De ophef rond Mifare Classic-chip, waarvan Duitse wetenschappers het encryptie-algoritme zeggen te hebben gekraakt, is nog lang niet ten einde. Doordat deze NXP-chip relatief goedkoop is wordt hij overal ter wereld veel gebruikt, onder andere voor de toegang tot gebouwen. Marc Witteman, Chief Technology Officer van het Delftse bedrijf Riscure. “Ik kan een kopie van jouw pasje maken om mij met jouw identiteit toegang tot jouw bedrijf te kunnen verschaffen.”
| Marc Witteman Marc Witteman studeerde elektrotechniek aan de TU Delft. Hij is oprichter en Chief Technology Officer van het Delftse bedrijf Riscure. Dit bedrijf test in opdracht van klanten de beveiliging van smart cards en apparaten met ingebedde technologie |
NXP zegt dat ze het algoritme voor de versleuteling geheim hebben gehouden uit concurrentieoverwegingen. Zou dat waar zijn?
Goede cryptografie is publiek, zodat de wetenschappelijke wereld en anderen erover kunnen discussiëren. Als een fabrikant ervoor kiest om de encryptie geheim te houden, dan heeft dat vaak als reden dat men onvoldoende vertrouwen heeft in de sterkte van de implementatie.
Had NXP dit probleem kunnen zien aankomen?
Ik denk dat NXP wel vermoedde dat deze technologie binnenkort om zou vallen. Maar de rfid-chip waar het om gaat, de Mifare Classic, is zeer populair en dus een enorme cash cow.
Dus het is de schuld van NXP dat Nederland nu met een openbaar vervoerssysteem zit dat niet veilig is?
NXP treft wat mij betreft weinig blaam. De Mifare-reeks heeft een toenemende mate van veiligheid. NXP zal heus wel tegen klanten hebben gezegd: we hebben ook een beter product, dat kost wat meer, maar dan zit je veiliger. De Mifare Classic is zo’n tien jaar oud, maar is zeer populair omdat hij gunstig geprijsd is: zo’n vijftig cent. Er is een duurdere variant, de Mifare DES Fire die een sterkere encryptie heeft. Die kost 1,50 euro. Het gaat niet om gigantische bedragen, maar als je daar een aantal miljoen van moet kopen dat gaat dat toch aardig aantikken. Ik denk dat Translink hier de verkeerde afweging heeft gemaakt.
NXP zegt dat de Duitse onderzoekers het algoritme nog niet helemaal ontdekt hebben.
Zelfs al is dat zo, dan nog zal dat hele algoritme binnen afzienbare tijd gevonden worden. Als die Duitse jongens er niet in slagen, dan zijn er genoeg anderen die het willen proberen.
Hoe lang zal het nog duren voordat er concrete meldingen van misbruik komen?
Ik verwacht toch wel dat deze onderzoekers binnen een half jaar meer details zullen prijsgeven, en dat je binnen een jaar de eerste meldingen zult zien van misbruik.
NXP zegt dat er geen beveiligingsprobleem is, omdat de Duitse onderzoekers de geheime sleutel niet kennen.
Omdat de sleutellengte slechts 48 bits lang blijkt te zijn, kun je via ‘brute force’ met een gespecialiseerde machine, die volgens de Duitse onderzoekers voor zo’n honderd euro gebouwd kan worden, de juiste sleutel binnen enkele uren vinden.
Translink zegt dat de versleuteling door de chip maar één onderdeel van het totale beveiligingssysteem is.
Translink doelt op het protocol dat bepaalt hoe die chip interactie heeft met zijn omgeving. In het geval van de ov-chipkaart regelt dat protocol de informatie uitwisseling tussen de pas en het toegangspoortje. Dat protocol zou een zekere bescherming kunnen bieden, maar ik heb daar weinig vertrouwen in. Verder valt op dat Translink dit protocol niet openbaar heeft gemaakt. Het bedrijf heeft dat systeem helemaal in beslotenheid ontwikkeld en nooit de werking ervan duidelijk gemaakt. Anderen kunnen dus niet onderzoeken of het veilig is. Geheimhouden zou een extra bescherming kunnen geven, maar wijst in dit geval waarschijnlijk op zwakte in de beveiliging.
Translink laat de beveiliging van de chipkaart nu door TNO onderzoeken.
Translink zegt: ons protocol is veilig. Dat is een krachtige uitspraak. Tegelijkertijd zeggen ze ook: we hebben aan TNO gevraagd om dat te bevestigen. Het zou beter zijn geweest als Translink had gezegd: wij schrikken hiervan. Wij gaan TNO vragen om uit te zoeken of dit waar is en wat dat voor ons betekent. Op grond daarvan zullen wij actie ondernemen.
Had de Nederlandse overheid niet wat meer de vinger aan de pols moeten houden?
Daarmee raak je een gevoelig punt. Het gaat hier niet zomaar om een toepassing, maar om een systeem waarvan bijna elke Nederlander gebruik gaat maken. Bovendien gaat het om overheidsgeld. Dan mag je dus ook wel verwachten dat de overheid wat actiever meekijkt.
Welke andere klanten van NXP komen nu in de problemen?
Mifare Classic is goedkoop en wordt veel gebruikt voor toepassingen waarvoor het budget beperkt is. Dan kun je bijvoorbeeld denken aan de toegang tot gebouwen. Stel dat jij een pasje hebt om in jouw kantoorgebouw naar binnen te komen, maar je loopt even weg. Dan kan ik met mijn apparatuur doen of ik het toegangspoortje ben. Ik sla het antwoord van jouw pasje op en ga aan het rekenen. Vervolgens zou ik jouw unieke sleutel kunnen vinden en kan ik een kopie van jouw pasje maken om mij met jouw identiteit toegang tot jouw bedrijf te kunnen verschaffen.
Wat moet NXP nu doen? Er zijn wereldwijd allerlei toepassingen waarbinnen de Mifare Classic gebruikt wordt.
Ik neem aan dat NXP op dit moment afnemers waarschuwt, met de boodschap: dit product heeft een zeer beperkte houdbaarheid.
Krijgen al die klanten dan schadevergoeding?
Nee, dat denk ik niet. NXP moet hierop geanticipieerd hebben. Ik neem aan dat ze clausules in hun contracten hebben opgenomen over aansprakelijkheid. En ze zullen klanten erop gewezen hebben dat er duurdere chips in de Mifare-reeks te koop zijn met een krachtiger beveiliging.
Misschien is dit ook een goed verkoopargument voor NXP?
Absoluut. De public relations alarmbellen gaan ongetwijfeld af bij NXP, maar tegelijkertijd realiseert men zich natuurlijk ook de commerciële mogelijkheden van deze situatie. De salesafdeling van NXP kan tegen haar klanten zeggen: de tijd is nu gekomen om te migreren naar iets beters.
| NXP-chip gekraakt Op het Chaos Communication Camp in Berlijn maakten twee Duitse hackers eind december bekend dat ze het versleutelingsalgoritme van een bepaald type rfid-chip van NXP konden kraken. Deze Mifare Classic-chip is onder andere onderdeel van de ov-chipkaart. Marc Witteman: "Karsten Nohl en Henryk Plötz beweren de beveiliging van een belangrijke rfid-chip gebroken te hebben: de zogenaamde Mifare Classic. Dat is een NXP-product uit de Mifare-reeks die eenvoudige cryptografie kan uitvoeren. Nohl en Plötz hebben ontdekt dat de sleutel van de Mifare Classic slechts een lengte van 48 bits heeft, terwijl een lengte van 128 bits pas veilig wordt geacht. Met een gespecialiseerde machine, die volgens de Duitse onderzoekers voor zo’n honderd euro gebouwd zou kunnen worden, kun je de juiste sleutel binnen enkele uren vinden door alle mogelijke sleutels uit te proberen. Een ander probleem op deze chip is de random generator. Dat is een functie die toevalsgetallen genereert. De ene partij genereert zo’n toevalsgetal, stuurt het naar de tegenpartij, die versleutelt het met de geheime sleutel en stuurt het weer terug. Als dat toevallige getal niet echt toevallig is, maar bijvoorbeeld vaak hetzelfde, dan heb je een probleem. Dan zou iemand die meeluistert het juiste antwoord kunnen geven zonder dat hij over de juiste sleutel beschikt. In het geval van de Mifare Classic kan dat. Het blijkt dat de reeks van toevalsgetallen die gegenereerd wordt is gebaseerd op de tijd tussen het moment dat de chip aangaat en het moment dat je zegt: nu wil ik graag mijn eerste toevalsgetal hebben. Dat zou je dus precies kunnen naspelen. De tweede fout is dat deze random generator de tijd maar in een beperkt aantal fragmenten onderverdeelt, namelijk in zo’n 65000. Als je 65000 tijdseenheden wacht, dan begint de random generator weer met die allereerste reeks. Dat aantal is eigenlijk te klein en dat maakt het opnieuw te gemakkelijk om die reeksen te genereren. Daarnaast is er een sterk vermoeden dat er cryptanalyse mogelijk is, waarmee het vinden van de juiste sleutel nog gemakkelijker wordt. Stel je voor dat je er achter zou komen dat het algoritme niets anders zou doen dan de input optellen bij de sleutel. Dan kun je output en input van elkaar aftrekken en zo de sleutel vinden. Een goed algoritme geeft die mogelijkheid niet. De onderzoekers beweren echter dat ze het hele algoritme hebben kunnen herleiden via bestudering van de chip. Zij beweren dat als je kijkt naar opbouw van dat algoritme, je een snellere methode kunt vinden om de sleutel te herleiden, dan enkel op basis van een ‘brute force’-aanval, waarbij je alle mogelijke sleutels uitprobeert. Voor een goed algoritme geldt dat niet. Die wiskunde moet zo goed in elkaar zitten dat het vinden van de sleutel een bijna onmogelijke opgave is op basis van de in- en de output." |
| Trans Link Systems Trans Link Systems is opgericht door de vijf grootste OV-bedrijven om één elektronisch betaalsysteem in het Nederlandse openbaar vervoer te realiseren: de OV-chipkaart. |
