‘We gaan praten met de hackers van onze chip’
AMSTERDAM ‘De sleutel van de chip op de ov-chipkaart is nog niet gebroken’, meldt Paul de Bot, strategiemanager bij chipproducent NXP....
Moet NXP in Las Vegas veel klanten geruststellen deze dagen?
‘De ongerustheid valt reuze mee. Rond de jaarwisseling hoorden wij van de activiteiten van de hackers, of onderzoekers moet ik eigenlijk zeggen. We hebben er tien mensen op gezet en onderzoeken nu de gevolgen. De Duitse onderzoekers hebben het algoritme (de rekenregel, red.) van de chip nog niet gebroken en kennen ook de sleutels nog niet. Daarmee is de veiligheid nog intact.’
Hoe ver zijn de hackers gekomen met hun kraak?
‘De onderzoekers kennen nu delen van het chipontwerp en van het algoritme in de chip. Het chipkaartsysteem kent echter meerdere veiligheidslagen. Zelfs wanneer alles bekend is van deze chip, dan nog staat de veiligheid overeind.’
Wanneer dat zo is, zou u ook meteen alles bekend kunnen maken over deze chip.
‘Wij houden het chipontwerp en de beveiliging geheim. Niet vanwege de veiligheid. Daar heeft het niets mee te maken. Concurrentieoverwegingen zijn voor ons de primaire reden voor de geheimhouding.’
Hoe veilig is deze chip? Wetenschappers melden dat er op een goedkope kleine chip geen goede beveiliging mogelijk is.
‘Dat klopt. Maar het hangt af vanuit welk perspectief de chip gebruikt wordt. Een veiliger systeem betekent een hoger kostenplaatje. Het veiligheidsniveau wordt zo gekozen dat het economisch onaantrekkelijk is voor hackers om fraude te plegen.’
De metro’s in Madrid (Spanje) en Sydney (Australië) maken ook gebruik van een NXP-chip. Daar is gekozen voor een duurdere, veiliger mifare-versie. Adviseert NXP nu deze chip?
‘Ook dat is aan de klant. Wij bieden chips aan tot het hoogst denkbare veiligheidsniveau. Deze worden in paspoorten en banktoepassingen gebruikt. Ik ga niet vertellen hoe duur die chips zijn.’
De banken accepteren een bepaalde mate van fraude bij de pinpassen. Staan ov-bedrijven straks ook voor de vraag hoeveel fraude ze willen toestaan?
‘De vergelijking met bankpassen gaat niet op. Dat zijn totaal andere systemen. De ov-bedrijven hebben wel dezelfde keuze wat betreft fraude. Hierbij moeten ze natuurlijk de veiligheid van het hele systeem bekijken. De chip is hierin maar één onderdeel.’
De hackers melden dat ze mifare-chips kunnen beschrijven en dus kunnen laden met geld.
‘Ik geloof best dat ze in staat zijn om iets te schrijven op de chip. Het is iets anders of het systeem dat dan ook herkent en accepteert als een betaling. Dat is niet het geval.’
Hoeveel van de chipkaartbeveiliging staat nog overeind? Is dat in procenten uit te drukken?
‘Verreweg het grootste deel van de beveiliging is nog intact. Ik ga geen uitspraken doen over het percentage waarmee de veiligheid nu geraakt is.’ Ferry Haan
