Op het Chaos Communication Camp in Berlijn maakten twee Duitse beveiligingsexperts eind december bekend dat ze een type rfid-chips, ontwikkeld door de vroegere chipdivisie van Philips, konden kraken. Volgens chipfabrikant NXP hebben deze hackers weliswaar het cryptografisch algoritme van een rfid-tag van NXP ‘deels’ blootgelegd, maar achterhaalden ze geen geheime sleutels.
NXP ontkent dat er sprake is van een beveiligingsprobleem, nu twee hackers het versleutelingsalgoritme van één van NXP’s rfid-tags gekraakt hebben. In een verklaring stelt NXP onder andere: "Het cryptografisch algoritme is voor een deel ontdekt, maar de onderzoekers hebben gefaald om de geheime sleutels van de chip te achterhalen. Het enkel openbaarmaken van zo’n algoritme is nog geen beveiligingsprobleem, omdat volgens goed cryptografisch gebruik de sterkte van een versleuteling bepaald wordt door de geheime sleutels en niet door het algoritme zelf."
Kaartjescontrole
De Mifare-chip, die door de Duitse hackers is gekraakt, wordt volgens NXP niet gebruikt "in elektronische paspoorten, bank- of autobeveiligingssystemen". NXP ontraadt het gebruik van de Mifare-tag in dit soort omgevingen." Volgens NXP wordt de tag vooral gebruikt voor zaken zoals kaartjescontrole en wordt de chip in die gevallen geïntegreerd binnen een meerlaags beveiligingssysteem. NXP waarschuwt voor de indruk, die volgens het bedrijf nogal eens bij het grote publiek leeft, als zou er slechts één type rfid-tag bestaan. Dat is niet het geval: "NXP biedt een breed productaanbod met verschillende beveiligings- en complexiteitsniveaus voor verschillende toepassingen."
Microscoop
Op het Chaos Communication Camp in Berlijn maakten twee Duitse hackers eind december bekend dat ze een bepaald type rfid-chips, ontwikkeld door de vroegere chipdivisie van Philips, konden kraken. Karsten Nohl en Henryk Plötz achterhaalden de werking van deze Mifare tag door deze in vijf lagen te snijden en onder een optische microscoop te fotograferen.
Volgens Nohl en Plötz bevat de Mifare-versleuteling een aantal structurele zwakheden. De hackers ontdekten onder andere dat het mechanisme waarmee de rfid-lezer willekeurige getallen genereert is gebaseerd op de tijd die het duurt om een tag af te lezen. Ze slaagden er vervolgens in keer op keer hetzelfde ‘toevallige’ nummer te genereren.
Zwart reizen is een vorm van ouderwets kraken. Niks nieuws dus.