De OV-chipkaart krijgt 'op termijn' een nieuwe chip. Dat maakt staatssecretaris Tineke Huizinga van Verkeer en Waterstaat bekend. De invoering van de huidige variant van de digitale strippenkaart komt op een laag pitje te staan en moet vergezeld gaan van een 'goed functionererend fraudebeheersingsplan' en een 'migratieplan'.
De regering zegt hiermee de aanbevelingen te volgen die de Universiteit van Londen (RHUL) half april deed. De RHUL adviseerde de huidige Mifare Classic chip te vervangen door een chip waarvan het algoritme die 'niet gebaseerd is op een geheim algoritme en voldoende lange veiligheidssleutels bevat'.
Migratieplan
Ondertussen wordt langzaamaan en gefaseerd (regio per regio) doorgegaan met invoering van de huidige variant van de digitale strippenkaart. Wel moet er een 'goed functionererend fraudebeheersingsplan' komen en een 'migratieplan dat een overgang van de huidige naar een nieuwe chip voorbereidt'. Dat schrijft staatssecretaris Huizinga in haar brief aan de Tweede Kamer.
Mifare Plus als mogelijke opvolger
Chipfabrikant NXP lanceerde in maart al een mogelijke opvolger voor de Mifare Classic: de Mifare Plus. Deze chip kent een hoger beveiligingsniveau en is backwards compatible met de Classic. De prijs van de Mifare Plus zal liggen tussen die van de Classic, die in de huidige ov-chipkaart verwerkt is en ongeveer vijfig eurocent kost, en de Mifare Desfire, die tot nu toe als de gedoodverfde opvolger van de Classic werd gezien en ongeveer 1,50 euro kost.
Identiteitsroof
Een Nederlandse groep vooraanstaande beveiligingsexperts riep begin januari al op om de rfid-chip in de ov-chipkaart te vervangen voor een duurdere, beter beveiligde versie. De Mifare Classic van NXP, die in de chipkaart verwerkt is, is zo'n tien jaar oud, maar is zeer populair omdat hij gunstig geprijsd is. Het beveiligingsalgoritme van deze chip is niet publiek.
Marc Witteman, chief technology officer van het Delftse bedrijf Riscure, zei hier eerder over tegen Computable: "Goede cryptografie is publiek, zodat de wetenschappelijke wereld en anderen er over kunnen discussiëren. Als een fabrikant ervoor kiest om de encryptie geheim te houden, dan heeft dat vaak als reden dat men onvoldoende vertrouwen heeft in de sterkte van de implementatie."