Een Britse rechter heeft een trio beveiligingsonderzoekers verboden een rapport te publiceren over het kraken van het megaMOS-algoritme, waardoor elektronische sleutels van autofabrikanten in theorie kwetsbaar zijn. Een van de Nederlandse cryptografen spreekt op USENIX volgende maand over dat onderzoek.

Responsible disclosure

De onderzoekers meldden de crypto-aanval op de chip en diens zwakheid al in november 2012 bij de chipfabrikant. Ruim negen maanden later wordt het onderzoeksrapport geopenbaard en er op USENIX aandacht aan besteed. “De Nederlandse overheid hanteert zes maanden als een redelijke notificatietermijn voor responsible disclosure”, meldt Radboud in een reactie op de rechterlijke uitspraak.

Volkswagen spande zaak aan om de voorgenomen publicatie te voorkomen van cryptografen Roel Verdult en Baris Ege van de Radboud Universiteit en Flavio Garcia van de University of Birmingham. Cryptograaf Verdult toonde jaren geleden zwakheden aan in het algoritme van Mifare Classic, het systeem waar de OV-chipkaart mee werkte en dat de kaart eenvoudig te klonen was (PDF).

Geen diefstalomschrijving

MegaMOS verifieert of de gebruikte autosleutel de correcte is, waarna het voertuig gestart kan worden. Volkswagen is van mening dat openbaring van de kwetsbaarheid het dieven makkelijk maakt om luxe-auto’s te stelen. De rechter stelt dat het belangrijk is dat academici over hun werk kunnen publiceren, maar niet als daardoor een misdaad mogelijk wordt gemaakt.

In een felle reactie wijst de universiteit erop dat de publicatie een wiskundige methode omschrijft die is gebaseerd op vrijelijk beschikbare informatie. “In de publicatie wordt volstrekt niet beschreven hoe een auto gemakkelijk gestolen kan worden”, meldt de universiteit. De uitspraak legt volgens de RU ernstige beperkingen op aan de vrijheid van academisch onderzoek.

Bodemprocedure

De RU respecteert de uitspraak van de rechter, maar noemt deze tegelijkertijd ‘onbegrijpelijk’. Er loopt inmiddels een bodemprocedure tegen de uitspraak. Deze procedure kan nog wel even duren, Radboud Universiteit houdt het in reactie op vragen van Webwereld op 'dit najaar' voordat de kwestie wordt behandeld. De presentatie op Usenix half augustus gaat in ieder geval niet door.

Update 31-07-2013, 13.56 uur: Bevestiging toegevoegd dat de Usenix-toespraak inderdaad niet doorgaat.