Tijdens de perspresentatie van het TNO-rapport afgelopen vrijdag wekte Trans Link Systems nog de indruk dat massale fraude moeilijk is. Daarbij gingen de opstellers uit van de economische redenering dat het teveel moeite kost om een kaart te klonen. Fraudeurs zullen daarom afhaken.

"Het rapport redeneert daarmee op zich goed, maar zij hebben de getallen niet goed op het netvlies", zegt Karsten Nohl, een van de twee beveiligingsonderzoekers die onlangs de Mifare-chip kraakten, tegenover Webwereld. De hackers werken momenteel nog volop aan het kraken van het CRYPTO1-algoritme.

Binnenkort kraakdemonstratie

Nohl wijst erop dat het rapport zelf weldegelijk rekening houdt met een scenario, waarbij een kraak misbruik een stuk eenvoudiger maakt. "Het is goed mogelijk dat bij het onthullen van het CRYPTO1-algoritme duidelijk wordt dat er specifieke zwakheden inzitten dat de technische aanvallen fors eenvoudiger maakt", schrijven de TNO onderzoekers. Zij denken dat dit - net als bij veel andere algoritmes - wel eens het geval zou kunnen zijn, omdat de gemeenschap van cryptografen zich nooit over het mechanisme heeft gebogen.

Voor Nohl is die passage maar al te waar: "We hebben zulke zwakheden gevonden. Ik verwacht dat dit wel eens grote invloed op de kosten van een aanval zal hebben." Hierdoor zou het voor aanvallers aantrekkelijk kunnen zijn om misbruik van de kaart te maken. Zonder een exacte datum te kunnen geven, verwacht Nohl binnen enkele weken een aanval op de OV-chipkaart te kunnen demonstreren.

Privacy onderbelicht

De Nederlandse meesterhacker Rop Gonggrijp onderhoudt op dit moment nauw contact met de krakers en wil de zwakheden duidelijk presenteren. Vooral het privacyaspect blijft wat hem betreft nog onderbelicht. Hij meent dat mensen het onprettig vinden als het kaartnummer, de geboortedatum en de laatste bestemmingen voor iedereen zichtbaar zou zijn.

"Ik vond het hele optreden [de presentatie van het 'Aanvalsplan', red] een zielige show, vooral met dat ondertekenen van die kaart op het bord.", verzucht Gonggrijp tegenover Webwereld. "Het is allemaal heel cynisch. Ze zijn al te ver heen en kunnen na al die tijd niet meer terug. Het is iets van God zegene de greep en we gaan."

Cynische poppenkast

Boos is hij vooral over de geheime maatregelen die worden genomen om fraude tegen te gaan. "Het is opnieuw een beroep op security by obscurity", betoogt hij. Eerder gaf de hacker al aan dat juist die geheime benadering het OV-chipkaartproject in de problemen had gebracht. "Het is allemaal zo'n poppenkast en het zegt veel dat ze er - ook bij de pers - mee wegkomen. Het is cynisch, heel cynisch."