NXP, de fabrikant van de Mifare Classic chip die het kloppende hart vormt van de OV-chipkaart, probeerde het nog via de rechter tegen te houden, maar die gaf het bedrijf ongelijk. Dus mochten de Nijmeegse onderzoekers in detail uit de doeken doen hoe hun kraak van de chip tot stand kwam – en hoe die allicht te verhelpen is, want zo fideel zijn de academische hackers dan ook wel weer.

Waar twee Duitse hackers eerder dit jaar de hardware van de Mifare-chip ontmantelden om haar werking deels te analyseren, kozen de onderzoekers van de Radboud Universiteit een andere benadering: zij luisterden de communicatie af tussen de chip en een poortje met uitleesapparatuur en probeerden op basis daarvan de werking te achterhalen. Dat bleek verbazingwekkend goed te lukken (.pdf), blijkt uit het artikel (.pdf) dat zij onlangs op een conferentie presenteerden.

Eerst wierpen zij zich op het authenticatieprotocol, waarmee chip en lezer met elkaar kennis maken en besluiten hoe zij verder versleuteld zullen communiceren. Een zwakte in de authenticatie gaf hen een voet tussen de deur van het versleutelingsalgoritme, dat zij vervolgens minutieus uit elkaar peuterden. Met die kennis zijn daarna twee soorten aanvallen op een willekeurige Mifare-chip mogelijk, waarvan de snelste binnen een seconde de geheime sleutel oplevert. Wie die eenmaal in handen heeft, kan de chip uitlezen en manipuleren (.pdf). Daarmee is het mogelijk de chip te klonen of de gebruiksteller van een chip na gebruik weer terug te zetten.

“Ik denk dat het klopt wat ze vaststellen,” zegt Marc Witteman van het Delftse Riscure, een bedrijf dat computerbeveiligingen test. “Het is een knap stuk werk, dat zonder meer te reproduceren valt, al moet je daar wel de nodige technische kennis voor hebben. Dit is niet iets dat een middelbare scholier eventjes nadoet. Maar als je één apparaatje gemaakt hebt, kun je er meerdere maken en die kun je dan verkopen. Het risico is dus reëel.”

Overigens onderhielden de Nijmegenaren voortdurend contact met hun slachtoffer NXP, dat zijn voornaamste vestiging in dezelfde stad heeft. Met de fabrikant (en een van de Duitse hackers) werd zelfs samengewerkt aan het vinden van remedies voor de gevonden gaten in de beveiliging. In principe wordt de Mifare Classic daar niet werkelijk veilig van, maar extra barrières maken het hackers nog wat lastiger, wanneer vervanging van de chip om praktische, economische redenen voorlopig onmogelijk is.

Beide soorten misbruik vallen min of meer onschadelijk te maken, stelt een tweede artikel (.pdf) dat de Nijmegenaren publiceerden. Het terugzetten van de gebruiksteller valt tegen te gaan door een cryptografische sleutel eraan toe te voegen. Dit gebeurt door een echt poortje. Iedere keer wanneer een kaart wordt aangeboden, verifieert het poortje of de sleutel klopt. Omdat de versleuteling door een poortje (of het computersysteem daarachter) veel sterker is dan de kaart kan doen, kan het kraken hiervan ondoenlijk zijn. Zo kan voorkomen worden dat een teller buiten het grote systeem om wordt aangepast.

Ook tegen klonen zijn maatregelen denkbaar. Wanneer een andere chip dan de Mifare Classic als kloon gebruikt wordt, kan een slim poortje dit detecteren, bijvoorbeeld omdat de responstijden van een andere chip verschillend zijn. Een echte en een gekloonde Mifare zijn ook van elkaar te onderscheiden, omdat iedere Mifare een eigen serienummer heeft, dat niet aangepast kan worden. Als het poortje ook het serienummer uitleest en vergelijkt met de database van uitgegeven kaarten, kan hij de klonen eruit pikken.

Beide oplossingen vergen extra rekenkracht en geheugen van de chip, waarschuwen de onderzoekers, maar dat valt allicht te prefereren boven het vervangen van de Mifare Classic op de miljoenen inmiddels uitgegeven OV-chipkaarten door een sterkere chip. “In het algemeen is het goedkoper om een product te repareren dan het te vervangen,” zegt Witteman van Riscure. “Als je verder wilt met de huidige chip, geloof ik ook zonder meer dat het mogelijk is om verbeteringen aan te brengen in de lijn van wat de onderzoekers voorstellen.

Repareren kost echter geld en hoeveel dat zou zijn, staat niet in het rapport dat Commissie Meerkosten OV-chipkaart (.pdf) onlangs aanbood aan staatssecretaris Huizinga. Wel is duidelijk dat de vertraging bij de invoering van de kaart, die voor een aanzienlijk deel aan de beveiligingskwestie te wijten valt, tot nu toe 65 miljoen euro gekost heeft. Ieder jaar extra vertraging levert vijf miljoen schade op.

Geen wonder dat de vervoersmaatschappijen, ondanks de vraagtekens bij de beveiliging, haast willen maken met de invoering van de kaart. Zij schatten de risico’s van een kraak zo laag in dat die in het niet valt bij de kosten die ze moeten maken om tegelijkertijd de OV-chipkaart en de strippenkaart in de lucht te houden. De Rotterdamse RET claimt iedere maand 200.000 euro te verliezen door zwartrijders die bij definitieve invoering van de kaart niet meer zouden kunnen reizen. Het bedrijf legt ook een verband met de veiligheid in de metro, die gebaat zou zijn de kaart.

De RET zou de strippenkaart het liefst vanaf januari afgeschaft zien, maar krijgt daarvoor vooralsnog geen groen licht van Huizinga. De commissie kiest hier de kant van de RET: volgens haar heeft de staatssecretaris onvoldoende redenen om afschaffing van de strippenkaart in Rotterdam tegen te houden.

Het lastige van dergelijke risico-afwegingen is dat er een factor in de berekening gebracht wordt die er voorheen buiten viel: de consument. Wie vroeger zijn kaart bij de chauffeur of automaat afstempelde, kon meteen zien hoeveel strippen hij betaald had. Nu zit hij met soms falende poortjes die niet voor rede vatbaar zijn, en kan hij het slachtoffer worden van de beveiligingsproblemen. Vervalste strippenkaarten waren een probleem van de vervoerders, niet van andere reizigers. Die complicatie maakt het maken van een uit technisch en bedrijfseconomisch logische afweging een politiek uiterst ingewikkelde klus. Uiteraard betalen consumenten in hun rol van belastingbetaler sowieso het gelag. (gc)