Mifare Classic al jaren gekraakt
Gepubliceerd: Donderdag 10 juli 2008
Auteur: Brenno de Winter
Terwijl NXP poogt onderzoekers de mond te snoeren, blijkt gedetailleerde kennis over de Mifare Classic Chip al jaren te koop te zijn. Sinds 2004 zijn zelfs klonen op de markt.
Vandaag dient in Arnhem het kortgeding van NXP tegen de Radboud Universiteit, waarbij de chipfabrikant probeert publicatie van het beveiligingsonderzoek tegen te gaan. Het bedrijf bepleit dat het opbaren van de onderzoeksresultaten 'onverantwoord' is. Criminelen zouden de informatie kunnen gebruiken om beveiligde systemen, zoals toegangspoortjes van gebouwen of de OV-chipkaart, te hacken.
De zitting van donderdag vond plaats achter gesloten deuren. De uitspraak wordt uiterlijk maandag verwacht.
Onderzoek beschikbaar
Uit onderzoek van Webwereld blijkt dat het Canadese bedrijf Chipworks al sinds 2006 een rapport met de technische details van de gewraakte Mifare Classic Chip te koop aan biedt. Het bedrijf reageert niet om verzoeken om commentaar. Volgens ingewijden kost de informatie tussen de 50.000 en 100.000 dollar.
Wie niet zelf wil prutsen kan toevlucht zoeken tot de technologie van Fudan Microelectronics, Ltd. Dit Chinese bedrijf levert al sinds 2004 klonen van zowel de Mifare Classic-chip als de bijbehorende technologie voor kaartlezers. Daarbij stelt de onderneming in de technische details (pdf) ook de CRYPTO-1 versleuteling aan te kunnen. De beschikbaarheid van klonen wijst erop dat de chip al jaren geleden is gekraakt.
Onderzoeker Karsten Nohl van de Universiteit van Virginia reageert niet verbaasd op de bevindingen van Webwereld. Hij presenteerde vorig jaar onderzoek waarin hij de chip had ontleed. Daarmee had hij tevens het CRYPTO-1 algoritme gekraakt. Hij herkent het beeld en zegt over meerdere voorbeelden van Chinese klonen te beschikken. "Zij hebben de reverse engineering al jaren geleden gedaan."
"Omdat deze informatie al te koop is op internet hebben criminelen, die bijvoorbeeld willen inbreken in pakhuizen, al toegang tot al die gegevens", zegt Nohl tegenover Webwereld. "
Hij omschrijft de rechtszaak van NXP tegen de Nijmeegse onderzoekers als hypocriet. De chipfabrikant verhindert op die manier dat onderzoekers de beveiliging kunnen verbeteren, terwijl criminelen dezelfde gegevens gewoon kunnen kopen. "Criminelen hebben geen interesse om de beveiliging te verbeteren, maar onderzoekers wél."
Niet onverantwoord
"NXP heeft een half jaar gehad sinds het bekend werd dat hun producten lek waren. Maar ze hebben het grootste gedeelte van die tijd gebruikt om hun technologie te verdedigen en het onderzoek van ons en van het Radboud af te doen als een theoretische aanval", betoogt Nohl. "Ze verwijten Radboud dat ze hebben getoond dat de Oyster Card zwak is. Als NXP niet keer op keer had beweerd dat de aanval theoretisch is dan had niemand een praktische aanval hoeven tonen."
Nohl is dan ook van mening dat NXP zelf de noodzaak heeft gecreëerd om de problemen te bewijzen. "De meest algemene manier om dit aan te tonen is door het algoritme te publiceren, zoals Radboud nu wil doen. Dat is een logische stap."
Hij wijst er daarbij op dat de publicatie pas in oktober zou komen, wat tien maanden na het publiekelijk bekend worden van de problemen is. De onderzoeker roept NXP op om zijn juridisch offensief te staken en zijn klanten te helpen bij het verbeteren van hun beveiling.
NXP zegt in een reactie bekend te zijn met zowel het rapport als de klonen uit China. Het rapport mist volgens NXP de cryptografische elementen en zou alleen gebruikt kunnen worden om patentschendingen te ontdekken. De Chinese verkoop van chips is volgens NXP geen nieuws, omdat dit een algemeen probleem is. Het bedrijf vindt dit geen beveiligingsprobleem, omdat namaken geen securityprobleem is maar slechts een "kopie van lage kwaliteit."
