OV-chip v2.0: veilig, open en privacyvriendelijk

De Nijmeegse Digital Security groep wil door de ontwikkeling van een alternatief ov-chipkaartsysteem laten zien dat het mogelijk is een ov-chipkaartsysteem te ontwerpen dat veilig, privacyvriendelijk en open is. De onderzoekers baseren hun systeem op een andere chip dan de Mifare Classic en herontwerpen bovendien de gehele softwareomgeving.

De Nijmeegse Digital Security groep werkt de komende anderhalf jaar onder leiding van professor Bart Jacos aan ‘OV-chip v2.0': een ov-chipkaartsysteem dat aan drie eisen gaat voldoen: een sterke cryptografische beveiliging van de hardware, een softwareomgeving die het reisgedrag van reizigers niet centraal opslaat en broncode die beschikbaar wordt gesteld via een open source licentie. De stichting Nlnet stelt hiervoor 150.000 euro beschikbaar.

Nieuwe hardware

De onderzoekers baseren dit experimentele ov-chipkaartsysteem niet op de Mifare Classic, die nu nog de kern vormt van de ov-chipkaart. In plaats daarvan wordt de nieuwe softwareomgeving gebaseerd op een rfid-chip die gebruik maakt van asymmetrische cryptografie. Dat betekent dat de Mifare Plus, die NXP in maart nog positioneerde als de gedoodverfde opvolger van de Mifare Classic en die door TLS als een serieuse vervanger wordt gezien, niet in aanmerking komt. De onderzoekers beperken hun keuze bovendien niet tot chips van NXP. Ook rfid-kaarten van concurrerende fabrikanten zoals het Duitse Infineon worden overwogen als basis voor een nieuwe softwareomgeving.

TLS

Of TLS in de toekomst gebruik gaat maken van dit nieuwe ov-chipkaartsysteem is onduidelijk, maar de organisatie stelt wel details beschikbaar aan de onderzoekers over de bestaande implementatie.

OV-chip v1.0: onveilig, zonder privacy en gesloten

Volgens de onderzoekers zijn er drie problemen met het huidige systeem. Het eerste probleem is alom bekend: er is een beveiligingsprobleem met de hardware, als gevolg van de cryptografische zwakte van de Mifare Classic. Het tweede probleem is minder bekend: er is een privacyprobleem met de software. Binnen de softwareomgeving die Translink Systems heeft geprogrammeerd wordt al het reisgedrag centraal opgeslagen. De privacy van reizigers is weliswaar op papier gegarandeerd, maar niet technisch. Het derde probleem dat de onderzoekers signaleren is de geslotenheid van de software. Doordat de broncode niet openbaar is, kan de cryptografie ervan niet door de gemeenschap van beveiligingsexperts (inclusief hackers) worden gecontroleerd.

Nieuwe software

De nieuwe softwareomgeving die de onderzoekers willen ontwikkelen garandeert de privacy van reizigers door de koppeling van verschillende databanken met cryptografie te beschermen. Daardoor wordt voorkomen dat het reisgedrag van individuen centraal moet worden opgeslagen. Desondanks kunnen nog steeds fraudeurs worden opgespoord en kunnen betalingen voor gereisde trajecten worden geïnd.

Basis voor een volgende generatie OV-chipkaart

"Met het falen van de eerste generatie OV-chipkaart in Nederland dreigt een enorme desinvestering," stelt Michiel Leenaars, directeur strategie van stichting NLnet en zelf fervent OV-reiziger. "Door de ontwikkeling in een open context over te doen, hopen we de basis te leggen voor een volgende generatie OV-chipkaart in Nederland die wel stand houdt en die het volledige vertrouwen van de consument kan dragen".