De Nederlandse cryptograaf Roel Verdult van de Radboud Universiteit spreekt over twee weken op beveiligingscongres Usenix ook al heeft een rechter publicatie verboden van het onderzoeksrapport. Samen met de Britse cryptograaf Flavio Garcia en de Nederlander Baris Ege heeft hij zwakheden in het megaMOS-algoritme aangetoond die luxe-auto's gebruiken in hun startonderbreker.

Stream van de presentatie

Na het publicatieverbod van de Britse rechtbank, hebben de cryptografen hun onderzoeksrapport ingetrokken en Usenix zal deze niet verspreiden. Ondertussen loopt er ook een bodemprocedure tegen de uitspraak, maar die zal pas later dit jaar behandeld zijn.

Usenix-organisator Casey Henderson laat weten dat het onderzoek dan wel niet gepubliceerd mag worden, maar dat de presentatie over twee weken op het beveiligingscongres doorgaat. Naderhand zal de videoregistratie van het evenement, inclusief het praatje van Verdult, op de site van Usenix beschikbaar zijn.

Inhoud presentatie

"Als organisatie die zich ten doel stelt om een onbevooroordeeld platform te zijn voor het verspreiden van informatie, juicht USENIX de beslissing van Verdult toe om te spreken op de conferentie, ondanks dat het rapport niet wordt gepubliceerd", aldus de organisatie van Usenix in een persbericht.

Wat Verdult precies presenteert nu het onderzoeksrapport niet openbaar gemaakt wordt, is onduidelijk. Op vragen van Webwereld over de presentatie verwijst de cryptograaf door naar het College van Bestuur van de RU. Woordvoerder Lisette Pals van de universiteit gaat niet op de inhoud van de toespraak in, maar stelt: "De paper zal niet worden gepresenteerd."

Redelijke notificatietermijn

Autofabrikant Volkswagen spande in Engeland - thuisland van onderzoeker Flavio Garcia - een zaak aan om publicatie van het onderzoek te voorkomen. Autodieven zouden met die kennis elektronische sloten van luxe-auto's kunnen omzeilen. MegaMOS Crypto gebruikt RFID om een signaal te sturen naar de startonderbreker (PDF).

De Nijmeegse universiteit noemt het publicatieverbod dat de autofabrikant heeft afgedwongen 'onbegrijpelijk'. Het gaat in het rapport om een wiskundige benadering die geen praktische informatie levert om diefstal te plegen, aldus de universiteit.

Bovendien is de chipfabrikant vorig jaar al geïnformeerd over de gevonden zwaktes in de encryptie, maar is er sindsdien niets veranderd. "De Nederlandse overheid hanteert zes maanden als een redelijke notificatietermijn voor responsible disclosure", meldt de universiteit in een reactie op het oordeel van de Britse rechter.