Chipfabrikant NXP eist in kort geding dat de Nijmeegse Digital Security groep een wetenschappelijke publicatie over de gebrekkige beveiliging van de Mifare Classic rfid-chip terugtrekt. Het kort geding dient donderdag voor de rechtbank van Arnhem.
NXP spant een kort geding aan tegen professor Bart Jacobs van de Nijmeegse Digital Security groep. De chipfabrikant wil daarmee verhinderen dat de beveiligingsonderzoeker onderzoeksresultaten over de gebrekkige beveiliging van de Mifare Classic rfid-chip openbaar maakt.
Kort geding donderdag in Arnhem
Het kort geding dat NXP heeft aangespannen dient donderdag voor de rechtbank van Arnhem. De preciese inhoud van het kort geding is niet bekend. NXP weigert de pers hierover te informeren.
De Nijmeegse Digital Security groep wil in oktober op een congres in Spanje wetenschappelijk onderzoek presenteren over "de ernstige tekortkomingen van de Mifare Classic chip", die wordt gebruikt in toegangspassen (van onder andere overheidsgebouwen) en in de OV-chipkaart. Het verslag van de onderzoeksbevindingen is daarnaast geaccepteerd voor publicatie in een wetenschappelijk tijdschrift.
NXP wijst arbitrage af
Het artikel is ook naar NXP verzonden. NXP heeft vervolgens bezwaren kenbaar gemaakt tegen de publicatie. De Radboud Universiteit heeft aangeboden om via arbitrage te laten oordelen over de datum van publicatie. NXP heeft dit voorstel niet aanvaard en kiest voor de weg van een kort geding om de publicatie van het wetenschappelijk artikel te verbieden.
Al sinds maart hebben de onderzoekers bewust geen verdere details over de onvolkomenheden van de chip bekend gemaakt om belanghebbenden, waaronder NXP, de kans te geven de nodige maatregelen te nemen. In maart toonden onderzoekers van de Radboud Universiteit Nijmegen, onder leiding van prof. Bart Jacobs, aan dat de Mifare Classic Chip zoals die wordt gebruikt in toegangspassen en de OV-chipkaart ernstige tekortkomingen vertoont.
RU: ‘ontwikkeling beveiligingstechnologie in het geding’
De Radboud Universiteit in een verklaring: "Een publicatieverbod brengt de academische vrijheid van onderzoek, waaronder de vrijheid van publicatie, in geding. Het is de wettelijke taak van een universiteit op onafhankelijke wijze onderzoek te doen en daarover te publiceren. Wetenschappelijk onderbouwde resultaten van onderzoek moeten vrij hun weg naar de samenleving kunnen vinden. Ook de resultaten van een onderzoek naar de digitale beveiliging. Het is een maatschappelijk belang dat aangetoonde kwetsbaarheden in beveiligingssystemen, zoals in de Mifare Classic Chip, verifieerbaar worden gepubliceerd. Zo kunnen passende maatregelen genomen worden en kan de beveiligingstechnologie zich verder ontwikkelen."
Vorige week lieten minister Plasterk (van onderwijs, cultuur en wetenschap) en staatssecretaris Huizinga (van verkeer en waterstaat) in een brief aan de tweede kamer nog weten de beveiligingsonderzoekers geen strobreed in de weg te willen leggen: "De maatschappelijke verantwoordelijkheid bij het publiceren van onderzoeksresultaten en het waarborgen van de academische vrijheid behoren toe aan de instelling."
OV-chip v2.0 in ontwerp
De Nijmeegse Digital Security groep werkt de komende anderhalf jaar onder leiding van professor Bart Jacobs aan ‘OV-chip v2.0': een ov-chipkaartsysteem dat aan drie eisen gaat voldoen: een sterke cryptografische beveiliging van de hardware, een softwareomgeving die het reisgedrag van reizigers niet centraal opslaat en broncode die beschikbaar wordt gesteld via een open source licentie.
Dat wordt een interessante rechtszaak waar nogal wat overeenkomsten zijn met de zaak rond Michael Lynn in 2005, waar de boodschapper van het nieuws uiteindelijk klem kwam te zitten tussen werkgever en Cisco. Het machtige Cisco won, de informatie verdween en 3 jaar later hebben we nog steeds met hetzelfde router-probleem te maken.
Ik ben benieuwd hoe de Nederlandse rechter oordeelt, zoveel mogelijk “onder de pet houden” of een vanuit veiligheidsprincipes betere opstelling “openbaar maken en verbeteren”.
Zie de uitspraak: http://tinyurl.com/676gtz