Onderzoekers van de Radboud Universiteit in Nijmegen mogen publiceren over de gebrekkige beveiliging van de Mifare Classic-chip van fabrikant NXP. Dat heeft de rechtbank in Arnhem in kort geding bepaald. De chip wordt onder andere gebruikt in de OV-chipkaart en toegangspassen voor overheidsgebouwen.
De Nijmeegse onderzoekers die de ov-chipkaartlezers kraakten, mogen over hun ontdekking publiceren. Dat bepaalt de rechtbank in Arnhem in een kort geding van chipfabrikant NXP tegen de onderzoekers. Met de uitspraak vervalt het spreekverbod dat de rechter de onderzoekers tijdelijk oplegde. NXP spande het kort geding aan tegen professor Bart Jacobs van de Nijmeegse Digital Security-groep.
De Digital Security-groep wil in oktober op een congres in Spanje een wetenschappelijk onderzoek presenteren over de tekortkomingen van de Mifare Classic-chip. Het verslag van de onderzoeksbevindingen is inmiddels geaccepteerd voor publicatie in een wetenschappelijk tijdschrift.
Maatschappelijk belang
De onderzoekers beriepen zich met succes op de vrijheid van meningsuiting. De rechter oordeelde dat het bekendmaken van de manco’s van de chip een groot maatschappelijk belang dient. Hierdoor kunnen maatregelen worden genomen tegen de risico’s van het beveiligingslek in de chip.
Dat op korte termijn veiligheidsrisico’s zouden dreigen door publicatie van de gebreken in de chip, is volgens de rechter niet overtuigend aangetoond. “De schade die NXP oploopt is niet het gevolg van publicatie van het artikel, maar van het produceren en verhandelen van een chip die gebreken blijkt te hebben, wat de eigen verantwoordelijkheid van NXP is”, stelt de rechter in zijn vonnis.
OV-chip v2.0
De Nijmeegse Digital Security-groep werkt de komende anderhalf jaar onder leiding van professor Bart Jacobs aan ‘OV-chip v2.0', een ov-chipkaartsysteem dat aan drie eisen gaat voldoen:
- een sterke cryptografische beveiliging van de hardware
- een softwareomgeving die het reisgedrag van reizigers niet centraal opslaat en
- een broncode die beschikbaar wordt gesteld via een opensourcelicentie.
NXP produceert de Mifare Classic-chip sinds 1995. Wereldwijd zijn ongeveer één miljard exemplaren afgezet, voor gebruik in toegangspassen voor gebouwen en in het openbaar vervoer.
Mooi, een 13 jaar oud beveiligingsproduct blijven verkopen moet gewoon gestraft worden.
Tijd om je aandelen te verkopen 🙂
Gelukkig een rechter die snapt waar het om gaat en duidelijk inziet waar de oorzaak ligt.
Bij de fabrikant van de chip.
Nu nog de software producenten aanpakken