TNO: OV-chipkaart bijna gekraakt
TNO schat dat het nog een half jaar duurt voordat de OV-chipkaart daadwerkelijk gekraakt is. Het is echter nog onduidelijk hoe groot de consequenties van die kraak in de praktijk zullen zijn. In vervolgonderzoek wil TNO gaan bekijken of de beveiligingsmaatregelen die Translink heeft ingebouwd in de communicatie tussen pas en poortje voldoende zijn om de zwakke encryptie van de chip te compenseren.
In een eerste onderzoeksrapport stelt TNO dat de beweringen van de Amerikaan Karsten Nohl en de Zwitser Henryk Plötz behoorlijk betrouwbaar zijn. Deze beveiligingsonderzoekers beweerden op een hackerscongres eind december in Berlijn het encryptiealgoritme van Mifare Classic rfid-chip van NXP gekraakt te hebben. Deze chip vormt de kern van de OV-chipkaart.
Overtuigend bewezen
Volgens TNO zullen de onderzoekers op korte termijn het volledige encryptiealgoritme van de Mifare Classic van NXP in handen hebben, zelfs al hebben ze tot nu toe slechts delen ervan gepresenteerd. Dat maakt dat de sleutels op deze NXP-chip inderdaad via een 'brute kracht'-methode (waarbij alle mogelijke sleutels worden uitgeprobeerd) kunnen worden ontdekt, mede wegens de relatief korte sleutellengte van 48 bits.
Volgens TNO hebben de onderzoekers echter weinig bewijs gegeven voor hun claim dat het algoritme cryptografisch zwak is, waardoor de sleutels ook via cryptanalyse achterhaald zouden kunnen worden. Daarentegen hebben de onderzoekers volgens TNO wel overtuigend bewezen dat de toevalsgetallen die de kaart genereert voorspeld kunnen worden.
Communicatie tussen pas en poortje
Dat deze ontdekkingen de Mifare Classic per definitie ongeschikt maken voor gebruik in het openbaar vervoer is volgens TNO echter te kort door de bocht. De aangetoonde zwakheden zouden volgens TNO theoretisch voldoende opgevangen kunnen worden door andere mechanismen, zoals bijvoorbeeld het weigeren van bepaalde kaarten op basis van fraudedetectie.
Of de aanvullende beveiligingsmechanismen die Translink Systems heeft ingebouwd in de communicatie tussen pas en poortje voldoende zijn wil TNO in vervolgonderzoek bekijken.
Vooralsnog geen frauderisico
Op dit moment bestaat er volgens TNO nog geen frauderisico, omdat de onderzoekers hun machine voor het kraken van sleutels via 'brute kracht' nog niet afgebouwd hebben. TNO schat dat er nog ongeveer een half jaar voorbij zal gaan voordat het zover is. Bovendien wordt de situatie pas echt gevaarlijk nadat de onderzoekers hun volledige conclusies gepubliceerd hebben.Translink gaf opdracht
TNO heeft dit spoedonderzoek uitgevoerd in opdracht van Trans Link Systems. TNO heeft in de afgelopen jaren in opdracht van Trans Link Systems al eerder analyses uitgevoerd van de technische beveiliging van het OV-chipkaartsysteem.| Trans Link Systems Trans Link Systems is opgericht door de vijf grootste OV-bedrijven om één elektronisch betaalsysteem in het Nederlandse openbaar vervoer te realiseren: de OV-chipkaart. |
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 Misys en Temenos willen fuseren
10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
18-11-10 'Database-architect vergeet belang burger'
11-02-10 TLS had weinig keus bij nieuwe OV-chip
11-02-10 6,7 miljoen euro voor nieuwe chip in OV-kaart
22-10-09 BancTec verwerkt formulieren OV-chipkaart
02-07-09 Softwarefout veroorzaakt OV-oplaadproblemen
28-10-08 'Kwantumcryptografie is nutteloos'
18-09-08 Overheid had OV-chipkaart meer moeten sturen
02-06-08 OV-chipkaart krijgt op termijn andere chip
16-04-08 'Opvolger OV-chip is niet gekraakt'
15-04-08 Zwakte van OV-chipkaart is geheime algoritme
12-03-08 'OV-chipkaart kraken loont niet'
03-03-08 Chip in OV-chipkaart mag voorlopig blijven
24-01-08 Australiërs trekken stekker uit ov-chipkaart
18-01-08 Huizinga overleeft ov-chipkaartdebat
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
Als ik nu een programma'tje zou schrijven a la het Distributed Computing project dan is binnen een paar weken die sleutel gekraakt door het werk door tienduizenden computers tegelijk te laten doen. Naar mijn mening is die beveiliging dus *COMPLEET* onderuitgehaald.