Het CRYPTO1-algoritme dat is gebruikt in de Mifare Classic (de rfid-chip die de kern vormt van de ov-chipkaart) is geen goed algoritme. Dat komt vooral omdat het algoritme geheim is. Ook is de lengte van de sleutel te kort. Dat zeggen Britse wetenschappers na een contra-expertise.
Het grootste probleem van de Mifare Classic is dat het beveiligingsalgoritme ervan geheim is. Dat schrijft de Royal Holloway University of London (RHUL) in het rapport 'ov-chipkaart counter expertise'. Zowel de lezer als de kaart gebruiken een geheim algoritme, namelijk CRYPTO1.
Staatssecretaris Tineke Huizinga van Verkeer laat, naar aanleiding van het onderzoek van RHUL, in een brief aan de Tweede Kamer weten dat zij zich afvraagt of de invoerdatum van de ov-chipkaart op 1 januari 2009 nog wel gehaald kan worden. Zij heeft TransLinkSystems (TLS), verantwoordelijk voor de invoering van de ov-chipkaart, en de deelnemende ov-bedrijven hierover vragen gesteld.
Geheim
Het nadeel van een geheim algoritme is dat de gemeenschap van beveiligingsonderzoekers niet mee kan denken over de vraag of de beveiliging voldoende is. "Het is een breed geaccepteerde best practice dat in cryptografische systemen alleen algoritmen worden gebruikt die openlijk door cryptografische deskundigen zijn geëvalueerd", schrijven de onderzoekers in het rapport. Marc Witteman, oprichter en chief technology officer van het Delftse bedrijf Riscure, zei in januari al tegen Computable dat goede cryptografie publiek is.
Ook is de lengte van de sleutel die het algoritme gebruikt volgens de onderzoekers te kort. De sleutel heeft een lengte van 48 bits. Er zijn dus 2 tot de macht 48 mogelijke sleutels. Met de computerapparatuur van tegenwoordig is een dergelijke sleutel makkelijk te kraken, aldus RHUL.
De onderzoekers van RHUL stellen dat een alternatieve chip voor de ov-chipkaart getest moet zijn door cryptografische experts. Ook mag de chip niet gebaseerd zijn op een geheim algoritme en moet het voldoende lange veiligheidssleutels bevatten.
48 bits geeft 2^48 = 281.474.976.710.656 mogelijke sleutels, niet 248.
248 mogelijke sleutels?
Een sleutel van 48 bits. 2^48 is nog altijd 281474976710656.
Dat is wel is meer dan 248.
Of maak ik hier een fout?
Lezen Floort en Jelle wel goed?
Ik zie het getal 248 nerens in het artikel, wel de uitdrukking ‘2 tot de macht 48’. En dat is mijns inziens hetzelfde als 2^48 …
248 mogelijke sleutels of 2^48= 281474976710656 sleutels?
Denkt Jan wel goed?
Het artikel is natuurlijk aangepast nadat Floort en Jelle dit opmerkten.
Dat lijkt me wel zo waarschijnlijk.
Of maak ik hier een fout?
Het artikel is inderdaad aangepast. Er stond eerst 248, maar dat moet natuurlijk 2^48 zijn.