Hoe men een OV-chip bijna kraakt

(..)
Maar is de kaart daadwerkelijk gekraakt? Ofwel: is de informatie op de chip
te manipuleren? Ofwel: kan een beetje computerkraker zijn OV-chipkaart, de
digitale portemonnee voor het openbaar vervoer, straks onbeperkt opladen
zonder te betalen?
Zover is het nog niet. Hoewel promovendus Karsten Nohl van de universiteit
van Virginia en zijn lang- en roodharige kompaan Henryk Pl.tz in hun
presentatie op het jaarlijkse congres van de Chaos Computer Club meermaals
suggereerden dat ze de code op de chip volledig hebben gebroken, hebben ze
daarvan nog geen bewijs geleverd. Voor Paul de Bot van NXP reden om de
aanval te relativeren: ‘Ze zijn zeker niet bij de kern van de chip gekomen’,
zegt hij.
(..)
Nog niet, maar het is een kwestie van tijd voor de hele chip is gekraakt,
zegt Melanie Rieback van de Vrije Universiteit in Amsterdam, die twee jaar
geleden zelf een RFID kraakte om aan te tonen dat de uitleesapparatuur met
een virus kan worden ge.nfecteerd.
Zij wijst erop dat de sleutel van de Mifare bestaat uit slechts 48 bits.
Deze 48 nullen en enen geven weliswaar 280 biljoen mogelijkheden, maar dat
is niet meer genoeg. ‘De sleutel is met brute force te kraken’, zegt zij.
‘Als je er vaak genoeg iets in stopt en kijkt wat eruit komt kun je de
patronen herkennen.’
Steden als Madrid en Sydney gebruiken daarom voor hun metro een nieuwe
versie van de Mifare, met een sleutel van 192 bits. Dat helpt, zegt Bart
Jacobs, hoogleraar computerveiligheid in Nijmegen en Eindhoven. ‘Het zijn
uiteindelijk economische en politieke afwegingen geweest die ertoe hebben
geleid dat wij het weer zo goedkoop mogelijk proberen te doen.’

12 januari 2008 Categorie: ICT  Meer van: ,