Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties

Onderzoekers en studenten van de Radboud Universiteit Nijmegen hebben het Crypto-1-versleutelingsalgoritme van de Mifare Classic-chip tot in detail achterhaald. Ook de cryptografische sleutels kunnen relatief eenvoudig worden gevonden.

De Mifare-chip wordt niet alleen gebruikt voor de veelgeplaagde ov-chipkaart: van de door NXP ontwikkelde chip zijn er wereldwijd ongeveer een miljard verkocht. Contactloze passen met de cryptochip worden onder andere gebruikt voor de metro's van Hong Kong en Londen, maar ook in Nederland zijn er naar schatting twee miljoen toegangspassen met de kwetsbare Mifare-chip in omloop.

De onderzoekers ontdekten eerder al fouten in het authenticatieprotocol van Crypto-1, waardoor onbedoeld informatie over de werking van het algoritme werd prijsgegeven. Via een brute force attack kon vervolgens de 48bits-sleutel worden ontcijferd. Hiervoor hadden de onderzoekers ongeveer negen uur nodig. Er zijn echter aanvullende fouten in het authenticatieprotocol gevonden, die het mogelijk maken om sleutels te achterhalen zonder dat er een bruteforceaanval nodig is.

Hoewel de Radboud Universiteit niet wil ingaan op de specifieke details van de hack, is wel bekend dat het mogelijk is om op basis van een analyse van het algoritme, een tabel met diverse sleutels op te stellen. Door vervolgens een flinke hoeveelheid authenticatiepogingen te doen, kan, zonder dat die pogingen slagen, informatie worden verkregen. Deze gegevens kunnen weer worden gebruikt om de juiste sleutel in de tabel op te zoeken.

Minister van Binnenlandse Zaken Guusje ter Horst heeft de Tweede Kamer over de kraak geïnformeerd. Omdat chipkaarten met de nieuwe hackmethode relatief eenvoudig gekloond kunnen worden, heeft ze al aangekondigd dat er aanvullende maatregelen nodig zijn om ministeries en gebouwen van defensie te beveiligen. Een woordvoerder van Binnenlandse Zaken wilde niet aan het ANP vertellen om welke objecten het gaat. Ter Horst wil verder dat een vervangende pas, die oorspronkelijk in het vierde kwartaal van dit jaar ingevoerd zou moeten worden, versneld wordt uitgerold.

Groen Links heeft inmiddels een spoeddebat aangevraagd met de minister. De partij wil weten of het probleem al langer bij Ter Horst bekend is, en of er een acute dreiging bestaat. Bij de door de Universiteit Nijmegen geopenbaarde hack, die voortborduurt op reeds bestaande kraakmethoden, valt op dat er geen dure apparatuur nodig is om de kaart te kraken. Eerder concludeerde TNO, dat in opdracht van Trans Link Systems de ov-chipkaart onderzocht, nog dat de benodigde hardware minimaal zesduizend euro zou kosten. Inmiddels is TNO begonnen aan een nieuw onderzoek naar de chipkaart, maar dat lijkt door de onthullingen van de Radboud Universiteit overbodig te zijn geworden.

Gerelateerde content

Alle gerelateerde content (32)
Moderatie-faq Wijzig weergave

Reacties (62)

Ik heb maar twee reacties gezien die het gehypte probleem relativeren. So-what dat we nu kaarten kunnen kopieren? Is dit nieuws? En dan ben ik binnen ... kan ik dan zomaar alles meenemen? Als dat het geval is is je beveiliging bij voorbaat lek, vertrouwen op slechts één beveiligingsmethode is naïef.

Sorry hoor, maar als je dacht dat een gebouw met alleen zo'n pasjes toegang 100% veilig was dan moet je op de maan gaan werken. Regelmatig loop ik met collega's mee en wordt ik niet geregistreerd. Vroeger die hardware sleutels, je weet wel die dingen van metaal, waren relatief nog eenvoudiger te kraken je moet ze alleen wel fysiek in de handen hebben. Toen dit een beetje algemeen werd kreeg je die speciale kluissleutels, sleutels met halve bolletjes er op en er in.

Voor sommigen is een illusie blijkbaar uitelkaar gespat. Als jij als beveiliger echt alleen op deze pasjes beveiligd dan ben je so-wie-so verkeerd bezig. Ik had dan ook het pasje van een ander kunnen stelen en oneindig in en uit kunnen wandelen.

Voor de bezorgden onder ons ... alle militaire en meer gevoelige overheidsinstellingen zijn met een duurdere elektronische pas beveiligd. 2048 Bits AES, voorlopig niet te kraken maar misschien over twee jaar wel. Bij mijn bedrijf binnenkomen loont zich niet en dan is een goede baksteen voor een paar duppies goedkoper dan de 500 Euro die je neer moet tellen voor de kopieer apparatuur.

Het is gewoon een trade-off: wil je zware beveiliging zullen je speciale sleutels moeten hebben (of electronische NFC of hardware kluissleutels), wil je lichte beveiliging dan kom je op de huidige RFID/NFC-light Mifare versie of de gewone huis, tuin en keuken sleutels terecht. Echter 100% vertrouwen op alleen toegangsbeveiliging ... slaap lekker.

Ach, een professor van RU heeft weer kunnen scoren, na het zich laat aanzien op precies de zelfde gaten die al eerder in Duitsland waren gevonden, is dit nieuws?

offtopic:
Ik had van Tweakers ook wel iets meer genuanceerdere reacties verwacht, waar is de objectiviteit gebleven?

[Reactie gewijzigd door hamsteg op 13 maart 2008 08:56]

Als dat het geval is is je beveiliging bij voorbaat lek, vertrouwen op slechts één beveiligingsmethode is naïef.
Inderdaad. Helaas lijkt het er op dat dat hier wel gedaan is. Er zijn wel extra controles, maar een beetje handige 'passendief' heeft er zo 100en te pakken (loop een willekeurig perron af en je hebt het). Als die dan iedere pas 1 keer gebruikt triggeren die systemen niet.

Regelmatig loop ik met collega's mee en wordt ik niet geregistreerd.
Ik weet niet waar jij werkt, maar bij ons kan dat bijna niet (pas echt maar 1 persoon door het poortje) en als je dat dan toch doet krijg je vet op je lazer. Zoals je zelf zegt: vertrouw niet op 1 beveiliging. Dat doen ze bij jouw bedrijf dus schijnbaar wel.

Ik had dan ook het pasje van een ander kunnen stelen en oneindig in en uit kunnen wandelen.
Maar dan heb je iemand die een pas kwijt is en zelf niet meer het OV kan gebruiken. Dat valt dus gelijk op de 1e keer dat je weer met de trein/bus gaat en meestal nog wel eerder ook. Even bellen en je gestolen pas werkt niet meer.

Voor de bezorgden onder ons ... alle militaire en meer gevoelige overheidsinstellingen zijn met een duurdere elektronische pas beveiligd.
Blijkbaar niet, want die moeten nu extra bewakers aanstellen (zie bericht).

2048 Bits AES, voorlopig niet te kraken maar misschien over twee jaar wel.
Zelf binnen 2 jaar wordt die key niet zomaar gekraakt. Het algoritme mischien wel, maar de key niet. Dat is ook het hele probleem met deze Mifare pasjes. De key is helemaal niet het issue. Het issue is het algoritme wat blijkbaar vol zit met zwakheden waardoor het in een triviale tijd te kraken is met goedkope hardware. Je kan stellen dat de key van de pasjes niet meer 48bits is maar, effectief 4 of 5 bits (zonder uitleg van de kraak is deze effectieve keylengte nog niet vast te stellen).

Het is gewoon een trade-off
Nee, het is geen trade-off. Er is gekozen voor een ouderwetse RFID techniek. Een techniek die zelf nog niet gekraakt was, maar wel van dezelfde generatie en type als passen die al lang en breed zijn gekraakt door zwakheden in het zelfverzonnen algoritme. De reden dat deze algoritmes allemaal zelfverzonnen zijn is dat er 'vroeger' niet genoeg vermogen beschikbaar was voor een cryptografisch getoetst algoritme met afdoende veiligheid. Dus hebben een hele hoop bedrijven (Texas Instruments en Philips bijvoorbeeld) maar een eigen algoritme ontwikkeld dat, zonder dat je het algrotime kent, erg veilig lijkt.

De keuze van dit type zwakke passen voor het OV is niet goed te praten. Deze keuze zal wel door het management gemaakt zijn waarbij vooral is gekeken naar kosten. Het had echter duidelijk moeten zijn dat deze pasjes NIET afdoende zijn. NXP (voormalig Philips) heeft al een tijdje beter beveiligde passen in omloop. Dat had een hint moeten zijn dat de oude Mifare's mischien niet zo veilig waren.

Lees ook eens: http://pcworld.about.com/news/Feb142005id119661.htm
Dit is een artikel uit begin 2005(!). Het gaat hier om een TI chip die op hetzelfde pricipe werkt als de Mifare chip (zelfverzonnen algoritme).
Voor de techinische uitleg: http://web.archive.org/we.../http://rfidanalysis.org/ (helaas is de orriginele site inmiddels offline).

In de wereld van de cryptografie is het al jaren bekend dat zelfverzonnen algoritmes 99.99999999% van de keren gewoon niet afdoende zijn. Om een goed cryptografisch algortime te ontwerpen heb je een heel team wiskundigen nodig en ook dat gaat vaak nog fout. Daarom is een algemeen bekend algoritme (zoals AES) het verstandigste. Hier zit enorm veel toetsing op omdat iedereen het kan zien. En mocht het een zwakheid bevatten dan wordt dat heel snel bekend.

[Reactie gewijzigd door ShadowLord op 13 maart 2008 11:56]

Zoals je zelf zegt: vertrouw niet op 1 beveiliging. Dat doen ze bij jouw bedrijf dus schijnbaar wel.
Oh? Heb ik dat aangegeven? Men heeft geaccepteerd dat er 1 of meerdere mensen door een sluis kunnen, dat is geen probleem. Het gaat erom dat niet jan-en-alle-man naar binnen komt. Op ons kantoor geldt een clean desk policy, alles achter slot en grendel als je naar huis gaat en zijn alle PCs encrypted. De noodzaak om dan enorme kosten voor een waterdichte toegang te creeren is niet aanwezig.
Het is gewoon een trade-off, Nee, het is geen trade-off.
Je zegt later zelf dat er gekozen is voor de goedkopere variant ... dus is er wel een trade-off gemaakt op basis van kostprijs en functionaliteit. Op basis van de beweringen van NXP heeft de minister middels TransLink een keuze gemaak er vanuit gaande dat de functionaliteit werkt. NXP schermde met "already ten year proven reliability". Achteraf is beschuldigen heel eenvoudig en NXP heeft blunders gemaakt bij implementatie van het communicatie protocol, deze fout echter bij de minister neerleggen omdat ze zelfs een gerenommeerd bedrijf helemaal niet moet vertrouwen gaat mij veel te ver.
Blijkbaar niet, want die moeten nu extra bewakers aanstellen (zie bericht).
Een geruststellend woord van de minister om e.e.a. te de-escaleren. De militaire objecten en terroristisch gevoelige overheidsinstelling zijn al lang door een zwaardere pas beveiligd (en ook ander communicatie algoritme.
Dat had een hint moeten zijn dat de oude Mifare's mischien niet zo veilig waren.
Dus een Ford Fiesta is minder veilig dan een Ford Focus? Als een fabrikant een range van producten heeft ga ik echt niet er vanuit dat de goedkoopste variant het niet doet. Een simpele pascontrole hoeft geen 2Mb aan storage te hebben en enorm zware rekencapaciteit voor het doorgeven van een toegangscode. Je moet als koper wel de verschillen voor jezelf in kaart brengen en kijken of de duurdere variant voor jou nog toegevoegde waarde heeft. Je mag er toch vanuit gaan dat alle varianten bij een bedrijf als Philips gewoon werken na tien jaar ervaring??

Het probleem met de oude Classic MiFare variant is het feit dat deze RFID niet in staat is om met het opgeladen vermogen uitgebreide encryptie toe te passen en dit ook nog eens te transmitten. NXP heeft voor kinderlijk eenvoudige operaties gekozen om vermogen te besparen waardoor sleutels te snel zijn te achterhalen en deze sleutels kunnen daardoor ook weer relatief eenvoudig gebruikt worden met andere RFID passen. Niet het ministerie, niet Translink maar NXP is schuldig aan het doen van beloften over een zwak beveiligde chip.

[Reactie gewijzigd door hamsteg op 13 maart 2008 12:32]

Je zegt later zelf dat er gekozen is voor de goedkopere variant ... dus is er wel een trade-off gemaakt op basis van kostprijs en functionaliteit.
Ee trade-off wekt de suggestie dat er een geinformeerde keuze is gemaakt. Dat is hier duidelijk niet gedaan. Iemand heeft naar de 'bottom line' gekeken van aanschafkosten en z'n krabbel onder de goedkoopste oplossing gezet. Ja, er is idd gekozen voor een 'secure' oplossing, maar dat is om de beperkingen van de opdrachtgever in acht te nemen. Er is helemaal niet gekeken hoe veilig 'secure' nu eigenlijk is.

De militaire objecten en terroristisch gevoelige overheidsinstelling zijn al lang door een zwaardere pas beveiligd (en ook ander communicatie algoritme.
Jij hebt iets te veel vertouwen in het management van deze instellingen. Ervaring leert dat ook deze meer naar kosten kijken dan naar de praktijk. Men in gewend dat als een IT bedrijf roept 'ja, dit is veilig' dat het dat dan ook is. Zonder er bij na te denken of dat bedrijf wel rekening heeft gehouden met de situatie (en dat is meestal niet zo). Dat krijg je nu eenmaal als je ontwikkelaars de uiteindelijke situatie niet zien en de mensen die dat wel zien niet de kennis hebben om het IT aspect te beoordelen. Dat is met de OV kaart ook gebeurd.

Niet het ministerie, niet Translink maar NXP is schuldig aan het doen van beloften over een zwak beveiligde chip.
NXP heeft inderdaad een verkeerde voorstelling gegeven. Ze zeggen dat het een 48 bits key is (wat voor OV gebruik wel goed genoeg is) maar effectief zijn het maar een paar (zeg 5) bits.
Aan de andere kant had Translink kunnen kijken naar het type chip, kunnen kijken naar wat er bekend is over deze types (dat ze zeer onveilig kunnen zijn) en eerst gedegen onderzoek moeten (laten) doen door mensen die er echt verstand van hebben. Dat is nu pas gebeurd nu het product bijna af is. Dat had véél eerder moeten gebeuren.
Ja, dit is nieuws.

1) Er wordt een OV-chipkaart ingevoerd
2) De kaart wordt half gekraakt
3) De kamer is terecht bezorgd
4) TNO onderzoekt de boel (en concludeert dat het niet al te veilig is)
5) Het bedrijf wat de kaart aan NL verkocht, gaat gewoon door omdat het toch veilig genoeg is
6) De kaart wordt nu helemaal gekraakt.

Vandaar. Je post is natuurlijk terecht, op de laatste opmerking na. Het is m.i. heel erg nodig om leken (i.c. de tweede kamer, jammergenoeg) te laten zien dat we een kat in de zak hebben gekocht. Security door obscurity, etc, etc.

In het OV hebben we misschien niet een 2K sleutel nodig, maar het is triviaal gemakkelijk om een kaart te maken met versleuteling die niet uit de middeleeuwen stamt.
Ik weet niet wat Trans Link zat te denken toen ze die kaart verkochten. De regering heeft zich natuurlijk een oor aan laten naaien.

Denk naast het stelen van apparatuur ook aan bedrijfsspionage. Trek een pak aan, koop een USB stick en loop met je pas zo door de beveiliging een bedrijf binnen. Sta een poosje bij het koffieautomaat tot je doorhebt welke computer niet wordt gebruikt, boot van je stick/cdrom, kopieer wat je nodig hebt, loop weer weg. Niemand die het door heeft.

edit:
quote van nu.nl:
"Jacobs is geschrokken van de kwetsbaarheid, maar legde uit dat de chip en bijbehorende techniek al meer dan tien oud jaar zijn. De hoogleraar ging niet in op de vraag of minister Guusje ter Horst (Binnenlandse Zaken) zich dat ook had moeten realiseren."

En dat is precies waar het mij om gaat. Uiteraard had Ter Horst zich moeten realiseren dat een tien jaar oude kaart gekraakt kan worden. Daar heeft ze een heel ambtenarenapparaat voor. Het is goed om mensen aan te spreken op hun verantwoordelijkheid, dat wordt te weinig gedaan.

[Reactie gewijzigd door remmelt op 13 maart 2008 10:35]

Via een brute force attack kon vervolgens de 48bits-sleutel worden ontcijferd. Hiervoor hadden de onderzoekers ongeveer negen uur nodig.
Hm, een 48-bits sleutel en dan durft men nog te beweren dat het wel meevalt met de kraakbaarheid ervan... Niet dus.

Hoewel je uiteraard problemen kan hebben met de export van 128,256 of zelfs 1024 bit lange sleutels is het gebruiken van een product met een 48 bits sleutel toch echt niet meer van deze tijd.
Ik vraag me af of het gegeven van de 48 bits voldoende is om te stellen dat het beveiligingssysteem onder de maat is..

Als de implementatie zodanig is dat je tussen twee opeenvolgende pogingen 10 minuten moet wachten is het misschien een ergonomisch gedrocht, maar nog steeds veiliger dan de 1024 bits versie waar je 10.000 pogingen per seconde op los kan laten.

De maat voor veiligheid, heb ik mij wel eens laten vertellen, is de tijd die het duurt om het geheim te onthullen en de waarde die het op dat moment nog heeft.

Dat Guusje een probleem heeft is me wel duidelijk.
Het klinkt misschien wel zo dat een 1024bits sleutel eerder brute force breekt met 600.000 pogingen per minuut dan een 48 bits sleutel met 0.1 poging per minuut, maar dat klopt echter helemaal niet. Even een snelle reken som:
2^48 / 0.1 = 2814749767106560 minuten kost het om alle sleutels van 48bit te proberen.
2^1024 / 600.000 = 2,996*10^302 minuten kost het om alle sleutels van 1024bit te proberen.
Hieruit is het toch duidelijk dat een 1024bit sleutel veel langer duurt om te breken. Dit is trouwens een erg slecht voorbeeld, want het zou niet praktisch zijn als je je ov-pasje over de scanner haalt en dan 10 minuten moet wachten totdat het gedecrypt is :P

Natuurlijk hangt het niet alleen van de sleutel grootte af hoe moeilijk het is om een encryptiesysteem te breken, maar ook van het algoritme dat wordt gebruikt. Men kan namelijk aan de hand van het algoritme en de versleutelde data al beperkingen leggen aan de af te zoeken sleutelruimte.

Imo is het echter wel zo dat de veiligheid van een encryptiesysteem er niet van mag afhangen dat het algoritme dat gebruikt wordt onbekend is, wat hier het geval is. Want zoals je kan zien blijkt dat bij zulke systemen het algoritme erg zwak blijkt en dat je al met behulp van een klein beetje informatie over het algoritme al snel de af te zoeken sleutelruimte drastisch kan verminderen. Ik hoop dus dat ze het snel veiliger maken, ik wacht in ieder geval nog even met het aanschaffen van een ov-pasje totdat ze dat gedaan hebben :)
Je redenatie klopt wel, maar je som totaal niet.
2^48 = 281.474.976.710.656 keer 10 minuten nodig om een key zeker te kraken.

10.000 pogingen per seconde = 10.000 * 60 * 10 = 6.000.000 pogingen / 10 minuten

2 ^ 1024 / 6.000.000 = 29961552247705265128821753179817078893632949649038442878905013526288779300916827188784746220401256003520018979978565559609798294802402770415474571773245687396294648904144247546050369933541015686575513825347500961473025113723743813578985518423471206193891751780764383039991207656413286050805892721604037

Nou heb je gemiddeld maar de helft van het maximaal aantal pogingen nodig, maar dat geldt voor beide.
Hoewel je uiteraard problemen kan hebben met de export van 128,256 of zelfs 1024 bit lange sleutels is het gebruiken van een product met een 48 bits sleutel toch echt niet meer van deze tijd.
Hetzelfde geldt ook voor 1024 bit sleutel. Over 5 of 10 jaar lachen we daar ook om.

Zo'n kaart heeft gewoon onderhoud nodig, elk jaar een ander algoritme en zwaardere sleutel. viola! Veilige kaart!
Hetzelfde geldt ook voor 1024 bit sleutel. Over 5 of 10 jaar lachen we daar ook om.
Tuurlijk, maar om nu techniek in te zetten die vandaag al achterhaald is, dat is wel heel erg dom.

Uiteindelijk zul je toch een werkbaar algoritme op een klein kaartje moeten kunnen stoppen. Maar kies dan wel voor een techniek die vandaag de dag nog veilig is en die de komende paar jaar veilig is. Als je het helemaal safe wilt spelen, dan verloopt zo'n kaart ook automatisch na een paar jaar - zodat je nooit opgescheept zit met sterk verouderde oplossingen.
Het gaat natuurlijk niet alleen om het aantal bits...

In dit geval was een deel van de beveiling gebaseerd op het niet bekend zijn van het algoritme. Of dat nu handig is of niet is een andere discussie, maar ieg was het mede daardoor voor lange mogelijk om Mifare Classic te gebruiken.

NXP verwacht trouwens in Q4 een vergelijkbare chip te lanceren op basis van AES crypto...
Er zijn ook betere systemen dan de Classic Mifare kaarten beschikbaar. Dit is gewoon een financiele kwestie. Betere systemen met 3DES rollen al de fabriek uit, maar die zijn meer geschikt voor credit kaarten e.d. .
Overigens noem ik dit niet echt kraken van een systeem. Het is gewoon hacken wat die gasten doen.
Je kan ook een normaal OV-jaarkaart onder een kleurencopy leggen!? Dit syteem werkt met de Classic kaarten al veel beter dan het oude systeem met kaartjes. Het is alleen jammer als de media er weer zo commercieel spectakel van maakt. Er is nog niets echt gekraakt.
Je kan een OV-jaarkaart ook kopieren maar een van de problemen met deze OV chipkaart is dat je hem ongezien op afstand kan kopieren. Terwijl je hem niet eens in handen hebt. En dat als je een gekloonde kaart gebruikt, daar de eigenaar van de kaart mee pakt in plaats van het vervoersbedrijf.

Ik hoop dat een of andere TV show deze hack binnenkort eens voor gaat doen en laat zien hoe makkelijk het in de praktijk is. Dat soort beelden maken altijd veel meer indruk dan uitspraken van onderzoeken.

[Reactie gewijzigd door GekkePrutser op 13 maart 2008 11:37]

Het heeft ze drie weken gekost om hun eigen Universiteitspas te kopiëren. Het communicatieprotocol is relatief eenvoudig te kraken maar de inhoud van de pas is gelukkig niet universeel. Het kost je nog een aantal dagen tot weken om de data structuur te snappen.

Bijv. een bedrijf met vijf simpele restricties heeft: "00110" op de pas staan (0=niet, 1=wel toegang).
Een andere bedrijf kan besloten hebben deze toch nog te beveiligen en dan kan eenzelfde restrictie string er als volgt uitzien: "42D85A2380E3F3A333D773B2201C".

Daar zul je toch even wat meer pluis werk moeten doen. Het is erg zat dat het concept relatief eenvoudig is maar alle deuren staan nog niet meteen wagenwijd open. Als ik de betrokken studenten mijn bedrijfspas geef zullen ze het voor elkaar krijgen maar niet in de duur van een uitzending, zo eenvoudig is het niet.
Wat ik me afvraag is hoe het komt dat elke keer bij overheidsprojecten er iets gebeurt dat het altijd binnen de kortste keren opnieuw moet herzien worden omdat er minderwaardige producten gebruikt worden.

Dit is niet alleen in Nederland, maar in Belgie en de US ook. Stemmachines, belastingscomputers, waardevolle gegevens, online toestanden... het is alsof de commissies zich geen eigen expert kunnen permiteren (en de gemiddelde tweaker zou deze dingen zelfs kunnen) en altijd in de zak gezet worden. Als ik zo'n bedragen uitgaf in mijn bedrijf en vervolgens opnieuw moet uitgeven omdat het niet goed was de eerste keer zou ik allang buitengezet zijn.
In dit geval gaat het echter niet direct om een overheidsproject, maar om fouten in een product dat ook door de overheid gebruikt wordt. Da's toch wel wat anders.

Ook de OV-chipcard is geen overheidsproject, maar een project van de gezamenlijke OV-bedrijven, waarbij ik dan wel de kanttekening plaats dat men wel erg naief geweest is bij de OV-bedrijven om een chip met een sleutel van slechts 48-bit te kiezen...
Let wel, het gaat hier niet over een overheidsproject. Alleen over een 'access control' methode die zowel door het bedrijfsleven, als de overheid wordt toegepast.
Ter Horst wil verder dat een vervangende pas, die oorspronkelijk in het vierde kwartaal van dit jaar ingevoerd zou moeten worden, versneld wordt uitgerold.
Ja fijn, versneld iets uitbrengen. Dan krijg je weer een chip die te weinig getest is en andere fouten bevat die misbruikt kunnen worden. Laten ze gewoon hun tijd nemen om iets goed te ontwikkelen.

Dat de chip makkelijk te kraken is zegt trouwens nog niets. Hoe makkelijk is het wel niet om een vals treinkaartje te maken. Dat is ook absoluut niet veilig en toch wordt het al jaren gebruikt. Waarom zou een nieuw system dan ineens wel waterdicht moeten zijn? Dat het kan wil nog niet zeggen dat het ook massaal wordt gedaan.
Omdat de pakkans met een vals kaartje groter is. Een kaartje moet je aan de conducteur laten zien, als 'ie ziet dat het vals is word je in je nekvel gepakt. Van een gekloonde chipkaart kan het apparaat niet eens zien dat 'ie 'vals' is. Het ergste wat kan gebeuren is dat je kaart geblocked wordt.
Zit de Radbout Universiteit nu met de veren van iemand anders te pronken of hebben ze zelf ook echt wat gedaan?

Edit: ik zie net in de persverklaring dat er wel contact met de Duitsers is geweest, maar dat de Universiteit volgens een heel andere methode het CRYPTO-1 algoritme heeft achterhaad. Dus wel zelf wat gedaan ;)

[Reactie gewijzigd door cire op 12 maart 2008 18:26]

Technisch is het allemaal niet zo bijster interessant. RFID emulatie, een cryptografisch algorithme reverse-engineeren en brute force een 48-bits key breken. Ik weet niet of je er nog een serieuze publicatie mee haalt (20 jaar te laat). Het is wel interessant op het gebied van sociaal ICT onderzoek. Hieruit blijkt dat heel Nederland zich heeft laten verleiden door de RFID fabrikanten die voor hun eerste generatie nog niet in staat waren degelijke beveiliging te leveren en misbruik hebben gemaakt van de onwetendheid van de klanten.
[waanzin]
Ach, veel meer dan het vinden van de fouten in het authenticatieprotocol en het daadwerkelijk uitbuiten van deze exploit, heeft de RU er vrij weinig aan gedaan. Veel meer dan een afstudeerproject zou ik het niet willen noemen
[/waanzin]

Vanwaar het totale gebrek aan vertrouwen in de RU?
Is geen gebrek aan vertrouwen maar het komt allemaal wat flauw over. Karsten Nohl en Henryk Plötz hebben het overgrote deel van wat de RU nu bekend maakt ook al gemeld en, voor zover ik het begrepen heb, hebben zij op ongeveer dezelfde manier gewerkt. In de persverklaring van de RU lees ik weinig tot niets dat de twee Duitsers nog niet bekend hebben gemaakt. Zij hebben echter nog geen verdere details beschikbaar gemaakt, o.a. ivm de belangen die hier op het spel staan.

In dit geval lijkt het er dus heel erg sterk op dat de RU een paar studenten op die Mifare Classic heeft gezet om een exploit te bouwen op basis van de gegevens van Nohl en Plötz met als doel wat gratis publiciteit te halen. Dat komt op mij iig wat jammer over :)
Helaas zit je er toch wel wat lanks, Karsten Nohl en Henryk Plötz zijn bezig om van de blackbox chip een white box te maken door lagen van de chip af te schrapen en zodoende de schakelingen in de chip in kaart te kunnen brengen. Wanneer ze dit daadwerkelijk helemaal gaat lukken zal dit voor producenten van chips een nieuw tijdperk gaan betekenen, want het zal dan niet meer zomaar mogelijk zijn om techniek in chips te verbergen. Dit zal dus nog een hele spannende ontwikkeling gaan opleveren.

De student van de RU is inderdaad bezig met zijn afstudeerscriptie, deze scriptie heeft ie nu zo'n beetje afgerond. Hij is hier iets meer dan een half jaar geleden aan begonnen toen Karsten enz. nog geen publicaties hadden uitgebracht. Er was bekend dat de Mifare chip mogelijk zwakheden zou kunnen bevatten. Ze hebben dus naar een blackbox gekeken en daar een zwakheid in herkend, en deze kunnen uitbuiten en herhalen op meerdere producten. Zoals software producenten iets dat alreeds is uitgevonden en goed bevonden, zo gaan hardeware producenten ook aan de gang, een fout in IE7 bleek ook in zijn voorgangers te zitten, same here.
Ik ben benieuwd wat er nu gaat gebeuren... Ik hoop niet, maar verwacht het nog wel, dat ze verder gaan met invoering van dit systeem.
Het antwoord staat in het bericht:
Ter Horst wil verder dat een vervangende pas, die oorspronkelijk in het vierde kwartaal van dit jaar ingevoerd zou moeten worden, versneld wordt uitgerold.
De meeste bedrijven en instellingen hoeven zich naar mijn idee niet direct zorgen te maken, aangezien het niet bekend is wie ze waar gebruikt. Het is natuurlijk wel aan te raden om eens rond te kijken naar iets beters. Vreemd overigens dat ze in Hong Kong en Londen geen last hebben van dit probleem.
Hong Kong gebruikt dan ook geen MiFare chip in haar Octopus cards, ondanks dat dit wel in het artikel staat. Hong Kong, Singapore en Japan oa gebruiken Sony's FeliCa chip in hun kaarten, dit is weer een ander verhaal.

Londen's Oyster card heeft idd een MiFare chip en daar ben ik ook wel benieuwd naar, in Londen draait het toch zeker al 8 jaar als het niet meer is. Maar je hoort er niets van, of het systeem is beter doordacht waardoor er op een of andere manier moeilijker mee te frauderen valt. Of zoals foppe-jan zegt, heeft men het gewoon nog nooit getest en komt nu pas de troep bovendrijven.
mja, dat of niemand heeft ze daar getest :P
Misschien hebben ze in Hong Kong en Londen ook wel last van fraude. Maar zo lang het op beperkte schaal gebeurt is het allemaal niet zo'n ramp.

Bovendien was (tot nog toe?) de kaart niet helemaal gehackt. Die Duitsers hadden al wel veel informatie boven tafel, maar volgens mij niet alles. Nu dus misschien wel.
Probleem is als mensen er eindelijk door de barrière heen komen, en andere mensen weten hoe die methode werkt, dat je dan een sneeuwbal effect gaat krijgen.
Tuurlijk gaan ze verder met invoering. Het is duidelijk dat die OV chipkaart er komt. Hopelijk gaan ze wel met een wat beter beveiligde kaart werken.

En misschien dat ze bij invoering nog wel besluiten dat de kosten om nu over te stappen op het nieuwe systeem hoger zijn dan de geschatte schade van fraude, waardoor ze niet direct nieuwere technieken zullen gebruiken, maar deze pas later zullen implementeren.

Voor toegang tot beveiligde gebouwen zullen ze, zoals ook in het artikel staat, wel direct strengere beveiligingseisen toepassen.

Toch maar terug naar de kaart met pincode? :P

[Reactie gewijzigd door Roa op 12 maart 2008 17:38]

En misschien dat ze bij invoering nog wel besluiten dat de kosten om nu over te stappen op het nieuwe systeem hoger zijn dan de geschatte schade van fraude, waardoor ze niet direct nieuwere technieken zullen gebruiken, maar deze pas later zullen implementeren.
Misschien zijn de kosten van fraude voor het ministerie wel niet zo hoog als de kosten van een beter systeem, maar vergeet niet dat bij fraude met een OV-chipkaart de gebruiker ook op kosten wordt gejaagd! Je kan ze zelfs automatisch opladen vanaf je rekening. Als ze toch deze passen invoeren dan zullen er veel mensen benadeeld worden (en dat zou gelukkig veel ophef veroorzaken dus ik denk niet dat ze zo dom zullen zijn om dit te doen).

Ik zou niet graag hoeven te bewijzen dat ik het niet was als iemand met een gekloonde versie van mijn pas heeft gereisd.

[Reactie gewijzigd door GekkePrutser op 12 maart 2008 18:13]

Dat automatisch opladen gaat toch alleen bij 'persoonlijke' passen? Ik denk dat als ze het systeem 'vroeg' uitrollen er alleen gebruik gemaakt gaat worden van onpersoonlijke passen welke opgeladen moeten worden met de pin (dus pas + pincode = veiliger?).

Overigens is dit gedoe wel weer het gevolg van de fouten in de wet. Zover ik geleerd heb moet de overheid volgens de wet de beste offerte uitkiezen op prijs (zonder te kijken naar 'in het verleden (niet) behaalde resultaten). In de zin dus van: je hebt een kapot ruit, persoon A kan het maken voor 10 euro maar doet het bijna nooit goed, persoon B doet het voor 30 euro maar doet het bijna altijd goed. Omdat de overheid niet mag kijken naar het verleden, maar alleen maar naar de prijs moeten ze dus persoon A het werk laten doen. Later (na 10 euro) komen ze erachter dat persoon A het werk niet goed heeft gedaan dus moet persoon B ingeschakeld worden. Totale kosten: A+B = 40 euro. Het ziet er naar uit dat de chipkaart dezelfde kant op gaat.

Mooi feitje uit het rapport van eind vorig jaar is nog dat de 'zeer stevige' poortjes bij de perrons heel simpel open te krijgen zijn via de noodknop of door er een flinke trap tegen te geven en dat daar nog iets aan gedaan moet worden. Volgens mij hadden ze daar met een beetje nadenkwerk wel eerder wat aan kunnen doen.
Ja, maar zelfs met een onpersoonlijke pas ben je als onschuldige burger nog steeds geld kwijt als je pas gekloond wordt. Er zit dan wel een limiet aan (hoeveel je hebt opgeladen), maar om dat maar te accepteren zou ik een slecht uitgangspunt vinden.

Ik vraag me af of je zomaar je geld terug gaat krijgen (a la credit card fraude), anders komen er snel mensen die doen alsof hun kaart gekloond was. Dus ze kunnen het gewoon niet zo makkelijk maken om je geld terug te krijgen.
Dat is toch hetzelfde principe als de chipknip? Daar hoor je ook niet veel protest tegen. Bovendien zullen er geen extreme bedragen op staan aangezien deze 'digitale portomonnee' gelimiteerd is.
Bij een aanbesteding kunnen ook andere criteria worden aangehouden dan alleen de kosten. Voor openbare werken wordt steeds vaker de "economisch meest voordelige aanbieder" gekozen. Daarbij wordt naast de prijs ook gekeken naar de kwaliteit van de aanbieder.
Het is mogelijk dat ze er toch voor kiezen om met deze gebrekkige versie door te gaan.

Kijk bijvoorbeeld naar credit-cards...qua beveiliging nou niet bepaald sterk, maar omdat de credit-card bedrijven (meestal) gewoon niet moeilijk doen over vergoedingen aan de gebruikers bij misbruik, wordt er toch weinig over geklaagd.
Eigenlijk wel ironisch. De berichtgeving rond de ov-chipkaart in de reguliere media was niet altijd even correct - zij leken het feit dat 'de kaart te kraken valt' op te vatten als 'de kaart is waardeloos'. Dat was niet het geval omdat er dure apparatuur voor nodig was en (een stukje van de sleutel) gebruteforcet moest worden, hetgeen in de praktijk betekende dat het zoveel resources (tijd en geld) kostte dat het eigenlijk niet de moeite waard was. Zeker niet als de kaart ook nog eens afgemeld kon worden uit het systeem.

Nu blijkt de beschreven situatie alsnog bewaarheid te worden. Pas met deze kraak uit Nijmegen (trouwens een echte krakersstad ;)) is de ov-chipkaart echt onbetrouwbaar geworden. Als je je portomonnee of chipper verliest, ben je je geld kwijt. Dat is te ondervangen door geen grote bedragen mee te nemen. Voor het ov is dat niet erg handig.

Jammer ergens, ik hoopte dat de kwestie journalisten zou leren de techniek over te laten aan de mensen die er verstand van hebben.
Het erge van dit alles is dat de klant (wij dus) dit weer gaat betalen.
Het is zeer treurig dat zulke beslissingen kunnen worden genomen over de rug van de belastingbetalers.

Denk ook nog maar aan ons geweldig paspoort enz. Het wordt niet makkelijker alleen maar duurder. Als ze eerlijk zijn moeten ze dat maar eens erkennen.
De tweakers hier kijken mijns inziens teveel naar het kraken (hetgeen wel slordig is van de vervoerbedrijven door zo'n slecht product te kiezen).
Maar waaraan iedereen hier voorbijgaat zijn alle ander fouten in het systeem:
- uitchecken wat mis gaat en dan ben je extra geld kwijt
- opladen wat niet altijd lukt, maar wel afgeschreven

De duizenden meldingen die binnenkomen hebben nog niets met kraken van doen.

Ik ben bang dat de opzet mis is.

Bij een systeem waar je één bedrag betaalt (en dan gaat het poortje) open, hoef je je geen zorgen te maken over de uitgang. Maar hier check je in, en check je uit, en betaal he wat daartussen zit. Bij bussen tram in de spits moet je eens zien wat er gebeurt als er uitgangspoortjes komen.. En als je dat niet doet heb je veel false checks (mensen die denken uitstappen gecheckt te hebben, maar waarbij het niet gebeurd is).

Al die problemen zijn eigenlijk 2 orde groottes erger dan het hacken vande kaart zelf. Maar als het systeem toch 'vauden' vertoond, dan ga ik liever reizen op een gekloonde chip.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True