| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
security / Nieuws
Gekraakte NXP-chip is kern van OV-chipkaart
De gekraakte chip van Philips' voormalige chipdivisie NXP blijkt verwerkt in de Nederlandse ov-chipkaart. Chipproducent NXP ontkende gisteren nog tegenover Computable dat de kraak van het encryptie-algoritme in deze Mifare-chip een beveiligingsprobleem is.
Op het Chaos Communication Camp in Berlijn maakten twee Duitse hackers eind december bekend dat ze het versleutelingsalgoritme van een bepaald type rfid-chip van NXP konden kraken. Nu blijkt dat de Mifare-chip onderdeel is van de ov-chipkaart.
Op de officiële website van de ov-chipkaart staat in een FAQ-lijst als antwoord op de vraag 'Is de ov-chipkaart beveiligd?': "Ja, omdat de OV-chipkaart producten met potentieel hoge waarde omvat, is ervoor gekozen om met een chip te werken die standaard al over een hoog beveiligingsniveau beschikt (Mifare). Daarnaast zijn er extra maatregelen genomen, zowel in de applicatie op de kaart als in de apparaten op de perrons en in de voertuigen."
NXP had gisteren juist in een officiële verklaring aan Computable gemeld dat de gekraakte Mifare rfid-tag niet bedoeld is voor gebruik binnen omgevingen 'die hoge beveiligingseisen stellen'. De Mifare-chip, die door de Duitse hackers is gekraakt, wordt volgens NXP niet gebruikt 'in elektronische paspoorten, bank- of autobeveiligingssystemen. NXP ontraadt het gebruik van de Mifare-tag in dit soort omgevingen.' Volgens NXP wordt de tag vooral gebruikt voor zaken zoals 'kaartjescontrole' en wordt de chip in die gevallen geïntegreerd binnen een meerlaags beveiligingssysteem.
Geheime sleutels
NXP bestrijdt daarnaast dat de twee Duitse hackers daarmee hebben aangetoond dat er een beveiligingsprobleem bestaat met deze tags. In een verklaring stelt NXP onder andere: "Het cryptografisch algoritme is voor een deel ontdekt, maar de onderzoekers hebben gefaald om de geheime sleutels van de chip te achterhalen. Het enkel openbaarmaken van zo'n algoritme is nog geen beveiligingsprobleem, omdat volgens goed cryptografisch gebruik de sterkte van een versleuteling bepaald wordt door de geheime sleutels en niet door het algoritme zelf."
Hackers Karsten Nohl en Henryk Plötz achterhaalden de werking van deze Mifare tag door deze in vijf lagen te snijden en onder een optische microscoop te fotograferen.
-
NXP raadt gebruik van Mifare Classic af
- Gekraakte chip geeft toegang tot kazerne
- Overheid had OV-chipkaart meer moeten sturen
- OV-chipkaart krijgt op termijn andere chip
- 'Opvolger OV-chip is niet gekraakt'
- Zwakte van OV-chipkaart is geheime algoritme
- NXP: Neem contact op met system integrator
- Gekraakte Mifare-chip zit in toegangspas Rijksgebouwen
- 'OV-chipkaart kraken loont niet'
- NXP boekt meer winst en omzet
- Chip in OV-chipkaart mag voorlopig blijven
- Australiërs trekken stekker uit ov-chipkaart
- Huizinga overleeft ov-chipkaartdebat
- Chip in OV-dagkaart is eenvoudig te kopiëren
- Puber ontspoort trams met afstandsbediening
- Tweede Kamer wil spoeddebat over OV-chipkaart
Over het nawauwelen van De Volkskrant:
zie http://www.computable.nl/nieuws.jsp?rubriek=250449&id=2274876 en http://www.computable.nl/nieuws.jsp?rubriek=250449&id=2270889 en vergelijk dat met http://www.volkskrant.nl/economie/article492709.ece.
Klopt - dit is een juiste afweging. Vergeet echter niet dat de waarde van een abonnement (die op dezelfde kaart wordt bijgeschreven) behoorlijk kan oplopen.
Ook het her-opladen van kaarten voor eenmalig gebruik kan een leuke handel worden en dan maken vele kleintjes wel grote bedragen.
De OV-kaart lijkt me een toepassing waarbij relatief veel mensen (de notoire zwartrijders) bereid zijn om $100 en een week te investeren in het maken van een eigen kaart.
Als dat echt kan, is dat een groot probleem voor de OV kaart.
Ik zou nooit een koppeling maken met een bankrekeningnummer want met een Mifare-sniffer (met de juiste software) in je tas kun je straks elke OV-chipkaart bij je in de buurt lezen!
- 15:10 PinkRoccade maakt TSS stabieler en breder
- 15:18 Hitachi haakt aan op SSD Intel
- 12:45 ASML vreest kaalslag chipsector
- 17:19 Oud-directeur van Getronics leidt Inter Access
- 16:26 Banometer: Vraag naar hoofd applicatiebeheerder
- 11:38 'Stoppen met BPO door Ordina is verstandig'
- 11:32 Banometer: Vooral vraag naar hoofd...
- 11:26 Apple raadt antimalware aan voor Mac
- 10:20 Tijdsplanning ICT-projecten rammelt
- 10:40 EU-bestrijding cybercrime is vijfjarenplan
Meer Security
Security 3.0: de nieuwste generatie beveiligingsoplossingen (klad)
Het gebeurt nog te veel dat ondernemingen zich slechts beveiligen tegen problemen die zich reeds hebben voorgedaan, waardoor er een onbetrouwbaar systeem van controls ontstaat. Deze whitepaper licht ontwikkelingen in beveiligingsoplossingen toe en gaat daarbij met name in op de nieuwste generatie...... Download nu
Security èn toegevoegde waarde met een goede secure desktop solution
De toegenomen mobiliteit van medewerkers en de bijbehorende wens om overal te kunnen communiceren, maar ook overheidsmaatregelen voor informatiemanagement compliceren de rol van IT-afdelingen. Deze whitepaper belicht geïntegreerde security-oplossingen die niet alleen hun primaire taak goed...... Download nu
Meer Security whitepapersComputable Events Security
Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
SonicWALL beveiliging voor EBS en SBS
28-11 12:07 SonicWALL, specialist in de beveiliging van netwerkinfrastructuur, kondigt Email Security en Network Security Appliance voor Windows Small Business Server (SBS) en Essential...
Meer security productenTransparante systeemtoegang voor 17.000 UWV-medewerkers
16-07 11:15 Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...
Meer security praktijkLege stoelen bij Pinewood
13-11 09:48 Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...
Meer security achtergrondECM onmisbaar in het 'nieuwe werken'
02-12 12:42 Het nieuwe werken wordt in steeds meer bedrijven toegepast. Mondiale intergratie, opkomst van de digitale revolutie, toenemende vergrijzing, continue connectiviteit en overheids-...
Meer security opinieBekijk de leveranciers op het gebied van Security.
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media
http://events.ccc.de/congress/2007/Fahrplan/track/Hacking/2378.en.html
Als je een week de tijd neemt kun je een code kraken - en dat is voor de meeste mensen toch wel erg veel tijd om een enkele code te achterhalen. De auteurs zeggen niet dat de beveiliging gekraakt is, maar dat ze nu weten hoe het systeem werkt. Dat is niet hetzelfde.
Kartsen en Henryk geven zelf aan dat het systeem geschikt is voor kleine betalingen, maar niet voor de hoogwaardigste beveiliging die vereist is voor een paspoort of zelfs een bankkaart.
Een betere beveiliging kost meer geld en dat staat waarschijnlijk niet in verhouding tot de relatief geringe bedragen die je bij reizen gebruikt. No big deal. Het feit dat andere mensen in staat waren drukwerk te vervaardigen heeft de gewone buskaart ook nooit in de weg gestaan. Pas als veel mensen de sleutels eenvoudig en snel kunnen achterhalen is er reden tot paniek.
Tjonge, wat proberen we zo'n ov-kaart toch weer belangrijk te maken.