NXP raadt gebruik van Mifare Classic af (update)

Chipbouwer NXP raadt gebruik van de eigen Mifare Classic-chip af voor beveiligde toegang van gebouwen. Dat blijkt uit een uitzending van de BBC.

Chipbouwer NXP raadt gebruik van de eigen Mifare Classic-chip af voor beveiligde toegang van gebouwen. Dat blijkt uit een uitzending van de BBC.

De Mifare Classic is de kern van het Nederlandse OV-chipkaartsysteem (een elektronische abonnementskaart voor het openbaar vervoer). In een uitzending van het technologieprogramma Click van de BBC zegt NXP-vice president sales en marketing Steve Owen: “We raden gebruik van de Mifare Classic af voor nieuwe installaties.”

Over bestaande installaties zegt Owen: “We werken samen met klanten om hun security door te lichten. We bieden ze nieuwe oplossingen en producten.” Owen geeft aan dat het niet eenvoudig is het probleem op te lossen: “Het dilemma is dat het hier om een hardwarekwestie gaat. Het is geen software die we kunnen patchen. Omdat het om hardware gaat, zal het wat tijd kosten.”

In juli probeerde NXP publicatie van een onderzoeksrapport over de gebrekkige beveiliging van de Mifare Classic te voorkomen in een kort geding. De rechter stelde de chipfabrikant in het ongelijk omdat de auteurs van het rapport van de Radboud Universiteit Nijmegen volgens hem zorgvuldig hadden gehandeld.

De Mifare Classic van NXP is de meest gebruikte contactloze chipkaart ter wereld. In maart 2008 slaagde de Digital Security research group van de Radboud Universiteit Nijmegen erin deze chip te klonen en aan te passen.

De recent gelanceerde chipkaart van de MIVB, Mobib, maakt geen gebruik van de kraakbare chip. De Mifare Classic zit daarentegen wel verwerkt in de toegangskaarten van de 7 parlementen van België. De toegangscontrole daar echter wel gedaan in combinatie met een foto, waardoor de vergelijking met ‘anonieme’ abonnementskaarten in het openbaar vervoer moeilijk te maken is.

In samenwerking met Computable

NXP wenst te onderstrepen dat de quotes van Owen over Mifare Classic enkel betrekking hadden op de beveiliging van gebouwen, niet op alle smartcardoplossingen.