Onderzoekers claimen betere beveiliging chipkaarten met slimme algoritmen

Wetenschappers van onderzoeksinstituut CTIT, onderdeel van de Universiteit Twente, hebben samen met onderzoekers van de KU Leuven algoritmen ontwikkeld die het lastiger moeten maken om geheime sleutels van chipkaarten te bemachtigen.

UT-promovenda Begül Bilgin heeft samen met Svetla Nikova van de KU Leuven algoritmen ontwikkeld die informatielekken op chipkaarten moeten dichten. Daarbij hebben zij zich gericht op twee manieren waarmee hackers werken om geheime sleutels op een chipkaart te bemachtigen: het nauwgezet bestuderen van het stroomverbruik van de chip bij bepaalde activiteiten en de tijdsduur die daarvoor nodig is. Een aanvaller kan met deze informatie nagaan wat een chip ongeveer aan het doen is.

De algoritmen maken volgens de wetenschappers gebruik van multi-party computation. Daarbij worden bewerkingen voor de versleuteling opgesplitst, waardoor een enkel deel geen directe toegang geeft tot de sleutel. Ook zorgen de algoritmen ervoor dat nooit alle deelbewerkingen tegelijk actief zijn. Hierdoor staat het stroomverbruik van de chip mogelijk nog wel in relatie met de bewerkingen die de microprocessor aan het uitvoeren is, maar niet meer met de geheime sleutel die de informatie moet beveiligen.

Volgens de onderzoekers kunnen de algoritmen gebruikt worden in nieuwe chipkaarten, maar kunnen ze ook in software benut worden. Hierdoor zou het bemachtigen van bijvoorbeeld encryptiesleutels moeilijker worden gemaakt, waardoor de kans wordt verkleind dat bijvoorbeeld gekraakte chipkaarten vervangen moeten worden. Dit gebeurde bijvoorbeeld bij de OV-chipkaart die een zogeheten Mifare Classic-chip bevatte en eenvoudig was te kraken.

Door Dimitri Reijerman

Redacteur

Feedback • 13-05-2015 16:40 17

13-05-2015 • 16:40

17

Lees meer

Gemeente Assen gaat slechte beveiliging bewonerspas bespreken na melding tweaker
Gemeente Assen gaat slechte beveiliging bewonerspas bespreken na melding tweaker Nieuws van 15 oktober 2018
Nederlandse vervoersbedrijven beginnen test met pinpas als ov-chipkaart
Nederlandse vervoersbedrijven beginnen test met pinpas als ov-chipkaart Nieuws van 15 maart 2016
Student ontdekt kwetsbaarheid in protocol ov-chipkaart
Student ontdekt kwetsbaarheid in protocol ov-chipkaart Nieuws van 2 april 2015
Onderzoekers kraken betaalpas Duitse universiteiten
Onderzoekers kraken betaalpas Duitse universiteiten Nieuws van 29 december 2012
Uitrol veiligere ov-chipkaart is al begonnen - update
Uitrol veiligere ov-chipkaart is al begonnen - update Nieuws van 6 oktober 2011
TLS doet aangifte wegens handel honderden gekraakte ov-chipkaarten
TLS doet aangifte wegens handel honderden gekraakte ov-chipkaarten Nieuws van 6 juli 2011
Ov-chipkaart verdringt strippenkaart definitief - update
Ov-chipkaart verdringt strippenkaart definitief - update Nieuws van 22 juni 2011
Hacker claimt Brusselse ov-chipkaart te hebben gekraakt - update
Hacker claimt Brusselse ov-chipkaart te hebben gekraakt - update Nieuws van 3 juni 2011
Tweede Kamer wil introductie ov-chipkaart uitstellen - update
Tweede Kamer wil introductie ov-chipkaart uitstellen - update Nieuws van 28 mei 2011
Studenten kraken betaalpas NHL Hogeschool
Studenten kraken betaalpas NHL Hogeschool Nieuws van 11 maart 2011
TLS trekt vijf jaar uit voor vervanging Mifare-chip
TLS trekt vijf jaar uit voor vervanging Mifare-chip Nieuws van 28 februari 2011
Minister: vanaf eind 2011 beter beveiligde ov-chipkaart
Minister: vanaf eind 2011 beter beveiligde ov-chipkaart Nieuws van 27 januari 2011
Nieuwe hackerstool laat gebruiker ov-incheck omzeilen
Nieuwe hackerstool laat gebruiker ov-incheck omzeilen Nieuws van 26 januari 2011
Rechter veroordeelt ov-kaarthacker wegens computervredebreuk
Rechter veroordeelt ov-kaarthacker wegens computervredebreuk Nieuws van 9 december 2010
Trans Link Systems: Goedkope hack ov-chipkaart is oud nieuws
Trans Link Systems: Goedkope hack ov-chipkaart is oud nieuws Nieuws van 5 november 2010
Ov-chipkaart blijkt voor slechts dertig euro te hacken
Ov-chipkaart blijkt voor slechts dertig euro te hacken Nieuws van 5 november 2010
Zeven bedrijven in nfc-technologie richten Mifare4Mobile-groep op
Zeven bedrijven in nfc-technologie richten Mifare4Mobile-groep op Nieuws van 6 juli 2010
Ov-chipkaart opent ondergrondse afvalcontainers
Ov-chipkaart opent ondergrondse afvalcontainers Nieuws van 20 januari 2010
Kraak met 200 PS3's versterkt vertrouwen in elliptische-kromme-cryptografie
Kraak met 200 PS3's versterkt vertrouwen in elliptische-kromme-cryptografie Nieuws van 15 juli 2009
Onderzoekers publiceren omstreden rapport over Mifare-hack
Onderzoekers publiceren omstreden rapport over Mifare-hack Nieuws van 7 oktober 2008
TLS: ov-chipkaart is veilig genoeg
TLS: ov-chipkaart is veilig genoeg Nieuws van 29 februari 2008
Meer producten en artikelen
Netwerk en systeembeheer Ov-chipkaart

Reacties (17)

-Moderatie-faq
17
16
10
1
0
0
Wijzig sortering
The Zep Man
13 mei 2015 16:49
Hierdoor zou het bemachtigen van bijvoorbeeld encryptiesleutels moeilijker worden gemaakt, waardoor de kans wordt verkleind dat bijvoorbeeld gekraakte chipkaarten vervangen moeten worden. Dit gebeurde bijvoorbeeld bij de OV-chipkaart die een zogeheten Mifare Classic-chip bevatte en eenvoudig was te kraken.
Die overigens niet vervangen hoefde te worden. Server-side was fraude te zien en konden kaarten geblokkeerd worden. Heel veel Mifare Classic kaarten zijn niet vervangen, maar gewoon verlopen.

Zoals gewoonlijk is de vraag: wat is de meerprijs van deze extra beveiliging? Als het 1 eurocent duurder is dan het goedkopere alternatief en de totaal begrootte schade, ga er dan maar vanuit dat voor het goedkopere alternatief wordt gekozen. ;)
Maurits van Baerle @The Zep Man13 mei 2015 16:52
Klopt, ik had een jaren oude MiFare Classic en die is een paar maanden geleden gewoon verlopen. Gewoon bij een loket een nieuwe gehaald, tegoed overgezet en nu heb ik een nieuwere chip.

Zolang de fraude goedkoper is dan het voortijdig vervangen van alle kaarten is dat de meest logische oplossing.

[Reactie gewijzigd door Maurits van Baerle op 24 juli 2024 05:19]

Iblies @Maurits van Baerle13 mei 2015 17:23
Alleen misrekenen bedrijven in hoe snel kennis wordt verspreid.

Zo heb je in de autobranche een aantal problemen die men maar niet krijgt opgelost.
Eerste zijn de km-standen. Die zijn vandaag de dag nog steeds aan te passen. Oudere auto's zijn makkelijker aan te passen met willekeurige getallen, maar moderne kan het ook. Je kunt zo een meerwaarde creëeren van enkele duizenden euro's.

Een ander groter probleem zijn de moderne sleutels. Die kun je naar believen opnieuw programmeren. Autodiefstal is bijna geen auto-diefstal meer.

De techniek die er voor nodig is kost een appel en een ei.

Fraude/misbruik meenemen lijkt heel logisch, alleen waardeer je daarbij de kennis van diegene die je de technologie verkoopt,
diegene die hem zal kraken kan andere motieven (en middelen) hebben. Zo wordt beweert dat er bendes zijn die auto's kraken gewoon standaard modellen aanschaft met het doel alleen de beveiliging te breken.
Teijgetje @Iblies14 mei 2015 17:20
Maar zoals jij het doet overkomen doet iedereen het............

In werkelijkheid is het maar een heel klein groepje die misbruik maakt, of zoals bij je kilometervoorbeeld, zich laat benadelen doordat ze blindelings op de blauwe ogen van de verkoper vertrouwen, ONDANKS alle waarschuwingen en controlemogelijkheden. ;)

Daarvoor heb je dus risicomanagement, om te berekenen of grootscheepse acties nodig zijn of dat een natuurlijke uitfasering goedkoper is.
M.l. @The Zep Man13 mei 2015 22:55
De kosten per kaart zullen wellicht 1 cent zijn of minder, maar er zijn nog veel meer kosten als er over wordt gestapt. Allereerst zal het nog een paar keer onderzocht worden of het altijd goed werkt en ook veilig is (ik heb er best vertrouwen in, maar TLS zal vast meer tests eisen), er moet tot alle oudere kaarten verlopen zijn een systeem zijn wat verschillende type kaarten ondersteund. Dit kost allemaal wel wat terwijl er nauwelijks behoefte aan is. Als er wordt gefraudeerd (naar mijn weten bijna niet meer) dan is de fraudeur hoogstwaarschijnlijk ergens in beeld en wordt de kaart ook geblokkeerd. Ik gok dat de baten gewoon niet opwegen tegen de kosten, maar we zullen het zien.
Breezers 13 mei 2015 16:45
Ach, het blijft een constante kip-ei verhaal tussen beveiligen en kraken/bugs zoeken.

We hebben het nu achteraf over de Mifare Classic-chip bevatte dien eenvoudig was te kraken, wellicht hebben we het over een paar jaar over deze algoritmen ?
Floor @Breezers13 mei 2015 16:58
Alleen was bij Mifare en opvolger vooraf al bekend dat deze makkelijk gekraakt kon worden. Echter leverancier is gebaat bij falen want dat levert extra werk op. Dus dat werd maar gewoon verzwegen...
Soldaatje @Floor13 mei 2015 16:59
En waarom zou de klant dan bij dezelfde leverancier blijven na zo'n praktijk?
Na de Fyra's terug zijn gestuurd worden daar voorlopig ook geen nieuwe treinen meer gekocht. Ik vind het een sterk verhaal.

[Reactie gewijzigd door Soldaatje op 24 juli 2024 05:19]

Anoniem: 145867 @Soldaatje13 mei 2015 18:17
Soms zit je in zo'n sterke situatie dat je dat kan flikken.
WimOBL 13 mei 2015 16:44
Wow dit is een behoorlijke stap vooruit lijkt het, al vraag ik me wel gelijk af of door de deelbewerkingen te observeren het toch mogelijk blijkt om de sleutel te achterhalen...
batjes @aryan117113 mei 2015 18:10
Voor een paar miljard -extra- per jaar is het OV "gratis".
ATS @batjes13 mei 2015 20:12
Hoef je ook niet meer te investeren in betere chipkaarten of hogere poortjes op stations...
batjes @ATS13 mei 2015 22:52
Ik ben er serieus voorstander van, het is het geld meer dan waard. er gaat meer geld in veel zinlozere rotzooi. En de staat betaald nu toch al meer dan 3/4de van het OV.

[Reactie gewijzigd door batjes op 24 juli 2024 05:19]

Ikke666 @batjes14 mei 2015 05:45
Drukker wordend OV in z'n geheel. Niet genode gasten (zwervers/gebruikers o.i.d.) die een warm OV-middel als verblijfplaats kiest. Allemaal redenen om het niet gratis te maken. De vervoerbedrijven willen een middel om reizigersstromen te kunnen volgen. Met de strippenkaart ging dat ook niet. Vandaar dus deze volgbare chipkaarten. Je ziet wel al dat jongeren (in Brabant reductietarief voor jongeren tot 18 jaar) en ouderen (Connexxion Noord Holland én Almere voor 125 euro (tijdelijk 99 euro tot 1 juni) per jaar voor 65 plussers) veel goedkoper met OV mee kunnen in sommige concessiegebieden. Ik denk dus wel dat er qua prijs voor sommige doelgroepen nog wel iets gaat gebeuren, maar veel zal er niet wijzigen. O ja, en als OV gratis wordt rijden er veel minder auto's. Lijkt me ook een grote strop aan brandstofaccijnzen voor de staat.
Teijgetje @Ikke66614 mei 2015 17:13
Er zijn meer voors dan tegens om het OV gratis te maken.
Zolang je in een tunnelvisie zit als jij wordt het iets moeilijker maar ook jij bent vast met argumenten te overtuigen.
En omdat veel handhaving dan wegvalt kun je dat beter gerichter inzetten tegen bv die mensen die toch een ijsje eten of op de bank pissen. ;)

Maar verbeterde algoritmen en deelbewerkingen geldt natuurlijk niet alleen voor het OV, dat wordt hier alleen aangehaald als voorbeeld.
batjes @Ikke66614 mei 2015 12:15
Drukker OV is juist een reden :) Weg met die stinkende auto's in de steden. Gewoon met de bus of trein. Zwervers heb je nu ook in de trein, dus ik snap je punt niet. Dat zal nu juist meer worden omdat overal in het land de spoorweg politie stations gesloten worden.

Vervoersbedrijven kunnen wel meer willen, is niet meer van belang als het weer van de staat is.

De staat zou sowieso de brandstof accijns niet moeten zien als vast onderdeel van het inkomen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq