Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 57, views: 132.295 •

OV-chipkaart

rfid-chipIn december 2007 maakten Nohl en collega Henryk Plötz op de hackersconferentie van de Chaos Computer Club in Berlijn bekend dat ze de werking van de Mifare Classic-chip gedeeltelijk hadden doorgrond. Een jaar later was de Crypto-1-versleuteling van deze rfid-chip compleet gekraakt.

De Mifare Classic heeft een oppervlakte van één vierkante millimeter, is opgebouwd uit zes lagen en maakt gebruik van 48bits symmetrische versleuteling.  Door de chip laagje voor laagje onder een microscoop te bekijken, werd duidelijk dat de chip is opgebouwd uit 'blokjes' van transistors.

De chip bleek uit ongeveer 10.000 blokjes te bestaan, waarvan er 70 uniek bleken. Door deze data in tabellen te zetten en geautomatiseerd naar structuren te zoeken, wisten de onderzoekers de cryptografiemethodiek van de chip te achterhalen.

Van de Mifare Classic zijn er wereldwijd bijna twee miljard in omloop. Behalve voor de Nederlandse OV-chipkaart wordt de chip ook gebruikt voor toegangscontrole bij verschillende ministeries, andere overheden en het bedrijfsleven.

Nederlands onderzoek

Studenten van de Radboud Universiteit in Nijmegen zijn na Nohls onthullingen in 2007 ook met de chip aan de slag gegaan. Toen ze in maart 2008 een werkende hack presenteerden waarmee ze toegangspasjes konden kopiëren, kwam toenmalig minister Guusje ter Horst van Binnenlandse Zaken met een brief aan de Tweede Kamer, waarin ze waarschuwde voor de grote gevaren die de hack met zich mee bracht.

De verantwoordelijkheid voor deze problemen ligt volgens Nohl primair bij de organisaties die de chip toegepast hebben. "Het bedrijf NXP Semiconductors, dat de chip produceert, maakt naast de Mifare Classic ook rfid-chips die beter beveiligd zijn. Het is de keuze van de overheid en bedrijven geweest om de goedkopere en minder goed beveiligde chips te implementeren."

Logo ov-chipkaartNohl maakt scherp onderscheid tussen het gebruik van de Mifare Classic bij toegangscontrole en het gebruik in de OV-chipkaart: "De grote gevaren van deze hack zitten bij toepassingen voor identiteitscontrole. Het is erg gevaarlijk als iemand zich met een valse identiteit toegang weet te verschaffen tot beveiligde locaties. De gevolgen hiervan kunnen veel verstrekkender zijn dan bij fraude in het openbaar vervoer."

Toch zorgde het gebruik van de Mifare Classic in de OV-chipkaart in Nederland voor de meeste opschudding. Tegen toenmalig verantwoordelijk staatssecretaris van Verkeer en Waterstaat Tineke Huizinga werd een motie van wantrouwen ingediend, die door 62 Kamerleden werd gesteund. Het bedrijf Translink Systems, dat het OV-chipkaart-project beheerde, kreeg zware kritiek toen het aankondigde de  gehackte chip niet meteen te vervangen, maar alleen nieuwe kaarten uit te rusten met een sterkere encryptie.

Dat Translink Systems indertijd voor de Mifare Classic koos  was volgens Nohl niet vreemd. "Het kiezen van een chip gebeurt op basis van een kostenanalyse. Translink wist dat ze niet de chip met de allerbeste beveiliging hadden, dus ze hebben in de analyse waarschijnlijk ook de kosten van zwartrijden na een eventuele hack meegenomen."

Van grootschalig misbruik door criminelen is volgens Nohl nooit sprake geweest: "Criminelen maken gebruik van marktprincipes. Als ze er niet genoeg aan kunnen verdienen, zal het misbruik geen extreme vormen aannemen. De periode totdat de gekraakte chip is uitgefaseerd, is te kort om er veel geld aan te verdienen. Translink weet dat, en heeft dus geen aanleiding gezien om het hele systeem direct te vervangen. Naast dat het relatief weinig oplevert, is het ook simpelweg strafbaar.  Door gebruik te maken van andere technieken, zoals beveiligingscamera's, kan misbruik alsnog opgespoord worden."




Populair: Desktops Samsung Gamecontrollers Smartphones Sony Microsoft Games Apple Politiek en recht Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013