenvoudig grootschalig misbruik te maken. Verder neemt Translink een aantal maatregelen, die ze geheim wil houden "uit veiligheidsoverweging".
Doorgaan
Translink, die de OV-chipkaart aan het bouwen is, zegt opgelucht te zijn en vooral verder te gaan met het project. Als de fraude de spuigaten uitloopt zal het bedrijf versneld op de nieuwe chip overstappen. Anders wacht het bedrijf twee jaar.
Translink zegt met de bedrijven, waarmee ze nu werkt te blijven verder gaan. Systeemintegrator Thales hoort volgens Jeroen Kok van Translink tot de infrastructuur. "We blijven met ze werken, maar hebben wel een open architectuur. Dus er kunnen ook andere leveranciers meedoen."
Tijdens het Chaos Communication Camp presenteerden twee beveiligingsonderzoekers dat de Mifare Classic-chip te kraken is. Al snel bleek dat juist deze RFID-chip ook in de OV-chipkaart zat. Daarna toonde Nederlandse onderzoekers dat de dagkaartvariant prima te klonen is.
GroenLinks: in de koelkast
GroenLinks Tweede Kamerlid Wijnand Duyvendak denkt dat het nog niet in orde is: "Het is diep triest dat je een kaart die je nog niet eens formeel gebruikt wordt al moet vervangen." Hij denkt dat het tijd is om in ieder geval een pauze in te lassen.
