Je leest:

RFID-chip beveiligingspassen gekraakt

RFID-chip beveiligingspassen gekraakt

Nijmeegse informatici hebben de beveiliging van de populaire Mifare Classic-chip gekraakt. Die is op afstand aan te spreken en uit te lezen met radiogolven en wordt bijvoorbeeld gebruikt in beveiligingspasjes van de Tweede Kamer en van militaire installaties. Volgens de AIVD werkt de Nijmeegse kraakmethode en is aanvullende beveiliging nodig.

De onderzoeksgroep Digital Security van de Radboud Universiteit Nijmegen heeft een ernstig lek in de beveiliging van de veelgebruikte Mifare Classic-chipkaarten gevonden. Daarvan zijn er wereldwijd 1 miljard verkocht. De RFID-chip (Radio Frequency Identification) is op afstand uit te lezen en aan te spreken. De Nijmegenaren laten zien dat ze beveiligingspassen die zonder extra beveiliging gebruikmaken van de Mifare Classic op afstand kunnen kopiëren. Daarmee wordt het mogelijk om onder een valse identiteit een overheidsgebouw binnen te komen, demonstreert het team van hoogleraar Bart Jacobs.

Met Radio Frequency Identification (RFID) zijn kleine computerchips te maken die op afstand zijn aan te sturen en uit te lezen. Daar wordt gebruik van gemaakt in allerlei draadloze beveiligingspassen, maar ook in de Nederlandse OV-chipkaart.

AIVD

De inlichtingen- en veiligheidsdienst AIVD heeft bevestigd dat de Nijmeegse kraakmethode werkt, meldt minister Ter Horst van Binnenlandse Zaken in een brief aan de Tweede Kamer. Volgens de Digital Security groep zitten er zwakheden in het authenticatiemechanisme van de Mifare Classic. Dat is het protocol waarmee de chip en een ander systeem van elkaar vaststellen of ze rechtmatige gebruikers zijn. De Nijmegenaren wisten de werking van het CRYPTO-1 algoritme tot in detail te achterhalen. Ook ontwikkelden ze een techniek om met goedkope apparatuur de benodigde cryptografische sleutels te achterhalen.

Duitse hackers lieten al in december 2007 zien dat ze CRYPTO-1 hadden gekraakt; ze gebruikten een hardware-aanval, waarbij de opbouw van een Mifare Classic-chip met een microscoop in kaart werd gebracht. De Nijmeegse Digital Security-groep achterhaalde de werking van CRYPTO-1 juist door zwakheden in de gebruikte cryptografische protocollen uit te buiten. Tegelijkertijd werd een techniek ontwikkeld om kaarten met een Mifare Classic-chip te kopiëren, al is nog niet bekendgemaakt hoe dat in detail werkt.

Volgens minister Ter Horst is de mogelijkheid tot misbruik na publicatie van de Nijmeegse methode zo laagdrempelig, dat er aanvullende beveiligingsmaatregelen nodig zijn. Details over de kraakmethode worden pas in overleg met betrokken instanties bekendgemaakt in reguliere wetenschappelijke publicaties, stelt de Radboud-universiteit. De minister overweegt de geplande Rijkspas, een beveiligingspas met een andere techniek die eind 2008 ingevoerd zou worden, eerder in gebruik te nemen. In de tussentijd wordt alternatieve extra beveiliging ingesteld.

Dit artikel is een publicatie van NEMO Kennislink.
© NEMO Kennislink, sommige rechten voorbehouden
Dit artikel publiceerde NEMO Kennislink op 12 maart 2008

Discussieer mee

0

Vragen, opmerkingen of bijdragen over dit artikel of het onderwerp? Neem deel aan de discussie.

LEES EN DRAAG BIJ AAN DE DISCUSSIE