Misbruik maken van de kwetsbaarheid in de huidige UZI-pas is niet eenvoudig. Dat zegt Riscure, het Delftse bedrijf dat de kwetsbaarheid vorig jaar ontdekte.
Het beveiligingsprobleem dat minister Ab Klink van Volksgezondheid, Welzijn en Sport (WVS) vorige week deed besluiten om de huidige UZI-pas te vervangen, is niet gemakkelijk te misbruiken. Dat zegt Riscure, het Delftse bedrijf dat de kwetsbaarheid vorig jaar onderzocht. Directeur Sales en Business Development Pascal van Gimst: "De aanval is zeker niet gemakkelijk."
Chief technology officer (cto) Marc Witteman van Riscure besloot vorig jaar om een mogelijke aanvalstechniek op een bepaalde implementatie van het bekende versleuteling-algoritme RSA te onderzoeken. RSA is een versleutelingstechniek, waarmee kaartlezers kunnen controleren of een smartcard authentiek is. Dat doet de kaartlezer door de smartcard een berekening uit te laten voeren op basis van een priemgetal dat alleen de smartcard kent. Omdat het om intensief rekenwerk gaat, gebruiken sommige smartcards een rekentruc die bekend staat als de Chinese Remainder Theorem (CRT), waardoor de authenticiteit van zo'n smartcard vier keer sneller kan worden gecontroleerd. Die CRT-implementatie blijkt nu bij sommige smartcards kwetsbaar te zijn voor de desbetreffende aanval, waarbij het stroomverbruik of de elektromagnetische straling van de smartcard wordt geanalyseerd.
Eind maart maakte Klink in een brief aan de Tweede Kamer bekend dat de UZI-pas in het derde kwartaal van 2009 wordt vervangen. Experts zouden er "in een laboratoriumsituatie in geslaagd zijn om de private sleutel van de chip te achterhalen." Met laboratoriumsituatie wordt in dit geval zeer waarschijnlijk verwezen naar onderzoek dat het Delftse bedrijf Riscure deed, alhoewel ook Computable-expert Erik Westhovens zegt de UZI-pas gekraakt te hebben.
UZI-pas niet enige probleem
CRT wordt in chips van allerlei fabrikanten en voor allerlei toepassingen gebruikt. Riscure heeft eind vorig jaar de belangrijkste betrokken fabrikanten en kaartgebruikers op de hoogte gesteld van het probleem. "We hebben met verschillende partijen gesproken en hebben de indruk dat ze het probleem serieus nemen."
“De aanval is zeker niet gemakkelijk.”
Das toch ook de bedoeling van een beveiliging? Het zo moeilijk mogelijk maken / ontmoediging om een succesvolle poging voor elkaar te krijgen?
Ja, maar dat wil niet zeggen dat het ook altijd lukt. Kijk bijvoorbeeld naar de blunder van Sony een aantal jaar geleden met kopieerbeveiliging op CD’s, die met het zetten van een zwarte streep met een viltstift op de juiste plaats was te omzeilen.