Brits advies aan kabinet: vervang ov-chip

Britse wetenschappers die een contra-expertisestudie hebben uitgevoerd op het TNO-onderzoek naar de beveiliging van de ov-chipkaart, adviseren het ministerie van Verkeer om de chip in de ov-kaart te laten vervangen.

Dat heeft het ministerie maandag in een brief aan de Tweede Kamer laten weten. Het vernietigende oordeel volgt op een reeks kraakacties op de kaart, in januari door Duitse hackers in gang gezet. De meest recente liet zien dat het uitlezen van de data op de chip in een kwestie van seconden kan geschieden. Dit zet de deur open naar misbruik, waarbij op grote schaal met gekopieerde kaarten op kosten van anderen kan worden gereisd. Het kan bovendien met goedkope apparatuur: een doorsnee notebook volstaat.

metro Amsterdam TNO onderzocht al eerder de beveiliging van de in de kaarten gebruikte Mifare-chip. Opdrachtgever TLS, de verantwoordelijke voor de invoering van de ov-chipkaart, concludeerde destijds op basis van het TNO-rapport dat de technologie veilig genoeg was om ingevoerd te worden. Het kraken van de Mifare-chip zou namelijk een betrekkelijk dure aangelegenheid zijn, en bovendien was een kraak van alle gegevens niet op korte termijn te verwachten. Daarom zou het voldoende zijn om bij de invoering als voorwaarde te stellen dat TLS binnen een tot twee jaar met een betere beveiliging op de proppen komt.

De studie van het Royal Holloway-instituut van de University of London veegt echter de vloer aan met deze gevolgtrekking, hoofdzakelijk omdat TNO zich volgens de Britten teveel door de huidige stand van zaken heeft laten leiden bij het inschatten van toekomstige aanvalsscenario's. Bovendien heeft het Nederlandse onderzoeksinstituut onvoldoende rekening gehouden met de mogelijke financiële schade bij misbruik wanneer de nationale uitrol van de ov-chipkaart reeds heeft plaatsgevonden. De eerste tekortkoming is naderhand overigens wel door TNO erkend.

De Londense universiteit is van mening dat het vervangen van de Mifare-chip de enige juiste oplossing is. Over de vraag of dat voor danwel na de op 1 januari 2009 geplande landelijke invoering is, laten de wetenschappers zich niet uit, maar ze raden wel aan om met grote spoed te laten onderzoeken of het achteraf corrigeren van de problemen wel verstandig is. Om die reden twijfelt het ministerie of de geplande uitroldatum wel haalbaar is.

ov-chipkaart en lezer De Britse onderzoekers stellen dat de vervanger van de beveiliging van de Mifare-chip niet gebaseerd mag zijn op een geheim algoritme, maar dat de technologie getest moet kunnen worden door de cryptographic community. In ieder geval moet er van voldoende lange encryptiesleutels gebruik worden gemaakt - de huidige versie heeft een sleutel van slechts 48 bits - en dient vooraf rekening te worden gehouden met redelijkerwijs te verwachten aanvalsscenario's. Daarvoor moeten tegenmaatregelen op de plank liggen.

De contraexpertise is inmiddels naar TLS en de OV-bedrijven verstuurd. Deze zijn verzocht antwoord te geven op de vraag of de thans in stelling zijnde noodmaatregelen bij misbruik van de ov-chipkaart wel voldoende kunnen worden geacht, en wanneer er een migratieplan op tafel ligt om de Mifare-chip te vervangen.

Verantwoordelijk staatssecretaris Huizinga (Christenunie) heeft zich in een reactie overigens sterker uitgelaten dan de in de brief uitgesproken 'twijfel' over de invoeringsdatum van 1 januari 2009, schrijft de Wereldomroep. De bewindsvrouw gelooft niet meer dat deze datum nog haalbaar is. De SP en Groenlinks hebben een spoeddebat aangevraagd over de ov-chipkaart.

IT-banen

Reacties (84)

Verwijderd 15 april 2008 10:49

Het grote probleem met de dit systeem is naast de kraakbaarheid de gehele opzet. In HK en Londen zijn het relatief gesloten systemen. Laat de kaart alleen in de metro werken op het "Token principe" en je hebt een relatief simpel en veilig systeem.

Waar Nederland verschilt van de rest van de wereld is het feit dat we het systeem open en cross-company willen maken. RET, Connexxion, arivia etc moeten er allemaal mee werken en willen allemaal hun eigen dingetjes.

Ik reis iedere dag met de metro in Rotterdam en zie de toegevoegd waarde van de poortjes en de chip niet. Ze vormen een bottlenek op stations, je bent 4 euro kwijt als het uitcheck punt niet werkt. Je betaald meer als er vertraging is (erg leuk voor de NS

).

Ik ben nog nooit een vervalsde strippenkaart of NS kaart tegen gekomen, ja het is papier, so what. De overheid en de OV bedrijven mogen wel eens de KISS (Keep It Simple Stupid) methode gaan gebruiken.

Zonden van het geld en uiteindelijk geen winst voor de reizigers.

Verwijderd @Verwijderd • 15 april 2008 11:12

Darkraven1979,

Dat in HK een relatief gesloten systeem is onzin: de octopuscard vervangt daar de functie van de chipknip en zelfs nog meer: als toegangssleutel op je appartement op de 17de verdieping bijvoorbeeld. Door de kaart tegen de liftpaneel te houden zal enkel de bezitter ervan op een bepaalde verdieping terecht kunnen. Het zou zelfs veel interessanter zijn om de Octopuscard te kraken omdat dagelijks voor miljarden aan transacties wordt doorgevoerd: parkeergarages, winkels, markt, drankautomaten, bedrijfskantines en natuurlijk het openbaar vervoer dat net in Nederland verdeeld is in verschillende bedrijven: MTR, Starferries, de toltunnel tussen Kowloon en HK Island etc.

Je kunt het ook uit een soort kosten/batenplaatje bekijken: hoeveel geld zou je uitsparen t.g.v. zwartrijden als het gesloten systeem met de OV-chipkaart zou invoeren en dan de eventuele verliezen t.g.v. een sporadisch hacking van een paar kaarten. Stel je hebt een baat van 15 miljoen en een grootschalige hacking geeft een verlies van 3 miljoen (rampenscenario) dan heb je alsnog een winst van 12 miljoen......

We hebben in Nederland zelfs het stadium als eenvoudige OV-betaalkaart nog niet eens bereikt: de rest van de mogelijkheden is helaas nog wishful thinking. Ik zal zeggen: blijf maar lekker klooien en oeverloos erover vergaderen zzzzz............

Verwijderd @Verwijderd • 15 april 2008 11:59

Ik wis niet dat de kaart in HK zo uitgebreid is. Was onder de indruk dat het zich beprekte tot de metro alleen.

Het kosten batenplaatje verhaal heb ik al vaker voorbij horen komen. Wat me echter opvalt is dat de vergelijking vrijwel nooit gelegd wordt naar de kosten van het huidige systeem en als ze het wel doen ze dingen als controle vaak vergeten.

De huidige kaarten worden nauwelijks vervalst, maar we kennen wel zwartrijders. Nu is de campaigne in rotterdam zo dat de indruk wordt gewekt dat dit niet meer kan met de chip-kaart. Echter de poorten zijn zo makkelijk te openen (gewoon duwen) dat je niet ontkomt aan menselijke controle. Dat de kosten/baten op de kaart alleen met relatief grote fraude nog steeds winstgevend kan zijn wil ik best geloven. Echter de kosten ten opzichte van het huidige systeem lijken me niet op te wegen tegen de baten. Zeker niet als de kosten steeds hoger worden. Het stilzwijgen van de kosten zeg mij al genoeg.

Ik heb geen bron om dit te onderbouwen. Echter bijna 30 jaar woonzaam in Rotterdam en menig project voorbij zien komen heeft me geleerd dat onderbuik gevoelens bij dit soort dingen vaker kloppen dan niet.

Verwijderd @Verwijderd • 15 april 2008 12:46

Darkraven1979,

Ongetwijfeld heb je al gelezen van het experiment van het betalen met je GSM bij bepaalde supermarkten. Vraag me niet waarom, maar deze RFID-chip is van een ander bedrijf en het geheel weer compleet versnipperd. En natuurlijk weer nederlands: nog steeds in een testfase.....

In HK was men zo slim geweest om de Octopus-chip te verwerken in Junghans polshorges, sleutelhangers, badges en jawel GSM-covers voor o.a. de Nokia zodat je met je GSM doodeenvoudig de parkeergarage binnenrijdt (en niet hoeft te gaan zoeken naar je parkeerkaart in je portefuille) om vervolgens op het perrron van de metro met je polshorloge tegen de drankautomaat nog snel een blikje frisdrank haalt om daarna de metro te nemen via de tourniquettes. Door de autoloadfunctie heb je altijd genoeg geld bij je en bij verlies van je Octopuspolshorloge (dat is dan helaas jammer....) kan je door een noodnummer op te bellen je bankrekening blokkeren zodat je bankrekening niet wordt leeggeplunderd. Zo gemakkelijk kan het zijn met zo'n chip-"kaart".

Dit is geen science-fiction, maar pure realiteit in HK. Tja en als China (waar HK nu toe behoort) wel verder wil met deze technologie, moeten we in Nederland niet gaan klagen dat we achterop lopen......

boshar @Verwijderd • 15 april 2008 14:38

Nog nooit een vervalste strippenkaart gezien? Die dingen hoef je helemaal niet te vervalsen man. Je smeert ze in met een dun laagje houtlijm en het stempeltje is er zo weer af.

Bovendien stempel je gewoon standaard 1 stripje minder af en 's avonds laat helemaal niet. De pakkans is zo danig klein dat je de eventuele bekeuring makkelijk kunt betalen.

Ik zit ook dagelijks in de Rotterdamse metro en wanneer ze nu over zouden stappen en controles zouden houden wanneer de alarmbellen bij de poortjes af gaan dan zou dat resulteren in iets minder 'reizigers' (die betaalden namelijk nooit) zijn en de inkomsten zouden stijgen

Vergeten voldoende strippen te stempelen is niet zo erg (kost je zelf niets) nu kijk je wel uit dat je niet vergeet uit te checken.

We kankeren wat af op de OV chip. Tuurlijk zitten er gaten in maar het huidige strippen systeem is zo lek en veroorzaakt zo'n groot verlies aan inkomsten dat zelfs een niet waterdicht chip systeem beter is.

Wat dan nog dat je de kaart kunt kraken. Koppel de poortjes en je blokkeert een gekopieerde kaart binnen 1 dag. Zie jij je al staan de hele dag OV chip kaarten skimmen. Daar nepkaarten van maken die het vervolgens 1 misschien 2 dagen gaan doen. De kans dat je daar een flinke winst mee kunt halen acht ik zeer klein.

Joosie200 14 april 2008 22:44

Ik heb ook 2 jaar geleden bij het afhalen van mijn OV jaarkaart een 2de pasfoto ingeleverd omdat die nodig was voor de OV chipkaart. ik wacht nog steeds op het moment dat de IB mij een exemplaar toestuurt, maar blij word ik er iig niet van in de wetenschap dat dit de strippenkaart moet gaan vervangen. Ik ben op 1 april namelijk bij Velvet Revolver geweest en zag zodoende bij de metro Bijlmer-Arena ook de OV chipkaart poortjes staan. Ze staan overal al opgesteld in grote steden (Amsterdam en Rotterdam voor zover ik op de hoogte ben, maar vast nog meer steden in de Randstad) maar inderdaad, overal valt te lezen: buiten gebruik. Waarom eerst doen en dan pas denken? Waarom eerst flink wat geld investeren in het gereed maken/uitrollen van een systeem, terwijl het middel wat gebruikt gaat worden nog geeneens waterdicht is?

Het lijkt mij een logischere gang van zaken als ze eerst door en door die OV chipkaart hadden ontwikkeld, zonder dat er hackers aan te pas moeten komen om de gebreken aan te tonen. Vandaag las ik het inderdaad in de krant, zelfs de 2de kamer stelt nu zijn vraagtekens bij de invoering op 1 januari 2009. Ergens ben ik daar blij om, want wat is er nu zo erg om strippenkaarten te blijven hanteren?

Waarom moet het plotseling allemaal moderner terwijl je gewoon een degelijk systeem hebt liggen?

[Reactie gewijzigd door Joosie200 op 22 juli 2024 20:20]

tvdijen @Joosie200 • 14 april 2008 22:48

Strippenkaarten jah..... Ze worden alleen bijna nergens meer verkocht.... De meeste supermarkten hebben ze al niet meer bij de klantenservice... Schijnt dat ze ze niet meer krijgen, omdat die krengen op moeten zijn op 1 januari...

Soldaatje @tvdijen • 14 april 2008 23:15

Onzin, de strippenkaart blijft nog lang parallel geldig naast het gekraakte ov-chip gebeuren.
En een stukje papier kost niet zoveel dus als ze ze overhouden is dat ook geen ramp.

Overigens hoop ik niet dat alle scanners vervangen moeten worden als de chip vervangen wordt. Hopelijk is een software wijziging voldoende.

Wat een geldverspilling.

[Reactie gewijzigd door Soldaatje op 22 juli 2024 23:23]

Verwijderd @tvdijen • 14 april 2008 23:33

Ik vermoed dat dat probleem in elk geval volgende week verholpen is.

Bovendien, ik kan me voorstellen dat de winkels ze gewoon terug zouden kunnen sturen na 1 januari.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:23]

Verwijderd @tvdijen • 15 april 2008 10:13

LOL! No offense, maar stippenkaarten worden elk jaar duurder, en na 1 jan mag de versie van het jaar daarvoor officieel niet meer verkocht worden, dus je opmerking snijdt niet echt hout. Elk jaar is dit aan de orde, en wat er over is mag worden teruggestuurd (tegen vergoeding).
Zelfde heb je ook met magazines, er worden vaak een stuk meer gedrukt dan er bij de consument terecht komen, want je krijgt natuurlijk onmogelijk die laatste drie tijdschriften uit Leeuwarden bij die laatste drie fans in Rotterdam. Je zorgt voor genoeg aanbod, zodat je al je "fans" kan bedienen.

KroontjesPen 14 april 2008 23:32

Daarom zou het voldoende zijn om bij de invoering als voorwaarde te stellen dat TLS binnen een tot twee jaar met een betere beveiliging op de proppen komt.

In het RTL nieuws werd verteld dat niet alleen de chip kaarten maar ook de uitlees apparatuur zou moeten worden vervangen. Dit rijmt dan niet met bovenstaande quote uit het artikel.
Moeten alleen de chip kaarten worden vervangen dan kan de installatie van poortjes op perrons en kastjes in voertuigen gewoon doorgaan. De vertraging hangt dan alleen af van het invoeren van de nieuwe chip kaarten.

Ging TNO er misschien van uit dat met 'een betere beveiliging op de proppen komen' het niet zou inhouden dat de chipkaart moest vervangen worden. Denk toch van niet, maar ja.

[Reactie gewijzigd door KroontjesPen op 22 juli 2024 23:23]

cire @KroontjesPen • 14 april 2008 23:48

Je hebt niet alleen een nieuwe chip nodig in de kaart, maar ook in de poortjes...

cire 14 april 2008 23:48

Er zijn veel mensen die zich afvragen waarom Nederland het anders doet dan de rest van de wereld...

Maar bedenk wel dat juist het'meest 'standaard' onderdeel van de hele implementatie nu alle publiciteit krijgt, namelijk de Mifare chip. En juist deze chip wordt wereldwijd gigantisch veel gebruikt...

ShadyNetworker 15 april 2008 01:27

Wat ik als fervent OVgebruiker/student/belastingbetaler gewoon voel aankomen is een eindeloos getouwtrek over HOE de verbetering precies moet worden doorgevoerd.

De ene partij wil het zo goedkoop mogelijk, de andere wil het technisch zo hoogstaand maken, en de prijs betalen wij uiteindelijk.
Ik vraag me af hoeveel deze grap in totaal al heeft gekost.

Wat ik persoonlijk ook nog erg jammer vindt, maar misschien wel typisch nederlands is, in Almere zie ik rondom sommige stations van die poortjes staan op zo een onstrategische plek dat ze steeds en geheel worden stukgeslagen(wtf?).
Reparatiekosten komen er dus ook nog eens aan te pas.

Ik zie het maar somber in

Daikiri 15 april 2008 01:49

Het is toch eigenlijk wel teleurstellend hoe slecht dit soort projecten worden gemanaged, ik spreek hier maar in meervoud, want dit krijgt veel exposure, omdat wij als burger hier elke dag mee te maken krijgen, maar andere projecten waar we niet zoveel van horen, heb ik nu ook al niet z'n vertrouwen in.

Al moet ik zeggen, had ik al niet, maar zoals nu duidelijk is, wat er wel niet voor moet voorvallen, wil men de goede / goedkopere oplossingsweg opgaan, hoop voor ze dat ze niet alle apparatuur hoeven vernieuwen, al is het voor mij nu al wel een soort betuwe 2, en zo verstandig en secuur word m'n belastinggeld dus besteed, heerlijk.

Mocht het toch zo blijven, dan ga ik zelf ook gratis reizen, eindelijk altijd 1e klas, nooit file.

Maxonic 15 april 2008 02:58

http://video.google.com/videoplay?docid=4252367680974396650

Deze video valt erg aan te prijzen als je wilt weten hoe dit alles begonnen is. Dit is de eerste presentatie die de Duitsers hielden ter verduidelijking van hun reverse-engineer actie.Erg indrukwekkend is hoe ze de chip in laagjes hebben gepolijst en aan de hand van fotos van de 'blote' chip de functionaliteit hebben achterhaald.

De basis is als volgt:
Voor challenge-response gebruikt Philips een 32bit random number generator die maar voor 16bits random is. Dit valt binnen minuten te kraken, sterker nog elke 0.7 seconden zal hetzelfde random number langs komen. Echter, het nummer is ook nog eens afhankelijk van de tijd tussen powerup en challenge. Door dit precies te timen (met een resolutie van een paar nanoseconde, wat mogelijk is) kan men constant hetzelfde random nummer verkrijgen en dan is het breken van de sleutel een kwestie van seconden.

-typo-

[Reactie gewijzigd door Maxonic op 22 juli 2024 23:23]

wontcachme 14 april 2008 22:31

Pijnlijk voor de betrokken bedrijven. Net alles omgebouwd in de bussen, stations enz... Als de bedrijven nog wat respect van de reiziger willen overhouden, dan zullen ze moeten wachten met invoeren totdat er een beter beveiligt systeem/ander systeem (japan anyone?) komt. Zelf lijkt me via de telefoon wel makkelijk om te gebruiken.

IB-groep is wel blij schat ik zo. Heb 3 jaar geleden een foto ingeleverd en nogsteeds geen ov-card. Alleen regio rotterdam hebben ze die dingen gehad. Rest van nederland is uitstel op uitstel.

thegve @wontcachme • 14 april 2008 22:41

Als ze die dingen een beetje modulair hebben opgebouwd zou je zeggen dat het voornamelijk overleg is. Tenzij ze natuurlijk al een paar miljoen van die ov-kaarten hebben liggen. In een interview laatst op tv met de minister (shame on me, even naam kwijt) werd duidelijk dat dit overleg, en dat geen enkele partij bereid is compromissen te sluiten de voornaamste problemen zijn bij de invoering. De ov-kaart moet dus werken met tientallen eigen systeempjes van alle vervoerders en andere betrokken partijen, in plaats van dat er 1 systeem is waar alle partijen mee samenwerken.
Ik als ict'er maar qua dit soort systemen redelijke leek zie het technisch probleem in ieder geval ook niet echt, zeker met alle ervaring die er al met dergelijke systemen is, maar kan zijn dat ik er veel te makkelijk over denk.

Verwijderd @thegve • 15 april 2008 09:52

De minister is Camiel Eurlings, maar de OV-kaart perikelen zijn voor zijn sidekick: staatssecretaris Tineke Huizinga

Little Penguin @wontcachme • 14 april 2008 22:38

De bedrijven kunnen kiezen:

Of nu op de pijnbank en een betrekkelijk onkraakbare chip (256+ bit sleutel en een publiek en controleerbaar versleutelingsalgoritme)
Of straks een verliespost omdat de beveiliging gekraakt is en crackers en andere criminelen met vervalste OV-chipkaarten gratis aan het reizen zijn...

Ik denk dat je beter nu een beetje pijn kunt lijden en straks een goed beveiligd product op de markt kunt zetten, dan dat je nu vlug even iets afmaakt...

N.B. 48-bit encryptie, ik weet niet welke maloot bij TNO bezig is met testen en beoordelen, maar dat is toch echt wel een versleutelingslengte die uit de tijd is...

RayNbow @Little Penguin • 14 april 2008 23:38

N.B. 48-bit encryptie, ik weet niet welke maloot bij TNO bezig is met testen en beoordelen, maar dat is toch echt wel een versleutelingslengte die uit de tijd is...

Sterker nog, ik heb me laten vertellen door m'n docent cryptografie dat je nog geen eens alle 2⁴⁸ keys hoeft te proberen. Ik ken de details niet, maar je kan op een of andere manier achterhalen waar de key zich ongeveer bevindt en dan hoef je maar een klein gedeelte van alle keys te proberen.

Ah... iets gevonden:

quote: http://www.bits-chips.nl/...dkoop-te-achterhalen.html
In Nohls beschreven aanval stuurt een hacker willekeurige boodschappen naar de lezer en onderschept de antwoorden. Normaal gesproken is daar niks mee te doen, maar de hackers ontdekten dat de waarde van de eerste bit in het antwoord sterk naar 1 leunt als een van de input-bits constant blijft in alle boodschappen. Door de andere bits te variëren en de gevolgen voor de uitkomst te meten, is statistische data te verzamelen over de sleutel. Op die manier zijn maximaal 32 bits te achterhalen van de 48 bits die de sleutel vormen. Doorgaans zijn enkele tientallen probeersels genoeg voor 12 bits. De overige 36 bits zijn dan met een brute-force-aanval binnen enkele minuten te kraken op een pc, of binnen 30 seconden op een FPGA.

vgroenewold @RayNbow • 14 april 2008 23:56

Ja en dat klinkt zo makkelijk, iedereen gaat dit nu voortaan doen... ook een beetje onzin natuurlijk. Zoals vaker is gezegd, je kan de chip met 192-bit beveiligen, er is altijd wel een manier om het geheel te kraken. Misschien kunnen de onderzoekers dan met een soldeer-trucje iets voor elkaar krijgen en dan hebben we weer de poppen aan het dansen, kunnen we weer wachten en zijn we duurder uit. Criminaliteit op dit vlak zullen we blijven houden, het merendeel van de reizigers zal gewoon betalen en het probleem lijkt mij dan best mee te vallen, moet ik daar dan als belastingbetaler nog meer voor betalen?

bartcramer @vgroenewold • 15 april 2008 00:13

Ja.

Het gemak waarmee het nu te kraken is, maakt het voor iedereen met een laptop mogelijk om de zaak te kraken. Mits voldoende encryptie gebruikt, zal iemand deboel ook wel kunnen kraken, maar alleen als er heel veel rekenkracht en expertise is. Dat maakt de onderneming een stuk onaantrekkelijker voor het gros, en zal het misbruik dusdanig verminderen, dat de schade voor de eerlijke betaler niet noemenswaardig is.

Het gaat er dus niet of het gekraakt wordt, maar hoeveel geld/moeite het kost om dat voor elkaar te krijgen.

Damic @bartcramer • 15 april 2008 07:18

mmhm is een PDA soms niet evenkrachtige of nog beter een ntx pc (Via iemand)

Rugzak => batterij + pda die via wifi of bluetooth met elkaar laten communiceren en gaan maar

laat die pc maar als cluster werken ofzo

Verwijderd @Damic • 15 april 2008 07:59

Het punt is, niemand gaat dat meer proberen als de encryptie te sterk is. Dat is gewoon zinloos. Bij een encryptie waarbij het mogelijk niet lang duurt voordat een key gekraakt wordt (zoals met behulp van een beetje gericht probeerwerk en vervolgens brute force), kun je verwachten dat mensen het proberen, en bij zo'n zwakke encryptie, er nog in slagen ook.

Denk ook even aan de DC projecten waaruit duidelijk moet worden hoe sterk encryptie hoort te zijn. RC5-56 is gekraakt binnen een jaar. RC5-64 binnen 5 jaar. Het algoritme is (volgens mij) hetzelfde, maar RC5-72 gaat een hele poos duren. De sterkte van de sleutel is zo belangrijk, terwijl de techniek er niet voor hoeft te veranderen. Een belachelijk sterke sleutel moet genoeg zijn om mensen het op te laten geven. Een project RC5-1024 zou best belachelijk worden natuurlijk.

vgroenewold @Verwijderd • 15 april 2008 09:52

Begrijp ik, ok de mate van encryptie is wel erg laag. Echter, RC5-72, wat nu als deze onderzoekers (want het lijkt wel of het hun baan is) mbv een computer netwerk (criminelen kunnen botnets oid gebruiken) aan de slag gaan. Is tegenwoordig vrij goed te doen mbv Internet, dan krijg je dat ook wel binnen een redelijke tijd gekraakt (laat het 2 jaar zijn met een uitgebreid netwerk), dan heeft men wellicht de sleutel om het vervolgens makkelijk uit te breiden en presenteert men het weer als zijnde ondeugdelijk. Ik bedoel, net als dat scannen van iemand zijn paspoort... waar trekken we de grens.

Punksmurf @vgroenewold • 15 april 2008 10:48

Dan ben je 2 jaar bezig en heb je 1 chipkaart gekraakt. Kijk, dat is dus totaal onpraktisch.

vgroenewold @Punksmurf • 15 april 2008 10:50

Ja, zat ik ook aan te denken, maar er is bij deze techniek dus niet zoiets als een "master-key" oid waarmee het daarna dus sneller kan?

Verwijderd @Verwijderd • 15 april 2008 13:50

Volgens de wet van moore is iedere vorm van encryptie binnen 18 maanden nog maar half zo sterk. (Ik weet niet of de wet van moore is aangepast voor de meerdere cores want dan gaat 't misschien nog sneller.)

bl0m5t3r @Verwijderd • 15 april 2008 20:06

De Wet van Moore stelt dat het aantal transistors op een computerchip door de technologische vooruitgang elke 18 maanden verdubbelt.

bron: wiki

dat is heel wat anders dan wat jij roept. zo heeft moore ook nooit gezegd dat elke 18 maanden de snelheid van processors or computers of wat dan ook verdubbelt.

MaffeMaarten @Little Penguin • 15 april 2008 09:26

N.B. 48-bit encryptie, ik weet niet welke maloot bij TNO bezig is met testen en beoordelen, maar dat is toch echt wel een versleutelingslengte die uit de tijd is...

Dat het zolang is goed gegaan is omdat het een geheim algorithme was.
Zoals ik het zie kan je dat zo vergelijken:

Mifrae Classic: "Ik heb als voordeursleutel een paperclip, nou heb je niet zoveel verschillinde vormen paperclips, dus het is niet moeilijk om de sleutel na te maken, maar niemand weet dat je in mijn systeem de sleutel de andere kant op draait en je de sleutel daarna nog even in moet drukken."

DESFire (met 3DES): "Iedereen weet precies hoe mijn slot werkt. Het is perfect gedocumenteerd welke kant mijn sleutel op draait en hoe ver. Alleen de baard van mijn sleutel heeft zoveel tandjes, dat het heel moeilijk is om deze sleutel na te maken."

[Reactie gewijzigd door MaffeMaarten op 22 juli 2024 23:23]

DiLDoG @Little Penguin • 15 april 2008 00:44

N.B. 48-bit encryptie, ik weet niet welke maloot bij TNO bezig is met testen en beoordelen, maar dat is toch echt wel een versleutelingslengte die uit de tijd is...

Ja dat was ook mijn eerste gedachte. Maar kennelijk is het nog vrij lastig om veel ingewikkeldere encryptie toe te passen met de beschikbare energie. 256+ bit RSA enz is dus niet echt een optie. (Of je moet die kaarten 'lang' stil gaan houden en/of dichter bij de lezer)

Reneger @DiLDoG • 15 april 2008 08:33

Er zijn kaarten in de Mifare famillie (DESFire) die gebruik maken van 3des encryptie. Ze zijn er wel, maar uit financieel oogpunt is er gekozen voor de goedkopere versie. Dat breekt de heren bij TLS nu op.

tvdijen @wontcachme • 14 april 2008 22:45

Het bedrijf wat het meest op de pijnbank ligt is denk ik wel NXP.
Die raken hun Mifare classic chips aan de straatstenen niet meer kwijt na dit relaas.

Ook het ministerie van VWS zal zich flink achter de oren krabben... Die zijn mooi in een marketing-truc van NXP getuind. En dat terwijl NXP echt wel geweten heeft dat er haken en ogen aan hun chip zaten...

Little Penguin @tvdijen • 14 april 2008 22:53

Ook het ministerie van VWS zal zich flink achter de oren krabben... Die zijn mooi in een marketing-truc van NXP getuind.

In hoeverre NXP verantwoordelijk is voor de keuzes die het bedrijf TLS maakt, dat is nog maar de vraag - natuurlijk zou het NXP sieren dat ze een chip met verouderde techniek niet meer willen leveren, maar als de klant er om vraagt...

Verder is het uitrollen van de OV-chipkaart niet de verantwoordelijkheid van het ministerie van Verkeer en Waterstaat, maar van de samenwerkende openbaar vervoer bedrijven - en ja, hopenlijk denken die de volgende keer wel heel goed na bij de keuze van het bedrijf dat zo'n opdracht mag uitvoeren - TLS heeft er gewoon een zooitje van gemaakt (mijns inziens).

(Ook wel grappig overigens, over de problemen bij de belastingdienst - wel een verantwoordelijkheid van de overheid zelf hoor je niet veel en in dit geval, waarbij de overheid niet* verantwoordelijk is wordt het ministerie er keer op keer bij gesleept)

*: Niet of niet direct, inmiddels heeft de politiek het in elk geval tot een speerpunt verheven waardoor de overheid er in elk geval zich meer is mee gaan bemoeien...

tvdijen @Little Penguin • 14 april 2008 22:58

Als je de website van TLS mag geloven is de Rijksoverheid weldegelijk betrokken bij de ontwikkeling van de OV-chipkaart.
http://www.translink.nl/c...uageID=NL&pageID=13[/url]

Huppie @Little Penguin • 15 april 2008 00:00

(Ook wel grappig overigens, over de problemen bij de belastingdienst - wel een verantwoordelijkheid van de overheid zelf hoor je niet veel en in dit geval, waarbij de overheid niet* verantwoordelijk is wordt het ministerie er keer op keer bij gesleept)

Hoewel een beetje offtopic:
Als je het wekelijkse vragenuurtje in de tweede kamer volgt had je geweten dat de staatssecretaris van Financiën, Jan Kees de Jager in het afgelopen half jaar al méér dan 10 keer is moeten op komen dagen om gezeik bij de belastingdienst te verklaren, het was de laatste keren dan ook zo dat vanuit de tweede kamer de vraag werd gesteld 'Hoe vaak meneer de Jager dit jaar nog van plan was langs te komen... of dat ie dit keer toch met iets structureels ging komen.'

BartS12 @tvdijen • 15 april 2008 16:21

Het bedrijf wat het meest op de pijnbank ligt is denk ik wel NXP.
Die raken hun Mifare classic chips aan de straatstenen niet meer kwijt na dit relaas.

Er zijn natuurlijk vele toepassingen, waar beveiliging niet of nauwelijks speelt. De toegang tot het magazijn van een klein bedrijfje. De koffie automaat op de gang van een ander bedrijf. Etc...

Zolang het aantal betrokkenen maar klein is, en de 'buit' heel beperkt c.q. lokaal, dan is dit een prima chipje.

Verwijderd @wontcachme • 14 april 2008 23:32

Pijnlijk voor de belastingbetaler bedoel je.

tweakerbee @Verwijderd • 15 april 2008 14:14

Ach, dan verhogen ze gewoon de benzineprijs, wegenbelasting en voeren ze rekeningrijden in. Probleem opgelost.
/sarcasme

Deephouse 14 april 2008 22:49

En dan te bedenken dat zo'n systeem al jaren in Singapore tot ieders tevredenheid werkt.

En zonder dat er persoonsgegevens op de kaart staan!

Atomsk 15 april 2008 00:17

Ze zouden eind dit jaar kunnen gaan testen met de Mifare plus chip die dan beschikbaar is voor testdoeleinden: http://webwereld.nl/artic...ge--mifare-plus-chip.html
Deze heeft stukken zwaardere beveiliging en is compatible met de Mifare classic. Misschien hoeven de detectiepoortjes dan niet te worden omgebouwd.

Het wordt hoe dan ook uitstel.

Op dit item kan niet meer gereageerd worden.

Brits advies aan kabinet: vervang ov-chip

Lees meer

IT-banen

Reacties (84)

Sorteer op:

Weergave: