Nieuws / Security

Home pijltje Alle Artikelen pijltje Nieuws pijltje Security

Misbruik UZI-pas niet eenvoudig

07-04-2009 15:33 | Door Jolein de Rooij | Lees meer artikelen over: Processoren | Lees meer over het bedrijf: Riscure | Er zijn 2 reacties op dit artikel | Permalink

Misbruik maken van de kwetsbaarheid in de huidige UZI-pas is niet eenvoudig. Dat zegt Riscure, het Delftse bedrijf dat de kwetsbaarheid vorig jaar ontdekte.

Het beveiligingsprobleem dat minister Ab Klink van Volksgezondheid, Welzijn en Sport (WVS) vorige week deed besluiten om de huidige UZI-pas te vervangen, is niet gemakkelijk te misbruiken. Dat zegt Riscure, het Delftse bedrijf dat de kwetsbaarheid vorig jaar onderzocht. Directeur Sales en Business Development Pascal van Gimst: "De aanval is zeker niet gemakkelijk."

Chief technology officer (cto) Marc Witteman van Riscure besloot vorig jaar om een mogelijke aanvalstechniek op een bepaalde implementatie van het bekende versleuteling-algoritme RSA te onderzoeken. RSA is een versleutelingstechniek, waarmee kaartlezers kunnen controleren of een smartcard authentiek is. Dat doet de kaartlezer door de smartcard een berekening uit te laten voeren op basis van een priemgetal dat alleen de smartcard kent. Omdat het om intensief rekenwerk gaat, gebruiken sommige smartcards een rekentruc die bekend staat als de Chinese Remainder Theorem (CRT), waardoor de authenticiteit van zo'n smartcard vier keer sneller kan worden gecontroleerd. Die CRT-implementatie blijkt nu bij sommige smartcards kwetsbaar te zijn voor de desbetreffende aanval, waarbij het stroomverbruik of de elektromagnetische straling van de smartcard wordt geanalyseerd.

Eind maart maakte Klink in een brief aan de Tweede Kamer bekend dat de UZI-pas in het derde kwartaal van 2009 wordt vervangen. Experts zouden er "in een laboratoriumsituatie in geslaagd zijn om de private sleutel van de chip te achterhalen." Met laboratoriumsituatie wordt in dit geval zeer waarschijnlijk verwezen naar onderzoek dat het Delftse bedrijf Riscure deed, alhoewel ook Computable-expert Erik Westhovens zegt de UZI-pas gekraakt te hebben.

UZI-pas niet enige probleem

CRT wordt in chips van allerlei fabrikanten en voor allerlei toepassingen gebruikt. Riscure heeft eind vorig jaar de belangrijkste betrokken fabrikanten en kaartgebruikers op de hoogte gesteld van het probleem. "We hebben met verschillende partijen gesproken en hebben de indruk dat ze het probleem serieus nemen."
Plaats dit artikel op LinkedIn
Plaats dit artikel op Twitter
Reacties op dit artikel
Geen ratingRonald Vermeij, 07-04-2009 19:55
"De aanval is zeker niet gemakkelijk."
Das toch ook de bedoeling van een beveiliging? Het zo moeilijk mogelijk maken / ontmoediging om een succesvolle poging voor elkaar te krijgen?
Geen ratingBram Nauta, 08-04-2009 14:13
Ja, maar dat wil niet zeggen dat het ook altijd lukt. Kijk bijvoorbeeld naar de blunder van Sony een aantal jaar geleden met kopieerbeveiliging op CD's, die met het zetten van een zwarte streep met een viltstift op de juiste plaats was te omzeilen.
Meer Nieuws
Volg het Computable ICT-nieuws via TwitterVoeg het Computable ICT-nieuws toe aan je iGoogle-paginaAbonneer je op de Computable ICT-nieuws RSS-feed

10-02   Infor helpt Ferrari met bouwen F1-auto's

10-02   Tester Four Oaks in Israëlische handen

10-02   IS Online en Tres zijn klaar voor Elfstedentocht

10-02   SecureLink migreert Microsoft-diensten Atradius

Aantal reacties
13

10-02   Nieuwe software brengt Vitens in problemen

10-02   Ex-Misys-topman moet CSC uit penarie helpen

10-02   Veenman en 20/20 vision adviseren samen klant

10-02   Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02   Misys en Temenos willen fuseren

10-02   Raet stelt Schrijnemaekers als nieuwe CFO aan

Meer Security
rss

10-02  SecureLink migreert Microsoft-diensten Atradius

09-02  Vodafone: Wij spelen klantinformatie niet door

Aantal reacties
1

09-02  Lang leve de hackers!

Aantal reacties
2

09-02  'Ook met cookiewet is gebruiker niet anoniem'

Aantal reacties
1

09-02  'KPN koppelt ID aan internetverkeer'

Aantal reacties
4

08-02  'Nieuwe cookiewet is eenvoudig te omzeilen'

Aantal reacties
3

07-02  Eigen werknemer kan ook een vijand zijn

Aantal reacties
9

03-02  'Overheid vreest voor veiligheid in de cloud'

01-02  F5 beschermt openbare websites

31-01  Publieksvoorlichting is belangrijke taak voor NCSC
Gerelateerde artikelen
Aantal reacties
4

11-09-09  Chipsoft: patiëntdata is niet van Microsoft

Aantal reacties
5

02-04-09  Onveilige EPD-smartcard krijgt nieuwe chip

Aantal reacties
1

02-04-09  Invoering EPD loopt vertraging op

Security whitepapers

Best Practices om laptop-data te beschermen

In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren		Gemiddelde
waardering
Klik voor meer info1 154 6.4
Klik voor meer info2 120 6.7
Klik voor meer info3 109 6.4
Klik voor meer info4 79 6.6
Klik voor meer info5 53 6.1
Klik voor meer info6 49 6.3
Klik voor meer info7 47 6.5
Klik voor meer info8 43 6.1
Klik voor meer info9 43 6.0
Klik voor meer info10 40 6.3
VNU Media Computable.nl is onderdeel van VNU Media, uitgever van o.a.:
NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers

Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media