Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties

Wetenschappers van onderzoeksinstituut CTIT, onderdeel van de Universiteit Twente, hebben samen met onderzoekers van de KU Leuven algoritmen ontwikkeld die het lastiger moeten maken om geheime sleutels van chipkaarten te bemachtigen.

UT-promovenda Begül Bilgin heeft samen met Svetla Nikova van de KU Leuven algoritmen ontwikkeld die informatielekken op chipkaarten moeten dichten. Daarbij hebben zij zich gericht op twee manieren waarmee hackers werken om geheime sleutels op een chipkaart te bemachtigen: het nauwgezet bestuderen van het stroomverbruik van de chip bij bepaalde activiteiten en de tijdsduur die daarvoor nodig is. Een aanvaller kan met deze informatie nagaan wat een chip ongeveer aan het doen is.

De algoritmen maken volgens de wetenschappers gebruik van multi-party computation. Daarbij worden bewerkingen voor de versleuteling opgesplitst, waardoor een enkel deel geen directe toegang geeft tot de sleutel. Ook zorgen de algoritmen ervoor dat nooit alle deelbewerkingen tegelijk actief zijn. Hierdoor staat het stroomverbruik van de chip mogelijk nog wel in relatie met de bewerkingen die de microprocessor aan het uitvoeren is, maar niet meer met de geheime sleutel die de informatie moet beveiligen.

Volgens de onderzoekers kunnen de algoritmen gebruikt worden in nieuwe chipkaarten, maar kunnen ze ook in software benut worden. Hierdoor zou het bemachtigen van bijvoorbeeld encryptiesleutels moeilijker worden gemaakt, waardoor de kans wordt verkleind dat bijvoorbeeld gekraakte chipkaarten vervangen moeten worden. Dit gebeurde bijvoorbeeld bij de OV-chipkaart die een zogeheten Mifare Classic-chip bevatte en eenvoudig was te kraken.

Moderatie-faq Wijzig weergave

Reacties (17)

Hierdoor zou het bemachtigen van bijvoorbeeld encryptiesleutels moeilijker worden gemaakt, waardoor de kans wordt verkleind dat bijvoorbeeld gekraakte chipkaarten vervangen moeten worden. Dit gebeurde bijvoorbeeld bij de OV-chipkaart die een zogeheten Mifare Classic-chip bevatte en eenvoudig was te kraken.
Die overigens niet vervangen hoefde te worden. Server-side was fraude te zien en konden kaarten geblokkeerd worden. Heel veel Mifare Classic kaarten zijn niet vervangen, maar gewoon verlopen.

Zoals gewoonlijk is de vraag: wat is de meerprijs van deze extra beveiliging? Als het 1 eurocent duurder is dan het goedkopere alternatief en de totaal begrootte schade, ga er dan maar vanuit dat voor het goedkopere alternatief wordt gekozen. ;)
Klopt, ik had een jaren oude MiFare Classic en die is een paar maanden geleden gewoon verlopen. Gewoon bij een loket een nieuwe gehaald, tegoed overgezet en nu heb ik een nieuwere chip.

Zolang de fraude goedkoper is dan het voortijdig vervangen van alle kaarten is dat de meest logische oplossing.

[Reactie gewijzigd door Maurits van Baerle op 13 mei 2015 16:53]

Alleen misrekenen bedrijven in hoe snel kennis wordt verspreid.

Zo heb je in de autobranche een aantal problemen die men maar niet krijgt opgelost.
Eerste zijn de km-standen. Die zijn vandaag de dag nog steeds aan te passen. Oudere auto's zijn makkelijker aan te passen met willekeurige getallen, maar moderne kan het ook. Je kunt zo een meerwaarde creëeren van enkele duizenden euro's.

Een ander groter probleem zijn de moderne sleutels. Die kun je naar believen opnieuw programmeren. Autodiefstal is bijna geen auto-diefstal meer.

De techniek die er voor nodig is kost een appel en een ei.

Fraude/misbruik meenemen lijkt heel logisch, alleen waardeer je daarbij de kennis van diegene die je de technologie verkoopt,
diegene die hem zal kraken kan andere motieven (en middelen) hebben. Zo wordt beweert dat er bendes zijn die auto's kraken gewoon standaard modellen aanschaft met het doel alleen de beveiliging te breken.
Maar zoals jij het doet overkomen doet iedereen het............

In werkelijkheid is het maar een heel klein groepje die misbruik maakt, of zoals bij je kilometervoorbeeld, zich laat benadelen doordat ze blindelings op de blauwe ogen van de verkoper vertrouwen, ONDANKS alle waarschuwingen en controlemogelijkheden. ;)

Daarvoor heb je dus risicomanagement, om te berekenen of grootscheepse acties nodig zijn of dat een natuurlijke uitfasering goedkoper is.
De kosten per kaart zullen wellicht 1 cent zijn of minder, maar er zijn nog veel meer kosten als er over wordt gestapt. Allereerst zal het nog een paar keer onderzocht worden of het altijd goed werkt en ook veilig is (ik heb er best vertrouwen in, maar TLS zal vast meer tests eisen), er moet tot alle oudere kaarten verlopen zijn een systeem zijn wat verschillende type kaarten ondersteund. Dit kost allemaal wel wat terwijl er nauwelijks behoefte aan is. Als er wordt gefraudeerd (naar mijn weten bijna niet meer) dan is de fraudeur hoogstwaarschijnlijk ergens in beeld en wordt de kaart ook geblokkeerd. Ik gok dat de baten gewoon niet opwegen tegen de kosten, maar we zullen het zien.
Ach, het blijft een constante kip-ei verhaal tussen beveiligen en kraken/bugs zoeken.

We hebben het nu achteraf over de Mifare Classic-chip bevatte dien eenvoudig was te kraken, wellicht hebben we het over een paar jaar over deze algoritmen ?
Alleen was bij Mifare en opvolger vooraf al bekend dat deze makkelijk gekraakt kon worden. Echter leverancier is gebaat bij falen want dat levert extra werk op. Dus dat werd maar gewoon verzwegen...
En waarom zou de klant dan bij dezelfde leverancier blijven na zo'n praktijk?
Na de Fyra's terug zijn gestuurd worden daar voorlopig ook geen nieuwe treinen meer gekocht. Ik vind het een sterk verhaal.

[Reactie gewijzigd door Soldaatje op 13 mei 2015 17:27]

Soms zit je in zo'n sterke situatie dat je dat kan flikken.
Wow dit is een behoorlijke stap vooruit lijkt het, al vraag ik me wel gelijk af of door de deelbewerkingen te observeren het toch mogelijk blijkt om de sleutel te achterhalen...
Voor een paar miljard -extra- per jaar is het OV "gratis".
Hoef je ook niet meer te investeren in betere chipkaarten of hogere poortjes op stations...
Ik ben er serieus voorstander van, het is het geld meer dan waard. er gaat meer geld in veel zinlozere rotzooi. En de staat betaald nu toch al meer dan 3/4de van het OV.

[Reactie gewijzigd door batjes op 13 mei 2015 22:52]

Drukker wordend OV in z'n geheel. Niet genode gasten (zwervers/gebruikers o.i.d.) die een warm OV-middel als verblijfplaats kiest. Allemaal redenen om het niet gratis te maken. De vervoerbedrijven willen een middel om reizigersstromen te kunnen volgen. Met de strippenkaart ging dat ook niet. Vandaar dus deze volgbare chipkaarten. Je ziet wel al dat jongeren (in Brabant reductietarief voor jongeren tot 18 jaar) en ouderen (Connexxion Noord Holland én Almere voor 125 euro (tijdelijk 99 euro tot 1 juni) per jaar voor 65 plussers) veel goedkoper met OV mee kunnen in sommige concessiegebieden. Ik denk dus wel dat er qua prijs voor sommige doelgroepen nog wel iets gaat gebeuren, maar veel zal er niet wijzigen. O ja, en als OV gratis wordt rijden er veel minder auto's. Lijkt me ook een grote strop aan brandstofaccijnzen voor de staat.
Er zijn meer voors dan tegens om het OV gratis te maken.
Zolang je in een tunnelvisie zit als jij wordt het iets moeilijker maar ook jij bent vast met argumenten te overtuigen.
En omdat veel handhaving dan wegvalt kun je dat beter gerichter inzetten tegen bv die mensen die toch een ijsje eten of op de bank pissen. ;)

Maar verbeterde algoritmen en deelbewerkingen geldt natuurlijk niet alleen voor het OV, dat wordt hier alleen aangehaald als voorbeeld.
Drukker OV is juist een reden :) Weg met die stinkende auto's in de steden. Gewoon met de bus of trein. Zwervers heb je nu ook in de trein, dus ik snap je punt niet. Dat zal nu juist meer worden omdat overal in het land de spoorweg politie stations gesloten worden.

Vervoersbedrijven kunnen wel meer willen, is niet meer van belang als het weer van de staat is.

De staat zou sowieso de brandstof accijns niet moeten zien als vast onderdeel van het inkomen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True