Gekraakte NXP-chip is kern van OV-chipkaart
De gekraakte chip van Philips' voormalige chipdivisie NXP blijkt verwerkt in de Nederlandse ov-chipkaart. Chipproducent NXP ontkende gisteren nog tegenover Computable dat de kraak van het encryptie-algoritme in deze Mifare-chip een beveiligingsprobleem is.
Op het Chaos Communication Camp in Berlijn maakten twee Duitse hackers eind december bekend dat ze het versleutelingsalgoritme van een bepaald type rfid-chip van NXP konden kraken. Nu blijkt dat de Mifare-chip onderdeel is van de ov-chipkaart.
Op de officiële website van de ov-chipkaart staat in een FAQ-lijst als antwoord op de vraag 'Is de ov-chipkaart beveiligd?': "Ja, omdat de OV-chipkaart producten met potentieel hoge waarde omvat, is ervoor gekozen om met een chip te werken die standaard al over een hoog beveiligingsniveau beschikt (Mifare). Daarnaast zijn er extra maatregelen genomen, zowel in de applicatie op de kaart als in de apparaten op de perrons en in de voertuigen."
NXP had gisteren juist in een officiële verklaring aan Computable gemeld dat de gekraakte Mifare rfid-tag niet bedoeld is voor gebruik binnen omgevingen 'die hoge beveiligingseisen stellen'. De Mifare-chip, die door de Duitse hackers is gekraakt, wordt volgens NXP niet gebruikt 'in elektronische paspoorten, bank- of autobeveiligingssystemen. NXP ontraadt het gebruik van de Mifare-tag in dit soort omgevingen.' Volgens NXP wordt de tag vooral gebruikt voor zaken zoals 'kaartjescontrole' en wordt de chip in die gevallen geïntegreerd binnen een meerlaags beveiligingssysteem.
Geheime sleutels
NXP bestrijdt daarnaast dat de twee Duitse hackers daarmee hebben aangetoond dat er een beveiligingsprobleem bestaat met deze tags. In een verklaring stelt NXP onder andere: "Het cryptografisch algoritme is voor een deel ontdekt, maar de onderzoekers hebben gefaald om de geheime sleutels van de chip te achterhalen. Het enkel openbaarmaken van zo'n algoritme is nog geen beveiligingsprobleem, omdat volgens goed cryptografisch gebruik de sterkte van een versleuteling bepaald wordt door de geheime sleutels en niet door het algoritme zelf."
Hackers Karsten Nohl en Henryk Plötz achterhaalden de werking van deze Mifare tag door deze in vijf lagen te snijden en onder een optische microscoop te fotograferen.
Johannes van Bentum Computable, 08-01-2008 16:30
Over het nawauwelen van De Volkskrant:
zie http://www.computable.nl/nieuws.jsp?rubriek=250449&id=2274876 en http://www.computable.nl/nieuws.jsp?rubriek=250449&id=2270889 en vergelijk dat met http://www.volkskrant.nl/economie/article492709.ece.
Don van Riet mgt consult ICT, 08-01-2008 17:17
Frans, 08-01-2008 18:04
Klopt - dit is een juiste afweging. Vergeet echter niet dat de waarde van een abonnement (die op dezelfde kaart wordt bijgeschreven) behoorlijk kan oplopen.
Ook het her-opladen van kaarten voor eenmalig gebruik kan een leuke handel worden en dan maken vele kleintjes wel grote bedragen.
Maarten, 08-01-2008 22:22
De OV-kaart lijkt me een toepassing waarbij relatief veel mensen (de notoire zwartrijders) bereid zijn om $100 en een week te investeren in het maken van een eigen kaart.
Als dat echt kan, is dat een groot probleem voor de OV kaart.
Rinus van Vliet, 09-01-2008 11:37
George, 13-01-2008 21:50
theo, 15-01-2008 15:24
Ik zou nooit een koppeling maken met een bankrekeningnummer want met een Mifare-sniffer (met de juiste software) in je tas kun je straks elke OV-chipkaart bij je in de buurt lezen!
10-02 Complexiteit elimineren met Backup Exec 2012
10-02 Avocent van Emerson beheert datacenter
09-02 Talk & Vision biedt Personal Video in de cloud
08-02 Blue Coat MACH5 kan versleutelde Flash Video aan
08-02 Interoute breidt service uit met Virtual Data...
07-02 iPad app Teamcenter AppShare deelt desktop
06-02 Netgear introduceert Intelligente Edge-switches
03-02 Siemens PLM Software introduceert Jack 7.1
02-02 CommVault breidt Simpana-software verder uit
02-02 LaCie 5big Office back-up-oplossingen voor MKB
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
08-09-10 TLS kiest systeemintegrator voor OV-chipkaart
20-08-10 NXP levert 60 miljoen chips voor Duitse ID-kaart
11-02-10 TLS had weinig keus bij nieuwe OV-chip
02-07-09 Softwarefout veroorzaakt OV-oplaadproblemen
13-10-08 NXP raadt gebruik van Mifare Classic af
13-10-08 Gekraakte chip geeft toegang tot kazerne
18-09-08 Overheid had OV-chipkaart meer moeten sturen
02-06-08 OV-chipkaart krijgt op termijn andere chip
16-04-08 'Opvolger OV-chip is niet gekraakt'
15-04-08 Zwakte van OV-chipkaart is geheime algoritme
14-03-08 NXP: Neem contact op met system integrator
13-03-08 Gekraakte Mifare-chip zit in toegangspas Rijksgebouwen
12-03-08 'OV-chipkaart kraken loont niet'
04-03-08 NXP boekt meer winst en omzet
03-03-08 Chip in OV-chipkaart mag voorlopig blijven
24-01-08 Australiërs trekken stekker uit ov-chipkaart
18-01-08 Huizinga overleeft ov-chipkaartdebat
15-01-08 Chip in OV-dagkaart is eenvoudig te kopiëren
11-01-08 Puber ontspoort trams met afstandsbediening
09-01-08 Tweede Kamer wil spoeddebat over OV-chipkaart
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
Computable Events - Security
Computable organiseert verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
http://events.ccc.de/congress/2007/Fahrplan/track/Hacking/2378.en.html
Als je een week de tijd neemt kun je een code kraken - en dat is voor de meeste mensen toch wel erg veel tijd om een enkele code te achterhalen. De auteurs zeggen niet dat de beveiliging gekraakt is, maar dat ze nu weten hoe het systeem werkt. Dat is niet hetzelfde.
Kartsen en Henryk geven zelf aan dat het systeem geschikt is voor kleine betalingen, maar niet voor de hoogwaardigste beveiliging die vereist is voor een paspoort of zelfs een bankkaart.
Een betere beveiliging kost meer geld en dat staat waarschijnlijk niet in verhouding tot de relatief geringe bedragen die je bij reizen gebruikt. No big deal. Het feit dat andere mensen in staat waren drukwerk te vervaardigen heeft de gewone buskaart ook nooit in de weg gestaan. Pas als veel mensen de sleutels eenvoudig en snel kunnen achterhalen is er reden tot paniek.
Tjonge, wat proberen we zo'n ov-kaart toch weer belangrijk te maken.