Rechtszaak tegen publicatie chipkraakinfo

NXP Semiconductors wil met een kortgeding de publicatie van informatie over de gekraakte Mifare chip verbieden.

NXP Semiconductors wil met een kortgeding de publicatie van informatie over de gekraakte Mifare chip verbieden.

De Mifare Classic chip die in de overgrote meerderheid van contactloze chipkaarten voor toegangsbeveiliging (ook in België) of openbaar vervoer kaarten wordt gebruikt, kwam eind vorig jaar in opspraak toen bleek dat het aangewende Crypto1 algoritme was gekraakt en de sleutels makkelijk konden worden gestolen. Hoe makkelijk werd getoond in een YouTube videootje.

Het onderzoek naar de zwakten werd verricht door twee Duitsers, maar ook door de Digital Security groep van de Nederlandse Radboud Universiteit uit Nijmegen. De onderzoeksgroep bracht op 8 maart laatstleden. de relevante afdeling van de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst op de hoogte en op 9 maart NXP Semiconductors, de producent van de chip. Nadien werd ook de openbare vervoersmaatschappij op de hoogte gebracht en informeerde de minister op 12 maart het Nederlandse parlement.

De Radboud universiteit had bij dat alles ook uitdrukkelijk de bedoeling om de onderzoeksresultaten op een later tijdstip in een wetenschappelijk artikel te publiceren, waarbij een datum in oktober werd vooropgesteld. Radboud stelt dat het artikel ook naar NXP werd gestuurd en dat er bereidheid was om evetueel over die datum te onderhandelen.

NXP probeert nu die publicatie te blokkeren door een kortgeding in te spannen bij de rechtbank van Arnhem. “Een publicatie zou niet verantwoordelijk zijn,” heet het. De Nederlandse onderzoekers [blijven evenwel bij hun voornemen tot publicatie], na zich in de voorbije maanden bewust van het verspreiden van meer details hadden onthouden. Een publicatieverbod achten ze een inbreuk op “de academische vrijheid van onderzoek”, terwijl het ook echt nodig is om de informatie over de kraak op ruimere schaal te verspreiden bij personen die aan een oplossing kunnen werken.

Niet publiceren zou enkel de misdadigers – die wel al over de info beschikken – ten goede komen, stellen op hun beurt de Duitse onderzoekers. Klaarblijkelijk wil NXP hier een ‘security by obscurity’ geval van maken, waarbij problemen worden opgelost door er zo min mogelijk ruchtbaarheid aan te geven. In het verleden is evenzeer gebleken dat zo’n aanpak de minst goede resultaten oplevert.