Nationale veiligheid in gevaar door nieuwe Mifare-kraak

De nieuwe Mifare Classic kraak is uitgevoerd door de onderzoeksgroep Digital Security van de Radboud Universiteit Nijmegen, die eerder de dagpassen van de ov-chipkaart hackten. Zij hebben nu in de praktijk aangetoond dat ook de Mifare Classic is te klonen.

1 miljard passen

De gevolgen hiervan reiken veel verder dan het openbaar vervoer, omdat deze chip wordt gebruikt in naar schatting 2 miljoen toegangspassen in Nederland en 1 miljard passen wereldwijd.

Ook bij de Nederlandse overheid is de Mifare veelgebruikt. Bij de toegang van veel gebouwen van het Rijk en andere overheden wordt gebruik gemaakt van deze chiptechnologie.

Het is nu in principe mogelijk om met een gestolen identiteit gebouwen en terreinen te betreden. Dit is in de praktijk aangetoond en bevestigt door de inlichtingendienst AIVD. Minister Guusje ter Horst van Binnenlandse Zaken (BZK) heeft woensdag de Tweede Kamer geïnformeerd over de implicaties van de nieuwe kraak.

Verscherpte beveiliging

"Er moet vanuit worden gegaan dat vanaf het moment dat de details van het onderzoek van de universiteit openbaar worden, de mogelijkheid tot misbruik zodanig laagdrempelig is, dat aanvullende maatregelen nodig zijn om het beveiligingsniveau te handhaven", aldus Ter Horst.

Wellicht wordt de invoering van de nieuwe 'Rijkspas' waarin een andere technologie toegepast zal worden versneld. De invoering daarvan staat gepland voor eind 2008. Tot die tijd zullen rijksbreed waar nodig aanvullende beveiligingsmaatregelen genomen worden, zo verzekert het Ministerie.

Een woordvoerder van het Ministerie kan 'uit veiligheidsoverwegingen' niet ingaan op wat deze aanvullende maatregelen behelzen. "Ik hoop dat u daar begrip voor heeft."

Details niet vrijgegeven

Om vier uur vanmiddag wordt de kraak ten overstaan van de pers gedemonstreerd in Nijmegen. Professor Bart Jacobs, die de Nijmeegse onderzoekers leidt, was voorafgaand niet beschikbaar voor commentaar. Het demofilmpje zal naderhand ook online beschikbaar zijn.

Het is onduidelijk of bij de demonstratie ook de technische informatie wordt vrijgegeven, maar het Ministerie van BZK meent van niet. "Ik ga er niet vanuit dat de Radboud Universiteit een instructieboekje vrijgeeft over hoe de chip te kraken", aldus de zegsman van het ministerie.

Nog geen internationaal alarm

BZK erkent dat de kwestie zich niet beperkt tot de landsgrenzen, maar er is nog geen contact opgenomen met buitenlandse overheden over de kraak van de toegangspassen of extra beveiliging van (overheids-)gebouwen en terreinen.

Maandag berichtte Webwereld al over het onderzoek van Karsten Nohl, die aantoonde dat de ov-chipkaart definitief is gekraakt. Met een doorsnee laptop kan binnen enkele minuten het tegoed van medereizigers worden gekopieerd. Een proof-of-concept van deze kraak zal later volgen.