Hackers: Translink moet OV-chip upgraden

Karsten Nohl: “In plaats van een wapenwedloop te starten rond de beveiliging van een algoritme met fundamentele gebreken, moet worden ge-upgrade naar veiliger kaarten die cryptografie gebruiken die in het publieke domein aan een kritisch onderzoek kan worden onderworpen.”

Nohl is één van de twee onderzoekers die in december op een hackerscongres in Duitsland bekend maakten dat de rfid-chip in de OV-chipkaart onvoldoende beveiligd is.

TNO spreekt onzin
Daarnaast gaat de Amerikaanse beveiligingsonderzoeker in tegen het onderzoeksrapport dat TNO eind februari publiceerde. Volgens Nohl kunnen kwaadwillenden wel degelijk op een gewone desktop-pc binnen enkele minuten de geheime sleutel kraken van de chip die de kern vormt van de OV-chipkaart. Eind februari beweerde TNO nog dat dit niet mogelijk was. Nohl in een schriftelijke reactie: “Het rapport stelt dat om binnen enkele uren geheime sleutels te breken naar schatting 9000 dollar aan hardwarekosten moeten worden gemaakt. Wij zijn van mening dat dat een grove overschatting is en presenteren een aanval die geheime sleutels binnen minuten achterhaalt op een gewone desktop pc.”
Duurdere versie is beter
Een Nederlandse groep van vooraanstaande beveiligingsexperts riep begin januari al op om de rfid-chip in de OV-chipkaart te vervangen voor een duurdere, beter beveiligde versie. De Mifare Classic van NXP, die in de OV-chipkaart verwerkt is, is zo’n tien jaar oud, maar is zeer populair omdat hij gunstig geprijsd is: zo’n vijftig cent. Er is een duurdere variant, de Mifare DES Fire die een sterkere encryptie heeft. Die kost € 1,50. Thomas Grosveld, Director Government Relation Nederland van NXP zei eerder tegen Computable: “We hebben verschillende producten in ons portfolio. Welke een klant kiest, ligt aan zijn criteria. Dat is een economische afweging.” Translink Systems ontkent dat de prijs van de chip een argument is geweest om te kiezen voor de Mifare Classic.