Zwakte van Mifare-chip is geheime algoritme

Het CRYPTO1-algoritme dat is gebruikt in de Mifare Classic – de rfid-chip die in Nederland gekraakt is maar ook in België wordt gebruikt – is geen goed algoritme. Dat komt vooral omdat het algoritme geheim is. Ook is de lengte van de sleutel te kort. Dat zeggen Britse wetenschappers na een contra-expertise.

Het CRYPTO1-algoritme dat is gebruikt in de Mifare Classic – de rfid-chip die in Nederland gekraakt is maar ook in België wordt gebruikt – is geen goed algoritme. Dat komt vooral omdat het algoritme geheim is. Ook is de lengte van de sleutel te kort. Dat zeggen Britse wetenschappers na een contra-expertise.

Het grootste probleem van de onlangs gekraakte Mifare Classic is dat het beveiligingsalgoritme ervan geheim is. Dat schrijft de Royal Holloway University of London (RHUL) in een rapport. Zowel de lezer als de kaart gebruiken een geheim algoritme, namelijk CRYPTO1.

Het nadeel van een geheim algoritme is dat de gemeenschap van beveiligingsonderzoekers niet mee kan denken over de vraag of de beveiliging voldoende is. “Het is een breed geaccepteerde best practice dat in cryptografische systemen alleen algoritmen worden gebruikt die openlijk door cryptografische deskundigen zijn geëvalueerd”, schrijven de onderzoekers in het rapport.

Ook is de lengte van de sleutel die het algoritme gebruikt volgens de onderzoekers te kort. De sleutel heeft een lengte van 48 bits. Er zijn dus 2 tot de macht 48 mogelijke sleutels. Met de computerapparatuur van tegenwoordig is een dergelijke sleutel eenvoudig te kraken, aldus RHUL.

De onderzoekers van RHUL stellen dat een alternatieve chip voor de ov-chipkaart getest moet zijn door cryptografische experts. Ook mag de chip niet gebaseerd zijn op een geheim algoritme en moet het voldoende lange veiligheidssleutels bevatten.

In Nederland wordt de Mifare gebruikt in de zogenaamde ov-chipkaart, de betaalkaart voor het openbaar vervoer. De Nederlandse staatssecretaris Tineke Huizinga van Verkeer laat, naar aanleiding van het onderzoek van RHUL, in een brief aan de Tweede Kamer weten dat zij zich afvraagt of de invoerdatum van de ov-chipkaart op 1 januari 2009 nog wel gehaald kan worden. Zij heeft TransLinkSystems (TLS), verantwoordelijk voor de invoering van de ov-chipkaart, en de deelnemende ov-bedrijven hierover vragen gesteld.

In België zit de onveilige Mifare-chip onder meer in de toegangsbadges voor ‘s lands 7 parlementen. Dat wordt vooralsnog niet in vraag gesteld.

In samenwerking met Computable

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content