Infrastructuur voor openbare diensten vereist veiligheid en transparantie

Het Nederlandse OV-chipcard systeem waar de afgelopen dagen veel over te doen is geweest is gebaseerd op de Mifare chips van leverancier NXP (voorheen Philips Semiconductors). Er is al eerder angetoond dat de beveiliging van de simplere wegwerp-kaarten te kraken was. Toen ging het om de “Mifare Ultralight” kaarten, en het gevonden lek is inmiddels gedicht. Op de wat duurdere en naar verluidt veiligere kaarten is voor zover wij weten de ‘Mifare Classic’ chip gebruikt. Deze chip is in staat om de communicatie met de lees-/schrijfeenheid te versleutelen. De kaart gebruikt daarvoor een ongepubliceerd versleutelingsalgoritme. De werking van het gebruikte algoritme is achterhaald door Duitse onderzoekers, waardoor de gebruikte sleutellengte van 48 bits niet meer voldoende is om de veiligheid te garanderen. Het is nu mogelijk om alle mogelijkheden te doorlopen om zo de sleutel van een kaart te achterhalen. Dit wordt verergerd door het feit dat de ‘toevalsgenerator’ op de kaart uit te weinig verschillende mogelijkheden kan kiezen en de implementatie hiervan daarnaast grote fouten vertoont: dezelfde toevalsgetallen worden te vaak opnieuw gekozen.

Hoewel op dit moment niemand een volledig uitgewerkte aanval kan laten zien, zijn de getoonde problemen dermate ernstig dat wij allen verwachten dat praktische aanvallen tegen deze kaart op afzienbare termijn uitgevoerd kunnen en zullen worden. De onderzoekers die de fouten ontdekten hebben er in hun presentatie ook nadrukkelijk op gewezen dat partijen die van deze chips afhankelijk zijn de komende maanden zouden moeten gebruiken om op andere chipcards over te schakelen om zichzelf en anderen te beschermen.

Het optreden van Trans Link Systems, het bedrijf achter de OV-Chipkaart, is weinig vertrouwenwekkend. Het bedrijf heeft eerder, in de discussie rond de opslag van reisgegevens, laten merken zich niet veel aan te trekken van maatschappelijke kritiek. Ook na deze nieuwe onthullingen heeft Trans Link Systems op alles simpele antwoorden: Gebruik van OV-chipkaart veilig, niets aan de hand, kaart blijft veilig, slechts een piepklein stukje van de beveiliging in het geding. Zonder te pretenderen alle ins en outs van het systeem te kennen menen wij dat dit een gevaarlijke opstelling is omdat de nu gevonden problemen naar onze mening wel degelijk de kern van de beveiliging van de OV-Chipkaart raken. De problemen zijn serieus en vragen om een professionele respons, die niet slechts uit ontkenning en bagatellisering bestaat. Omdat reizigers geen keus hebben en hier veel overheidsgeld mee gemoeid is moet de infrastructuur van dit OV-Chipkaart project niet enkel aan een gesloten gezelschap met eigen belangen overgelaten worden. De huidige cultuur van geslotenheid is onverstandig, achterhaald, verkwistend en zelfs beledigend tegenover alle burgers die terechte vragen stellen over de manier van omgaan met hun geld en gegevens (en daarmee belangen).

Met de huidige OV-chip vergelijkbare RFID-chips met betere en openbaar gepubliceerde versleuteling zijn – ook bij dezelfde fabrikant – te koop en kosten naar wij begrepen hebben in de orde van anderhalve Euro per stuk in plaats van 50 cent. De beveiliging hiervan berust niet op zelfbedachte speelgoed-cryptografie maar op peer-reviewed, gecertificeerde en bewezen algoritmen. In hoeverre er nu nog op deze chips kan worden overgeschakeld en wat daarvan in de rest van het systeem de kosten zijn kunnen we niet beoordelen, maar het koste wat kost handhaven van de huidige kaarten kon ook nog wel eens heel duur worden.

Om de precieze impact van de nu getoonde zwakheden te beoordelen is een onafhankelijk onderzoek nodig. Trans Link Systems heeft, naar ze zelf aangeeft, TNO aan het werk gezet om e.e.a. uit te zoeken. Hoewel men zelf al bij voorbaat zeker meent te weten dat alles in orde is, staat er in een verklaring letterlijk: “Trans Link Systems heeft TNO verzocht een onafhankelijk onderzoek uit te voeren om deze conclusie te bevestigen.” Naast de merkwaardige definitie van ‘onafhankelijk onderzoek’ lijkt ook de onderzoeks-vraagstelling op het eerste gezicht op een gewenste conclusie aan te sturen. Onderzoek door TNO is in principe een goede zaak, maar dan dienen opdracht, werkwijze, methoden en uitkomsten volstrekt openbaar te zijn. De persverklaring hieromtrent van Translink is wederom weinig vertrouwenwekkend.

Al in 1883 publiceerde de Nederlandse cryptograaf Auguste Kerckhoffs een aantal stellingen. Onder andere beweerde hij dat cryptografische systemen niet afhankelijk horen te zijn van geheimhouding van het algoritme, maar alleen van de geheimhouding van de sleutel. Dit principe is in de cryptografie algemeen aanvaard. Doordat de werking van een systeem in een wetenschappelijk discussie kan worden bekritiseerd kunnen zwaktes worden opgespoord en verholpen, liefst voordat een systeem breed wordt ingezet.

De lessen die uit de omgang met stemmachines getrokken kunnen worden zijn in brede zin ook hier relevant. Want als het helemaal mis gaat met de OV-chipcard dan zullen alle Nederlandse burgers daar uiteindelijk de rekening voor betalen. En dan zou de samenleving, net als in de kwestie met de stemcomputers, alweer leergeld betalen voor de keuze van een fabrikant die meent op eigen houtje en zonder een open review proces iets “heel erg veiligs” te kunnen bedenken waarvan ze vervolgens “uit oogpunt van veiligheid” niemand willen vertellen hoe het werkt. Ook nu weer zegt Trans Link Systems dat er “vele aanvullende veiligheidsmaatregelen” zijn, maar wil ze niet zeggen waar deze uit bestaan. Deze manier van beveiligen wordt vaak ‘Security Through Obscurity’ genoemd, en het is in technische kringen al sinds jaar en dag bekend dat deze filosofie vaak leidt tot hele dure mislukkingen.

De overheid moet in zaken die ons allemaal aangaan een actievere rol spelen en moet aanspreekbaar zijn als het gaat om transparantie en veiligheid. Met de recente steun in kabinet en Kamer voor het gebruik van Open Standaarden en Open Source Software (zie het actieplan “Nederland Open in Verbinding”) wordt het belang van transparantie in ICT langzaamaan in bredere kring erkend.

Georgi Gaydajiev
Rop Gonggrijp
Job de Haas
Bart Jacobs
Hans van de Looy
Martijn Oostdijk
Melanie Rieback
Maurits van der Schee
Andy Tanenbaum
Marc Witteman

De ondergetekenden zijn allen beveiligingsonderzoekers, vaak met specifieke expertise op het gebied van privacy, chipcards, RFIDs en embedded systemen. Bart Jacobs is hoogleraar informatiebeveiliging in Nijmegen en Eindhoven, Andy Tanenbaum is hoogleraar informatica aan de Vrije Universiteit te Amsterdam.