Krakers OV-chipkaart mogen publiceren

18-07-2008 14:12 | Door Johannes van Bentum | Lees meer artikelen over: Mifare | Lees meer over het bedrijf: NXP | Er zijn 2 reacties op dit artikel | Permalink
ov-chipkaart

Onderzoekers van de Radboud Universiteit in Nijmegen mogen publiceren over de gebrekkige beveiliging van de Mifare Classic-chip van fabrikant NXP. Dat heeft de rechtbank in Arnhem in kort geding bepaald. De chip wordt onder andere gebruikt in de OV-chipkaart en toegangspassen voor overheidsgebouwen.

De Nijmeegse onderzoekers die de ov-chipkaartlezers kraakten, mogen over hun ontdekking publiceren. Dat bepaalt de rechtbank in Arnhem in een kort geding van chipfabrikant NXP tegen de onderzoekers. Met de uitspraak vervalt het spreekverbod dat de rechter de onderzoekers tijdelijk oplegde. NXP spande het kort geding aan tegen professor Bart Jacobs van de Nijmeegse Digital Security-groep.

De Digital Security-groep wil in oktober op een congres in Spanje een wetenschappelijk onderzoek presenteren over de tekortkomingen van de Mifare Classic-chip. Het verslag van de onderzoeksbevindingen is inmiddels geaccepteerd voor publicatie in een wetenschappelijk tijdschrift.

Maatschappelijk belang

De onderzoekers beriepen zich met succes op de vrijheid van meningsuiting. De rechter oordeelde dat het bekendmaken van de manco’s van de chip een groot maatschappelijk belang dient. Hierdoor kunnen maatregelen worden genomen tegen de risico’s van het beveiligingslek in de chip.

Dat op korte termijn veiligheidsrisico’s zouden dreigen door publicatie van de gebreken in de chip, is volgens de rechter niet overtuigend aangetoond. “De schade die NXP oploopt is niet het gevolg van publicatie van het artikel, maar van het produceren en verhandelen van een chip die gebreken blijkt te hebben, wat de eigen verantwoordelijkheid van NXP is”, stelt de rechter in zijn vonnis.

OV-chip v2.0

De Nijmeegse Digital Security-groep werkt de komende anderhalf jaar onder leiding van professor Bart Jacobs aan ‘OV-chip v2.0', een ov-chipkaartsysteem dat aan drie eisen gaat voldoen:

  • een sterke cryptografische beveiliging van de hardware
  • een softwareomgeving die het reisgedrag van reizigers niet centraal opslaat en
  • een broncode die beschikbaar wordt gesteld via een opensourcelicentie.
NXP produceert de Mifare Classic-chip sinds 1995. Wereldwijd zijn ongeveer één miljard exemplaren afgezet, voor gebruik in toegangspassen voor gebouwen en in het openbaar vervoer.

 

Reacties op dit artikel
Geen ratingNiels, 18-07-2008 15:56
Mooi, een 13 jaar oud beveiligingsproduct blijven verkopen moet gewoon gestraft worden.
 
Tijd om je aandelen te verkopen :-)
Geen ratingFokke Zijlstra, 21-07-2008 0:09
Gelukkig een rechter die snapt waar het om gaat en duidelijk inziet waar de oorzaak ligt.
 
Bij de fabrikant van de chip.
 
Nu nog de software producenten aanpakken
Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 154 6.4
Klik voor meer info2 120 6.7
Klik voor meer info3 109 6.4
Klik voor meer info4 79 6.6
Klik voor meer info5 53 6.1
Klik voor meer info6 49 6.3
Klik voor meer info7 47 6.5
Klik voor meer info8 43 6.1
Klik voor meer info9 43 6.0
Klik voor meer info10 40 6.3