OV chipkaart blijft verbazen

Eindelijk Pasen, dus wat meer tijd om eens 'bij te lezen' over security discussies in de pers. Altijd leuk omdat de discussies vaak ongenuanceerd en met weinig vakkennis worden gevoerd. Een discussie die onmiddellijk opvalt is de OV jaarkaart discussie. Iedereen wil het onderwerp gebruiken om zijn of haar organisatie nog eens in de schijnwerpers te zetten. Ook de Universiteit van Nijmegen ging zich met de populaire discussie bemoeien en deed haar duit in het discussiezakje (op het gebied van wegwerpkaartjes en toegangskaarten voor gebouwen) tot ergenis van de minister.

Wat is er aan de hand? Een student van van de University of Virginia, Karsten Nohl, ontwikkelt samen met Duitse collega's een methode om de 48 bits code van de MiFare Classic chip te kraken. Sensatie?? niet echt, hebben we niet al vele jaren geleden de 56 bits DES code als te zwak terzijde gelegd en ingeruild voor de 112 bits van 3DES of de nog langere sleutels van AES? NXP, de ontwikkelaar van de chip, heeft ook een beter beveiligde versie (wel 3x z duur) die o.a. 3DES en AES ondersteund.

Waarschijnlijk heeft de risico analyse van het OV chipkaart ontwikkelteam ingeschat dat het allemaal niet zo'n vaart loopt. Is dat terecht? Ik beschik niet over die risico analyse, maar verwacht dat de uitkomst daarvan niet teveel afwijkt van de TNO conclusies in het advies aan het ministerie. (Een overigens verbazend zwak resultaat voor 5 weken studeren, een uurtje surfen levert al meer detail. Maar er is een contra-expertise onderzoek gestart waar we in april meer van zullen horen. ) Wel is er al een plan ontwikkelt om de problemen beheersbaar te maken. Geen technisch plan, maar een typisch overheidsplan... meer mensen om afwijkende acties en bijzondere patronen te herkennen en als het toch fout gaat krijgt de gedupeerde zijn saldo teruggestort. (Na hoeveel telefoontjes, brieven en andere acties wordt er niet bijverteld.) En natuurlijk kan de kaart altijd geblokkeerd worden, een leuke ervaring als je ergens naar toe wilt en je OV kaart werkt niet meer omdat iemand anders deze gecloned heeft. Dit los van de consequenties van een ander fraai mechanisme, de auto reload. De auto-reload maakt het mogelijk dat er altijd voldoende saldo op je OV kaart aanwezig is, is het saldo te laag dan wordt dit automatisch met je bankrekening vereffend. Weliswaar moet je vooraf toestemming geven, maar ach niet iedereen zal de OV chipkaart discussie uitgebreidt volgen. Er is weliswaar geen risico dat iemand daar misbruik van maakt (althans ik heb deze nog niet kunnen bedenken.) maar wel lastig om je geld weer terug te krijgen en opletten geblazen. (Behalve je geboortedatum bevinden alle privacy gevoelige data zich in de interne systemen en niet op de OV chipkaart. Uiteraard geheel voorbereidt om je van extra post te voorzien middels direct-marketing na 2010 als de bestanden van de OV bedrijven zijn opgeschoond.)

Wat is er nu fout gegaan? Is de gekozen chip slecht, is het ontwikkel team in gebreke gebleven, of is dit de invloed van de tijd op de houdbaarheid van beveiligingsmiddelen? Ongenuanceerde aanvallen op NXP zijn er genoeg, zie bijvoorbeeld het artikel over het commentaar van Bruce Schneier. Maar is het NXP te verwijten dat het ontwikkelteam een product kiest met een 48 bits sleutel? Is het aan NXP te wijten dat er een keuze is gemaakt voor een kaart met een vast ID nummer dat tijdens de authenicatie wordt uitgewisseld? Dit soort chips wordt bijvoorbeeld ook in entree kaartjes voor evenementen gebruikt, toepassingen met een korte levensduur. Toepassingen zoals de OV chip kaart zijn er voor de lange termijn, en daarmee is de keuze voor een korte sleutel niet de meest logische. De tijd speelt altijd een rol, maar in dit geval lijkt het mij dat het ontwikkelteam het probleem had kunnen voorkomen (Althans als ik mag geloven dat de keuze niet is gemaakt op basis van financien.) door een kaart te kiezen met betere beveiligingseigenschappen.

Natuurlijk waren al deze tekortkomingen bij de fabrikant van de chip al bekend want de oplossing ligt al klaar in de vorm de Mifare Plus, een kaart die gebruik maakt van een 128 bits AES sleutel en ook de kaart ID gerandomiseerd verstuurd. (Uiteraard is op de kaart zelf nog steeds een unieke ID aanwezig om de kaart te kunnen koppelen aan de Naam, Adres, Woonplaats gegevens van de gebruiker.)

Als ik alle beveiligingsissues bijelkaar optel, dan ontstaat bij mij niet de indruk dat de beveiliging van het OV chipkaart project in goede handen is.