Zwakte van OV-chipkaart is geheime algoritme
Het CRYPTO1-algoritme dat is gebruikt in de Mifare Classic (de rfid-chip die de kern vormt van de ov-chipkaart) is geen goed algoritme. Dat komt vooral omdat het algoritme geheim is. Ook is de lengte van de sleutel te kort. Dat zeggen Britse wetenschappers na een contra-expertise.
Het grootste probleem van de Mifare Classic is dat het beveiligingsalgoritme ervan geheim is. Dat schrijft de Royal Holloway University of London (RHUL) in het rapport 'ov-chipkaart counter expertise'. Zowel de lezer als de kaart gebruiken een geheim algoritme, namelijk CRYPTO1.
Staatssecretaris Tineke Huizinga van Verkeer laat, naar aanleiding van het onderzoek van RHUL, in een brief aan de Tweede Kamer weten dat zij zich afvraagt of de invoerdatum van de ov-chipkaart op 1 januari 2009 nog wel gehaald kan worden. Zij heeft TransLinkSystems (TLS), verantwoordelijk voor de invoering van de ov-chipkaart, en de deelnemende ov-bedrijven hierover vragen gesteld.
Geheim
Het nadeel van een geheim algoritme is dat de gemeenschap van beveiligingsonderzoekers niet mee kan denken over de vraag of de beveiliging voldoende is. "Het is een breed geaccepteerde best practice dat in cryptografische systemen alleen algoritmen worden gebruikt die openlijk door cryptografische deskundigen zijn geëvalueerd", schrijven de onderzoekers in het rapport. Marc Witteman, oprichter en chief technology officer van het Delftse bedrijf Riscure, zei in januari al tegen Computable dat goede cryptografie publiek is.Ook is de lengte van de sleutel die het algoritme gebruikt volgens de onderzoekers te kort. De sleutel heeft een lengte van 48 bits. Er zijn dus 2 tot de macht 48 mogelijke sleutels. Met de computerapparatuur van tegenwoordig is een dergelijke sleutel makkelijk te kraken, aldus RHUL.
De onderzoekers van RHUL stellen dat een alternatieve chip voor de ov-chipkaart getest moet zijn door cryptografische experts. Ook mag de chip niet gebaseerd zijn op een geheim algoritme en moet het voldoende lange veiligheidssleutels bevatten.
Floort, 15-04-2008 12:33
Jelle, 15-04-2008 12:40
Een sleutel van 48 bits. 2^48 is nog altijd 281474976710656.
Dat is wel is meer dan 248.
Of maak ik hier een fout?
Jan, 15-04-2008 13:37
Ik zie het getal 248 nerens in het artikel, wel de uitdrukking '2 tot de macht 48'. En dat is mijns inziens hetzelfde als 2^48 ...
Anoniem, 15-04-2008 13:50
Lezer, 15-04-2008 19:53
Het artikel is natuurlijk aangepast nadat Floort en Jelle dit opmerkten.
Dat lijkt me wel zo waarschijnlijk.
Of maak ik hier een fout?
Rian van Heur, 16-04-2008 7:39
13-02 Ordina rondt integratie Oracle EBS bij EL&I af
13-02 Perfectview levert CRM-systeem aan Gelderland
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'KPN koppelt ID aan internetverkeer'
09-02 'Ook met cookiewet is gebruiker niet anoniem'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
11-02-10 TLS had weinig keus bij nieuwe OV-chip
11-02-10 6,7 miljoen euro voor nieuwe chip in OV-kaart
22-10-09 BancTec verwerkt formulieren OV-chipkaart
03-07-09 Oplaadautomaat vertraagt OV-chipkaart opnieuw
02-07-09 Softwarefout veroorzaakt OV-oplaadproblemen
29-10-08 Productie Mifare Classic gaat door
18-09-08 Overheid had OV-chipkaart meer moeten sturen
11-08-08 MIT moet RFID-hack stilhouden
15-07-08 AIVD wil Mifare-chip niet in Rijkspas
08-07-08 NXP dagvaardt Nijmeegse onderzoekers
02-06-08 OV-chipkaart krijgt op termijn andere chip
16-04-08 'Opvolger OV-chip is niet gekraakt'
14-03-08 NXP: Neem contact op met system integrator
12-03-08 'OV-chipkaart kraken loont niet'
03-03-08 Chip in OV-chipkaart mag voorlopig blijven
18-01-08 Huizinga overleeft ov-chipkaartdebat
17-01-08 TNO: OV-chipkaart bijna gekraakt
14-01-08 Kraak NXP-chip maakt identiteitsroof mogelijk
09-01-08 Tweede Kamer wil spoeddebat over OV-chipkaart
08-01-08 Gekraakte NXP-chip is kern van OV-chipkaart
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media