Geheime code van ov-kaart ligt op straat

De veiligheid van de ov-chipkaart, het vervoersbewijs dat de strippenkaart zal vervangen, is in het geding. Duitse hackers hebben de geheime code gekraakt van de chip die in de kaart is verwerkt. ‘Deze chipkaarttechnologie is weg, stuk, niet meer te gebruiken,' zegt Nederlands bekendste hacker, Rop Gonggrijp.

Wanneer Gonggrijp gelijk heeft, is dat een nieuwe tegenvaller voor de ov-chipkaart, een project dat geplaagd wordt door veel vertraging. De kaart zou dit jaar landelijk worden ingevoerd, maar dat wordt nu op zijn vroegst ergens in 2009. Een harde invoerdatum durft niemand meer te geven.

Doordat de chip is gekraakt, kunnen reizigers straks wellicht gratis reizen. Ook zou privacygevoelige informatie van de reiziger op straat kunnen komen.

Fraudegevoeligheid
Translink systems, het bedrijf dat in Nederland de ov-chipkaart invoert, vindt het nog te vroeg om te oordelen. Het wacht op de analyse van de Nederlandse chipproducent NXP – voorheen de chipsdivisie van Philips – die wereldwijd al 2 miljard van deze chips heeft verkocht. Volgens Translink is de fraudegevoeligheid van het ov-chipkaartsysteem niet in het geding, omdat er ook ‘andere maatregelen zijn genomen’.

De twee Duitse onderzoekers presenteerden hun doorbraak op het 24ste Chaos Computer Congres in Berlijn, eind vorig jaar (zie video hieronder). Het kraken van deze ‘Mifare’-chip geldt al jaren als de hoofdprijs in hackerskringen.

Voor een juichende en klappende zaal computerhackers pelden zij de beveiliging van de Mifarechip uit elkaar. Rop Gonggrijp was erbij en vond het ‘briljant’. Karsten Nohl en Henryk Plötz toonden aan dat met spullen ter waarde van nog geen 100 euro volledige controle wordt verkregen over de chip. De Mifarechip van NXP is een zogenoemde RFID-chip, die radiogolven herkent en terugstuurt.

Uitleg van de hackers in Berlijn (bericht gaat verder na video):

]]>

Geheime sleutel
‘We onderzoeken nu de gevolgen, dat is duidelijk’, zegt NXP-woordvoerder Alexander Tarzi. Hij benadrukt dat nu weliswaar onthuld is hoe de chip werkt, maar dat de geheime sleutel in de chip intact zou zijn. Ook meldt hij, net als Translink, dat de veiligheid van de NXP-systemen van meer afhankelijk is dan alleen de chip.

Gonggrijp moet erom lachen: ‘Producenten reageren altijd hetzelfde. Geloof me, NXP heeft ongelooflijke fouten gemaakt. Hun technologie blijkt kinderlijk eenvoudig te breken.’

NXP heeft een duurdere chipvariant beschikbaar, met meer geheugen, die volgens de Duitse hackers wel bestand is tegen aanvallen. Translink wil niet speculeren over wie er eventueel voor de extra kosten daarvan opdraait.

\N
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.