Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties

Een motie van wantrouwen die tegen staatssecretaris Huizinga was ingediend in verband met de problemen rond de gekraakte ov-chip heeft woensdag niet voldoende stemmen gekregen in de Tweede Kamer.

Tineke HuizingaTijdens het spoeddebat verklaarden Groenlinks, VVD, SP en PVV dat de ov-chipkaart failliet was en verweten de partijen de staatssecretaris van Verkeer en Waterstaat dat ze geen regie voert. Huizinga liet maandag zelf al weten er niet meer in te geloven dat de invoering van de chipkaart op 1 januari 2009 gaat plaatsvinden, nadat uit onderzoek van het Royal Holloway-instituut van de University of London naar voren was gekomen dat de ov-chip vervangen dient te worden.

Duitse hackers maakten in januari bekend de zogenaamde Mifare-chip gekraakt te hebben en inmiddels is duidelijk geworden dat dit in korte tijd en met goedkope apparatuur te realiseren is. Groenlinks en de SP vroegen een spoeddebat aan na de harde conclusie van het rapport.

"Er moet absoluut een nieuwe chip komen", sprak de staatssecretaris tijdens het debat en daarmee stemde ze in met onder andere de mening van kamerlid Wijnand Duyvendak van Groenlinks die binnen een week een plan van aanpak eiste. Duyvendak verklaarde bovendien geen vertrouwen meer in Huizinga te hebben en ook De Krom van de VVD, Madlener van de PVV en SP'er Roemer vonden dat de staatssecretaris niet de vereiste daadkracht had voor de invoering van de ov-chipkaart.

Logo ov-chipkaartDe staatssecretaris verklaarde namelijk geen overhaaste conclusies te willen trekken en eerst nog te willen overleggen met vervoersbedrijven en regionale overheden, die volgens haar "hun voordeel kunnen doen met de resultaten van de contra-expertise." Dit kwam haar op het verwijt te staan dat ze geen eigen visie had.

De coalitiepartijen, alsmede D66 en de SGP, vonden echter dat de soep niet zo heet gegeten diende te worden als zij werd opgediend. Zij vonden dat Huizinga de tijd moest krijgen om de kwestie goed af te handelen. "Misschien wordt de chipkaart wel een paar jaartjes later ingevoerd", aldus kamerlid Cramer van de Christenunie. Uiteindelijk kreeg de de motie van wantrouwen de steun van 62 van de 150 kamerleden, waarmee deze werd verworpen.

Gerelateerde content

Alle gerelateerde content (26)
Moderatie-faq Wijzig weergave

Reacties (88)

De hele problematiek is sterk verbonden met het draadloos willen uitlezen van de chip. Wanneer je die eis laat vallen is de kans op misbruik enorm veel kleiner omdat de houder dan een bewuste handeling doet door de pas in een automaat te steken. Een kwaadwillende kan pas dan iets proberen als hij de pas in bezit heeft.

Hoe groot zijn nou echt de voordelen van een draadloos uitleesbare pas? OK, het is handig wanneer je 'm niet tevoorschijn hoeft te halen, maar het is tien keer onhandiger wanneer je bij een poortje niet door kunt omdat een sleutelbos in de weg zit en je alsnog naar de pas moet gaan zoeken. Daarbij verlies je controle of en hoe vaak de pas wordt uitgelezen. Meerdere rfid-passen naast elkaar in een portomonnee - ik heb het nog niet zien werken.
Met het concept van contactloze pasjes en poortjes is niet zoveel mis, dat heeft zich overal ter wereld wel bewezen, op plekken waar het nog veel drukker is dan hier.
Oyster in Londen (ook gekraakt nu, dat wel), Octopus in Hong Kong (niet gekraakt, maar gebruikt een non-ISO standaard van Sony waardoor het niet samenwerkt met andere apparatuur). In de meeste skigebieden (minstens zo druk als het OV) werken contactloze passen inmiddels ook al jaren prima.

De beveiliging van dit project daarentegen, tsja...de basis van het probleem is dat de pasjes goedkoop moesten blijven. Een 3DES kaart kost iets van 2 euro per stuk ipv twee dubbeltjes voor de gekraakte Mifare Classic, en dat zou zeker wegwerpkaartjes te duur maken voor de burger. Misplaatste kostenbesparing dus.
Wat ik onbegrijpelijk vind is dat wij het wiel opnieuw wilen uitvinden. In hongkong bijvoorbeel hebben ze alleen zo'n draadloze chip. In londen ook trouwens.

Het probleem zal m er wel in zitten dat wij in nederland zo nodig op een andere manier de kosten willen berekenen. Per kilometer zelfs geloof ik. Gaat natuurlijk nergens over. Gewoon een vast bedrag voor het instappen in en bepaald voertuig en verder niet zeuren.

En als we dan toch zo nodig zelf iets moeten ontwikkelen waarom doen we dat niet samen met de nerderlandse banken? die willen op termijn ook een draadloos chip kaart betaal ding. Sla je twee vliegen in 1 klap: niewe chipknip die je ook in het ov kan gebruiken. Gewoon opladen bij het oplaad punt van de bank en geen gedoe met speciale OV credits ofzo.
In NL gebruiken we dezelfde chip als in Londen, die is dus ook gekraakt. De HK kaart is nog niet gekraakt, maar voldoet niet aan de ISO standaard dus viel buiten de boot. De problemen komen juist omdat ze het wiel NIET wilden uitvinden, ze hebben allemaal bestaande (en verouderde) techniek gebruikt. Het mocht nl weinig kosten.
Beste Trapoxia,

Dan hebben ze het in HK het veel beter aagepakt. Octopuscards limited heeft een banklicentie en werkt samen met de banken zodat je via machtigingen je octopuscard kan koppelen aan je bankrekening met de autoloadfunctie. Te weinig geld op je kaart ? Bij het eerste contactpunt (bijvoorbeeld betaalterminal bij de McDonalds of drankautomaat) wordt het saldo aangevuld tot een bepaald maximum. Veel gemakkelijker dan de onhandige chipknip. Waarom weer 2 verschillende systemen ?
Altijd leuk als problemen die al lange tijd spelen tot zo'n motie leiden

persoonlijk snap ik niet waarom er nu zo moeilijk wordt gedaan
-de huidige chip blijkt veel te makkelijk te kraken

waarom nemen we nu niet gewoon een chip die veel moelijker te kraken is, er zijn zat alternatieven. enige nadeel eraan is hogere prijs
maar wanneer dit direct was gedaan zaten we nu niet met inactieve systemen, die waarschijnlijk weer omgebouwd moeten worden

het enige waar ik de politici in gelijk geef, is het feit dat er niet daadkrachtig genoeg wordt opgetreden. De huidige ov-chip is gewoon niet te gebruiken, dus verspil er geen verdere moeite aan
volgens mij is het probleem dat er een probleem van gemaakt wordt. Als het een soort race wordt om de nieuwe ov-chipkaart te kraken kom je in een visueuze circel terecht waar je moeilijk uit komt. Opzich heb je helemaal niet zulke perfecte beveiliging nodig maar als de media elke keer ruchtbaarheid gaat geven aan elke hack, ja dan heeft de regering wel een probleem. Dan is niks goed genoeg.
"niks goed genoeg"? Tuurlijk wel. Met AES 128 bits of goede 3des encoding ga je met je laptopje echt niet ff honderden kaarten skimmen en on the fly kraken. En ook de komende jaren niet.

Wanneer je zoiets high-profile, als openbaar vervoer in het complete land. Laat afhangen van security trough obscurity dan is het gewoon wachten totdat iemand eens gaat uitzoeken hoe het nu precies in elkaar zit. En als er dan een 48 bits sleutel onder blijkt te zitten, dan is dat natuurlijk niet meer van deze tijd. Laat staan als er dan nog zwakheden in zitten die het effectief nog minder bits maken.

Met 3DES kun je gewoon op internet opzoeken hoe de beveiliging in elkaar steekt. Als je daarin zwakheden kunt vinden waarmee je het significant sneller kunt kraken, succes! Duizenden zijn je al voor gegeaan met proberen. Kunnen ze van deze propriatary spullen niet zeggen.

En om een goed voorbeeld te geven van hoe het wel kan: Ik heb nog geen pers artikel gelezen over "DE" kraak van de chipknip. En ik wil wel wedden dat 1 enkele praktische kraak daar nog veel meer media aandacht krijgt.

[Reactie gewijzigd door Turtle op 17 april 2008 00:48]

3DES heeft zwakheden waardoor het relatief simpel te kraken is. Vandaar dat het niet de officiele amerikaanse encryptie standaard geworden is. Is dus geprobeerd en afgetest. En de chipknip vereist een contact. Een stuk lastiger " praktisch" te klagen dan iets draadloos.
Onzin, 3DES wordt nog steeds als veilig beschouwd. Het "probleem" is dat het een erg traag algorithme is (onhandig voor in chipkaarten) en dat de sleutelgrootte niet makkelijk uit te breiden is.

Single DES is, door de te kleine keysize (56 bits) makkelijk te brute-forcen, maar ook daarvoor is nog steeds geen snellere kraaktechniek dan brute force beschikaar.
Welke zwakheden heeft triple-DES dan?
Volgens mij ligt het meer aan het gebruik van een goede random start vector en dat soort zaken. De encryptie zelf is niet het probleem.
Het probleem zijn de kosten, een 3DES kaart is veel duurder en zou dus de eenmalige wegwerpkaartjes veel duurder maken voor de burger. Daarom is voor die goedkope Mifare Classic gekozen, in NL mocht het weer eens niks kosten.

[Reactie gewijzigd door Dreamvoid op 17 april 2008 15:31]

de politiek..... dat zijn vage mensen ze roepen maar wat en willen van alles, maar als het erop aankomt zijn ze een zooitje ongeregeld.

De Ov-Chip is een totale flop, maar omdat er zoveel geld e ingestoken is mag/kan het niet floppen.
Het Ov-Chipkaartsysteem werkte toch al nooit goed, dit kwam voornamelijk doordat we hier in nederland zoveel uitzonderingen hebben mbt OV prijzen. In Engeland hebben ze dit ook al jaren, waarom wou Nederland nou opnieuw het wiel uitvinden?
Het wiel is helemaal niet opnieuw uitgevonden, dit systeem is bijna identiek aan het Engelse Oyster systeem, wat nu ook gekraakt is.

[Reactie gewijzigd door Dreamvoid op 17 april 2008 15:31]

Zo onzinnig om een motie van wantrouwen in te gaan dienen. Alsof dat de problemen rond dit issue gaat oplossen. Ik denk dat er op zich niks mis was met de eerste deadline, met het oog op het feit dat het systeem in Engeland al een tijd wordt gebruikt. Nou, nu blijkt dat het niet veilig is, en dus de deadline niet haalbaar is. Tja, zo gaat dat wel eens met projecten...
Motie van wantrouwen word ingediend wanneer iemand gefaald heeft en men geen vertrouwen heeft in de verdere afhandeling van de zaak. In dit geval een begrijpelijke zet.

De problemen rond de chipkaart bestaan nu al maanden en verschillende bronnen zijn er in geslaagd om steeds meer van de beveiliging te doorbreken. Als je dan eerst doet alsof er niets aan de hand is, daarna een bijkomende studie vraagt en nu laat verstaan dat je eerst nog verder wilt praten met anderen dan kan ik begrijpen dat sommige mensen geen vertrouwen hebben gezien de snelheid waarmee actie word ondernomen.
meerderheid wint ;)
als het je niet bevalt ga dan naar Rusland ofzo, of Amerika waar het nog veel erger is gesteld.

[Reactie gewijzigd door stewie op 17 april 2008 09:12]

Zo onzinnig is een motie van wantrouwen niet, omdat het haast de enige manier van een parlement is haar gerede onvrede te uiten over een bepaald issue of gang van zaken. Was de ov-chip een privaat project en Huizinga de projectleider geweest, dan had ze maanden geleden al bij het UWV gelopen.
Tja, zo gaat dat wel eens met projecten...
Als staatssecretaris mag ze 'heul' 'democratisch' lekker op het pluche blijven zitten, omdat een meerderheid even incapabele politieke medestanders dat blieven. That's democracy for ya! You like?
Helaas worden deadlines nogal eens ingesteld met een gebrek aan gezond verstand. Andere redenen zijn dan belangrijker: gezichtsverlies, bijvoorbeeld.
Aan de andere kant kan het ook goed zijn eindelijk ergens mee te beginnen, om bv te ondervinden hoe groot het probleem nu eigenlijk is. Te leren en versie 2 te maken met de ervaring van een (mindere) versie 1.
Ik kan echter nog steeds slecht inschatten of ik als gebruiker nu gevaar loop of niet.
Heh? En je lijdt geen gezichtsverlies met zulke miskleunen?

Persoonlijk zie ik dat als een goed teken als er iets uitgesteld moet worden, dat betekend meestal toch dat er mensen zijn die een goed product willen afleveren.
Ga eerst eens terug naar de basis....
Dat betekend dat er eerst eens een fatsoenlijke aanbesteding had moeten komen waaruit duidelijk was aan welke beveiligingseisen de kaart moet voldoen.
Er staan nu teveel open einden in die aanbestedingen waar de leverancier zich uit kan wringen zonder daarvan (financieel) de gevolgen hoeven te betalen voor zijn wan-product of dat er exorbitante budgetoverschreidingen plaatsvinden.
Het betrokken bedrijf heeft de gunning van de aanbesteding al gekregen, dus ze gaan gewoon opnieuw een product maken wat de klant weer mag gaan betalen.
Nu zijn er inmiddels vele miljoenen geinvesteerd en er is nog geen product voor terug gekomen als alleen eentje die zo de prullenbak in kan.
Wie gaat dat betalen?
Jaja.... WIJ met z'n allen!
je betaalt nu wel voor het onderzoek, true. Maar dat is beter dan dat straks 500.000 man een vervalste kaart gebruiken die per jaar al dat bedrag kost.

Wees blij dat het een stel white hackers waren die er mee naar voren kwamen, en niet zoals een stel roemenen die pinterminals wisten te hacken en die gewoon bij bedrijven installeerden voor skimming.

Dit zijn grote projecten, en ja daar gaat wel eens wat fouts mee. Vergeet niet dt dit een vrij complexe omgeving is. DIt gaat over een hele infrastructuur op nationaal niveau. Niet over iets op stads of regionaal niveau voor alleen metro, bus of trein route tesamen met hun validatie en opwaarderingssystemen. En je spreekt dan over zowel abonnementsvormen als enkeltjes en ws ook retourtjes.

Dan zit je toch al heel snel met diverse diciplines te werken en kan je als manager gewoon niet alle zaken zelf volledig beheersen. Dan moet je dus ook afgaan op informatie die leveranciers je overhandigen.

Tegelijkertijd is gebleken dat de staatssecretaris meer luistert naar berichten uit andere circuits. Ik herinner me nog een minister met de volgende uitspraak: 'Ik heb gelijk omdat ik dat zeg.' Met haar waren we er dus waarschijnlijk pas na de invoering heel pijnlijk achter gekomen. En had het project met schade een paar miljard gekost.

Sorry hoor, maar dit is als onderzoek, je zit soms op een verkeerd spoor en je kan geld in het onderzoek blijven pompen, of je gaat een andere kant op zoeken. Je moiet weten wanneer je de stekker er uit moet trekken, en je moet weten wanneer je door moet gaan. Risicoloos met dit soort projecten bestaat gewoon niet.

Andere miskleun? Rekening rijden. Maar staat gewoon in de ijskast tot het wel kan. Daar kwamen ze er bij het proefproject ook pas achter.....

@svdmeer
Met de huidige stand van zaken zijn de huidige strippenkaarten zo te vervalsen. Maar gelukkig niet echt goed winstgevend. De abo's vervalsen is veel interessanter.
Wees blij dat het een stel white hackers waren die er mee naar voren kwamen,
Daar ben ik het ook vooe 300% volledig mee eens!
Dit zijn grote projecten, en ja daar gaat wel eens wat fouts mee. Vergeet niet dt dit een vrij complexe omgeving is. DIt gaat over een hele infrastructuur op nationaal niveau. Niet over iets op stads of regionaal niveau voor alleen metro, bus of trein route tesamen met hun validatie en opwaarderingssystemen. En je spreekt dan over zowel abonnementsvormen als enkeltjes en ws ook retourtjes.
Juist daarom is het ook van essentieel belang om voor dit soort trajecten een goede voorbereiding te maken en een goede aanbesteding te maken.
Zodra er teveel gaten of onduidelijkheden in het bestek zitten ga je gedonder krijgen en kost het alleen bakken vol met geld.
Dan zit je toch al heel snel met diverse diciplines te werken en kan je als manager gewoon niet alle zaken zelf volledig beheersen. Dan moet je dus ook afgaan op informatie die leveranciers je overhandigen.
Je schijnt te vergeten dat een manager een project moet managen en zich niet teveel met techniek bezighouden. Daarvoor heeft hij:
a) interne expertise nodig
b) informatie van leveranciers
c) als er geen interne expertise is, dan moet hij die bij een 3e externe partij gaan halen (niet zijnde de leverancier! je gaat ook niet aan de bakker vragen of zijn brood lekker is)
Maar vooral het bestek maken is hierin van essentieel belang.
In het bestek moet je je ook niet gaan bezig houden met inhoudelijke techniek, maar je beperken tot eissen stellen mbt de veiligheid!
Voldoet de veiligheid niet naar bepaalde basisnormen (die dan wel gespecificeerd moeten zijn!) dan kan je daar de toeleverancier voor aansprakelijk houden en dat HIJ dit moet oplossen, en niet dat het een try-on-error project gaat worden die de klant alleen grote bakken geld kost en er niets voor terugkrijgt.
Tegelijkertijd is gebleken dat de staatssecretaris meer luistert naar berichten uit andere circuits. Ik herinner me nog een minister met de volgende uitspraak: 'Ik heb gelijk omdat ik dat zeg.'
Gevalletje: Niet gehinderd door enige kennis van zaken....

Zelfs toen het Radbout Universiteit het al had aangetoond werd het nog steeds ontkent / gebagetaliseerd (kosten voor hacken zou veel "te duur" zijn)
Pas nu wanneer er bekend is dat het met iedere willekeurige aldi-laptop (die toch van redelijke kwaliteit zijn) dit in een paar seconden gedaan kan worden en er uiteindelijk een rapport vanuit Engeland ligt komen ze tot de conclusie dat hier een verkeerde afslag genomen is.

Ik ben het met je eens: Niet alle projecten zijn feilloos.
Maar dit soort banale basisschoolfouten is gewoon ronduit te gek voor woorden.
Dit had voorkomen kunnen worden!
Met de huidige stand van zaken zijn de huidige strippenkaarten zo te vervalsen. Maar gelukkig niet echt goed winstgevend. De abo's vervalsen is veel interessanter.

Als je een strippenkaart al hebt vervalst zodat je onbeperkt kan stempelen, hoef je geen abo meer te vervalsen :) Net zoals in dit geval de wegwerpkaart: heb je die gekraakt, dan hoef je de (veel beter beveiligde) abo pas helemaal niet meer te kraken.
Sterker nog, dit hele systeem is pakweg 20 jaar terug (kan er qua jaren naast zitten) ontwikkeld in de tijd dat Nelie Smit Kroes nog staatsecretaris/minister van verkeer en waterstaat was. Dat was destijds volledig uitontwikkeld door Siemens, maar dan met magneetkaart, heette toen het "kaart ontwaarder systeem". Siemens had zelfs al een stuk grond gekocht bij Woerden om een fabriek neer te zetten om die dingen te produceren en te servicen.
Totdat het door steeds wijzigende eisen van de overheid uiteindelijk de prullenbak in ging.
Uiteraard heeft Siemens toen de staat een proces aangespannen om hun gemaakte kosten terug te eisen. Dat proces hebben ze uiteraard makkelijk gewonnen, en ook dat heeft ons de belasting betaler miljoenen gekost.

Ik heb alleen nog niets hierover op internet kunnen vinden, maar dit speelde toen internet uiteraard nog niet eens bestond.

/edit
typo

[Reactie gewijzigd door Sakura op 17 april 2008 09:07]

Maar goed dat dit project niet is doorgegaan, want een passief magneetkaart systeem is al helemaal simpel te vervalsen. Kaartjes klonen is zo gebeurd. Niet voor niets stapt elke bank inmiddels over naar de chip voor creditcards/etc: lang niet zo makkelijk te klonen als een magneetstripje.
Natuurlijk dekken de regenten van de PvdA deze minister, die erg naef is als het gaat om techniek. Er is helemaal niets mis met de huidige strippenkaart en treinkaartjes.
Techniek is iets heel moois, maar het moet niet doorslaan. Stations met poortjes en pasjes ontmenselijken het OV (geen menselijk contact meer) en daarmee onveilig. Om nog maar te zwijgen van de enorme gevolgen voor de privacy.
Ja de strippenkaart kun je ook kopieeren en als je 'm dan omvouwt (zodat het nieuwe glim randje niet zichtbaar is) dan zullen ook veel buschauffeurs hem stempelen.

Verder haal je wel iets moois aan, "geen menselijk contact meer", het besparen op arbeidskracht zou wel eens heel veel kunnen besparen, waardoor je de 'diefstal' misschien de eerste tijd maar voor lief moet nemen.

Verder ben ik het wel met je eens dat we om de privacy moeten denken!
Zoals ik van de RET begrepen heb, lopen zed oor dat ze nu de strippenkaart gebruiken zo'n 2,5 ton per maand mis aan de zwart rijders. Dit is voor de RET een rede om er niet mee te willen stoppen. Iets wat volgens mij goed op te lossen is door de pak kans te verhogen.

Zoals ik ik het allemaal hoor, lijkt het huidige OVchip systeem juist zwart rijders in de hand te werken, En is de constrole er op haast niet mogelijk.

.
Dat geld lopen ze mis door gebrek aan controle. Die controle hopen ze nu te automatiseren, zodat ze er geen (dure) mensen voor nodig hebben. Het nadeel van een geautomatiseerd systeem is wel dat je het maar n keer hoeft te kraken om altijd de controle te omzeilen, terwijl je met een gekopieerd kaartje elke keer opnieuw moet hopen dat de controleur er in trapt. Dat is de grote denkfout bij de overweging dit soort systemen in te voeren, denken dat het veilig is. Het is wel relatief veilig te maken, maar het zal altijd kraakbaar blijven. Zeker wanneer de techniek vordert zul je elke keer je systeem moeten updaten om het kraken onpraktisch te maken. Puur kostenbesparing is dan ook n van de slechtste redenen om dit soort systemen in te voeren. In plaats van controleurs moet je nu (dure) IT'ers hebben, die bovendien niet in de tram of de trein een sociale-controlefunctie kunnen uitoefenen zoals een controleur dat wel kan.
Voor 250.000 euro kun je vrij veel verrassingscontroles houden. En dan niet bij de haltes of bovenaan de trap bij het treinstation. Gewoon zoals ze het hier in Oostenrijk doen. Stuur wat controleurs in burger het openbaar vervoer in. Ik tref zo vaak een controleur dat zwartrijden sowieso al niet meer kan lonen. Overigens is het in Nederland in treinen wel redelijk goed gesteld met het zwartrijden; waarom? Omdat daar veel meer controleurs rondlopen!

Verder is het gewoon een mentaliteitsprobleem. Nederlanders zijn over het algemeen vrij asociaal en zelfzuchtig. In Oostenrijk kun je op zondag een krant kopen uit een zak aan een lantaarnpaal op vrijwel iedere hoek van de straat. Het geld deponeer je in een daartoe bestemd bakje. In Nederland zou iedereen toch gewoon een krant meenemen en het geld mooi in de pocket houden. Tja... dan is het niet meer dan logisch dat men de klant liever als vee gaat controleren en vervoeren.
"Tja... dan is het niet meer dan logisch dat men de klant liever als vee gaat controleren en vervoeren."

Nee, dan is controle-razzia's houden een minder mens-onterend idee...
tss...
Voor 250.000 euro heb je vijf man extra een jaar in dienst. Nou nou, de pakkans wordt dan wel een stuk groter :O

[Reactie gewijzigd door Dreamvoid op 17 april 2008 15:55]

50.000 per persoon per maand? :?

Volgens mij levert dit 60 man op, en dan gaat de pakkans wel aardig omhoog...
denk eerder dat dat bakje heel snel verdwenen is :+
Besparen? tot zover ik weet zijn de kaartjes alleen maar duurder geworden.
Besparing = minder banen, wat nooit goed is geweest voor welke economie dan ook.
Ze is geen minister maar Staatssecretaris.
Omdat ze over bepaalde onderwerpen wel de hoofdregie heeft mag ze zich in het "buiten"land wel als Minister "uiten".
Daarbij zit ze vast aan een document van de vorige minister van Verkeer en WatErStaat.

Op zich zou een nieuw systeem ook niet verkeerd zijn, maar dan "veilig", en niet net als nu, waar je bankpas in een NS_automaat geskimmed wordt, dat lijkt me voor de niet wakkere vroege reiziger erger dan een "gekraakte" OV pas.

En dan laat ik even het hele "markeeting" gebeuren van de OV partijen en de "privacy" buiten beschouwing.
Waarom zou de PvdA deze Minister (Staatssecretaris!) van de ChristenUnie dekken? Het is je misschien niet opgevallen maar de PvdA loopt niet constant als een hijgend schoothondje achter JPB & Co. aan.

(Ok, ze doen het helaas nog wel te vaak maar goed... En nee, ik stem gn PvdA!)
Ik ben het er wel mee eens dat ze niet een te vroege deadline voor dit systeem moeten instellen. Ze moeten misschien een andere technologie ontwikkelen die een stuk moeilijker te kraken is, en zeker meer dan 48-bits encryptie gebruikt. Een gehaast alternatief dat ook makkelijk gekraakt wordt is ook niet waar iedereen op zit te wachten. Het is namelijk niet zo fijn als iemand leuk op jou rekening kan reizen ;)
Even een kort vraagje, ik heb mezelf nooit verdiept in de wereld van encryptie. Maar het is toch bij elke RFID chip mogelijk om gewoon de gecodeerde data op te vangen en af te spelen?

Op di chip staat een pasnr, en dat wordt gecodeerd verzonden. Maar die code die wordt uitgestuurd is toch altijd hetzelfde? Want neem aan dat er geen CPU in de kaart wordt gebouwd om on-the-fly een nieuwe code genereren op basis van de input?

Of denk ik nu te simpel, of mis ik een aantal stappen :p ?
Er hoort gewoon helemaal *geen* data op de chip zelf te staan. Plaats gewoon een rfid chip op de kaart welke alleen zijn eigen ID doorgeeft.

Met de huidige chipkaart worden de gegevens redundant opgeslagen (zowel op de chipkaart als in een centraal systeem). Als ze nu de gegevens zoals bij pinautomaten alleen opslaan in een centrale database, valt er weinig te hacken.

En voor zover ik weet zijn er nog geen RFID writers op de markt. Chipkaart headers zijn in overvloed op de markt en voor 40 eurootjes haal je er een bij Conrad.

Voor metro en trein is dit geen probleem omdat daar de poortjes worden gebruikt. Voor bussen en trams ligt de zaak iets ingewikkelder omdat er dan toch een draadloze (beveiligde) verbinding nodig op het moment dat iemand de kaart scanned. Maar aangezien er ook al mobiele (pin) betaalautomaten zijn (o.a. albert en MediaMarkt bezorgservice gebruiken het), mag dat niet een ontzettend grote uitdaging zijn.
Er hoort gewoon helemaal *geen* data op de chip zelf te staan. Plaats gewoon een rfid chip op de kaart welke alleen zijn eigen ID doorgeeft.
Zodat als je dus een kopie hebt met diezelfde ID, je dus kunt rondreizen op het tegoed van een ander... dat was dus (deels) het probleem.
Dat zou je kunnen oplossen door een systeem wat bij elke keer aanmelden bij zo'n poortje een ander nr. meegeeft. Zoals TAN-codes bij de Postbank. Die lijst met codes is uniek voor elke kaart en bestaat uit een reeks niet voorspelbare getallen. Elke code wordt eenmalig gebruikt en je zou bijv. 1x per x dagen/weken/maanden de kaart in een apparaat moeten steken die dan de chipkaart van nieuwe 'TAN'-codes voorziet. Dat laatste is niet verplicht, maar is een manier om een grotere veiligheid te kunnen garanderen.
Ja, handig, dan steek je je illegale kaart in die automaat en krijg je de nieuwe TAN codes... en bedankt he.
En dat noem ik nou best slim verzonnen!
Het is inderdaad niet zo slim om het systeem client sided te maken.

Wat ik mij overigens ook al af vroeg, is de chip-knip al gekraakt? Dit is ook client side dacht ik.

En inderdaad, mobiele pin automaten bestaan ook al eventjes.
Ik weet bijna zeker dat er criminele organisaties zijn die de chipknip hebben gekraakt en er geld mee 'verdienen'. Aangezien er veel moeite wordt gedaan om bankbiljetten te vervalsen, lijkt me dit ook iets waar echt wel naar gekeken wordt.
De banken houden dit geheim zolang het in verhouding niet teveel kost.
zo makkelijk is dat niet, hoe lang denk je dat het duurt voordat alle data van de 40 in en uitstappende studenten is verzonden en verwerkt.? Precies, dat duurt veel te lang en als er ergens een hapering zit gaat het fout.

Het hele concept is fout en gaat veel te veel uit van de technologie. Het is niet zonder technologie te controleren en bij storingen loopt het systeem vast. (poortjes die weigeren, teveel afgeschreven tegoeden etc,etc,

Gewoon overboord gooien en nieuw concept bedenken kan wel eens veel goedkoper uitvallen dan nu door modderen
Want neem aan dat er geen CPU in de kaart wordt gebouwd om on-the-fly een nieuwe code genereren op basis van de input?
Dat kon je nog wel eens lelijk tegen (of eigenlijk: mee) vallen.

Natuurlijk zit er geen General Purpose Processor op een paar gigahertz in de OV chipkaart. Het hele concept is echter wel dat de kaart enige intelligentie bevat. Van de chipkip weet ik bijvoorbeeld dat hij zichzelf "kapot" maakt als hij vermoed dat iemand hem probeert te kraken.
Dat noemen ze een replay-attack. Er zijn mechanisme voor om dat voor voorkomen (bijvoorbeeld door een bepaald sequence nummer mee te nemen of de tijd van het verzenden van en bepaald bericht)

Hier zal ook binnen die RFID's rekening mee moeten worden gehouden.
In een fatsoenlijke RFID chip zit wel een CPU zodat een challenge-response systeem gebruikt kan worden...
De staatssecretaris verklaarde namelijk geen overhaaste conclusies te willen nemen en eerst nog te willen overleggen met vervoersbedrijven en regionale overheden, die volgens haar "hun voordeel kunnen doen met de resultaten van de contra-expertise." Dit kwam haar op het verwijt te staan dat ze geen eigen visie had.
Is er eindelijk iemand in de politiek die het gezond verstand heeft om naar de experts te luisteren (wat eigenlijk al voor de invoering gedaan had moeten worden) en dan is het weer niet goed... |:(

Teveel haast heeft tot al deze ellende geleid, en dat gaat niet met nog meer overhaaste beslissingen opgelost worden.
... om naar de experts te luisteren ...
... vervoersbedrijven en regionale overheden ...

Experts? Dit zijn nou net de mensen die deze hele fuck-up veroorzaakt hebben. Die mensen hebben net zoveel verstand van beveiliging als Huizinga, dus dit heeft helemaal geen zin. Ze moet gewoon met de vuist op tafel slaan, een echte expert erbij halen die wl weet hoe beveiliging werkt, en dan zeggen "z gaan we het doen, of we doen het niet", in plaats van nog maar eens te vragen van "goh, wat vinden jullie nu van deze hele toestand? Erg h?".

[Reactie gewijzigd door Iknik op 17 april 2008 07:22]

Na verloop van tijd is elke chip wel te kraken. Vervolgcontroles in het systeem moeten ons beschermen tegen misbruik. Ik gebruik de kaart al meer dan een jaar en ben zeer tevreden, twee keer niet uitgecheckt, even bij een balie langsgelopen, binnen 2 weken geld teruggestort.

Heb je zoveel zorgen om het systeem omdat het zo makkelijk te kraken is en/of dat het teveel gaat kosten, stem dan voor een partij die voor gratis openbaar vervoer is en zich daar ook keihard voor wil inzetten.

Een systeem waarbij van iedere Nederlander per maand b.v. EUR 10,00 van zijn loon wordt ingehouden voor 'gratis' openbaar vervoer heeft trouwens mijn voorkeur.
Voor 10 p/m teken ik ervoor, maar ik weet wel zeker dat je voor 10 x 12 x 10 miljoen werkenden = 1.2 miljard per jaar het OV niet draaiend krijgt (een lokale busdienst als Connexxion draait alleen al zo'n omzet), en al helemaal niet als men massaal onnodige reisjes met het nu al bomvolle OV gaat maken (het is immers gratis).

Bovendien, waarom zouden mensen die het OV niet gebruiken (dicht bij hun werk wonen bv) voor andermans reisjes mogen opdraaien? Reizen zou juist ontmoedigd moeten worden, niet aangemoedigd...

[Reactie gewijzigd door Dreamvoid op 17 april 2008 16:29]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True