Infrastructuur voor openbare diensten vereist veiligheid en transparantie

Het Nederlandse OV-chipcard systeem waar de afgelopen dagen veel over te doen is geweest is gebaseerd op de Mifare chips van leverancier NXP (voorheen Philips Semiconductors). Er is al eerder angetoond dat de beveiliging van de simplere wegwerp-kaarten te kraken was. Toen ging het om de “Mifare Ultralight” kaarten, en het gevonden lek is inmiddels gedicht. Op de wat duurdere en naar verluidt veiligere kaarten is voor zover wij weten de ‘Mifare Classic’ chip gebruikt. Deze chip is in staat om de communicatie met de lees-/schrijfeenheid te versleutelen. De kaart gebruikt daarvoor een ongepubliceerd versleutelingsalgoritme. De werking van het gebruikte algoritme is achterhaald door Duitse onderzoekers, waardoor de gebruikte sleutellengte van 48 bits niet meer voldoende is om de veiligheid te garanderen. Het is nu mogelijk om alle mogelijkheden te doorlopen om zo de sleutel van een kaart te achterhalen. Dit wordt verergerd door het feit dat de ‘toevalsgenerator’ op de kaart uit te weinig verschillende mogelijkheden kan kiezen en de implementatie hiervan daarnaast grote fouten vertoont: dezelfde toevalsgetallen worden te vaak opnieuw gekozen.

Hoewel op dit moment niemand een volledig uitgewerkte aanval kan laten zien, zijn de getoonde problemen dermate ernstig dat wij allen verwachten dat praktische aanvallen tegen deze kaart op afzienbare termijn uitgevoerd kunnen en zullen worden. De onderzoekers die de fouten ontdekten hebben er in hun presentatie ook nadrukkelijk op gewezen dat partijen die van deze chips afhankelijk zijn de komende maanden zouden moeten gebruiken om op andere chipcards over te schakelen om zichzelf en anderen te beschermen.

Het optreden van Trans Link Systems, het bedrijf achter de OV-Chipkaart, is weinig vertrouwenwekkend. Het bedrijf heeft eerder, in de discussie rond de opslag van reisgegevens, laten merken zich niet veel aan te trekken van maatschappelijke kritiek. Ook na deze nieuwe onthullingen heeft Trans Link Systems op alles simpele antwoorden: Gebruik van OV-chipkaart veilig, niets aan de hand, kaart blijft veilig, slechts een piepklein stukje van de beveiliging in het geding. Zonder te pretenderen alle ins en outs van het systeem te kennen menen wij dat dit een gevaarlijke opstelling is omdat de nu gevonden problemen naar onze mening wel degelijk de kern van de beveiliging van de OV-Chipkaart raken. De problemen zijn serieus en vragen om een professionele respons, die niet slechts uit ontkenning en bagatellisering bestaat. Omdat reizigers geen keus hebben en hier veel overheidsgeld mee gemoeid is moet de infrastructuur van dit OV-Chipkaart project niet enkel aan een gesloten gezelschap met eigen belangen overgelaten worden. De huidige cultuur van geslotenheid is onverstandig, achterhaald, verkwistend en zelfs beledigend tegenover alle burgers die terechte vragen stellen over de manier van omgaan met hun geld en gegevens (en daarmee belangen).

Met de huidige OV-chip vergelijkbare RFID-chips met betere en openbaar gepubliceerde versleuteling zijn – ook bij dezelfde fabrikant – te koop en kosten naar wij begrepen hebben in de orde van anderhalve Euro per stuk in plaats van 50 cent. De beveiliging hiervan berust niet op zelfbedachte speelgoed-cryptografie maar op peer-reviewed, gecertificeerde en bewezen algoritmen. In hoeverre er nu nog op deze chips kan worden overgeschakeld en wat daarvan in de rest van het systeem de kosten zijn kunnen we niet beoordelen, maar het koste wat kost handhaven van de huidige kaarten kon ook nog wel eens heel duur worden.

Om de precieze impact van de nu getoonde zwakheden te beoordelen is een onafhankelijk onderzoek nodig. Trans Link Systems heeft, naar ze zelf aangeeft, TNO aan het werk gezet om e.e.a. uit te zoeken. Hoewel men zelf al bij voorbaat zeker meent te weten dat alles in orde is, staat er in een verklaring letterlijk: “Trans Link Systems heeft TNO verzocht een onafhankelijk onderzoek uit te voeren om deze conclusie te bevestigen.” Naast de merkwaardige definitie van ‘onafhankelijk onderzoek’ lijkt ook de onderzoeks-vraagstelling op het eerste gezicht op een gewenste conclusie aan te sturen. Onderzoek door TNO is in principe een goede zaak, maar dan dienen opdracht, werkwijze, methoden en uitkomsten volstrekt openbaar te zijn. De persverklaring hieromtrent van Translink is wederom weinig vertrouwenwekkend.

Al in 1883 publiceerde de Nederlandse cryptograaf Auguste Kerckhoffs een aantal stellingen. Onder andere beweerde hij dat cryptografische systemen niet afhankelijk horen te zijn van geheimhouding van het algoritme, maar alleen van de geheimhouding van de sleutel. Dit principe is in de cryptografie algemeen aanvaard. Doordat de werking van een systeem in een wetenschappelijk discussie kan worden bekritiseerd kunnen zwaktes worden opgespoord en verholpen, liefst voordat een systeem breed wordt ingezet.

De lessen die uit de omgang met stemmachines getrokken kunnen worden zijn in brede zin ook hier relevant. Want als het helemaal mis gaat met de OV-chipcard dan zullen alle Nederlandse burgers daar uiteindelijk de rekening voor betalen. En dan zou de samenleving, net als in de kwestie met de stemcomputers, alweer leergeld betalen voor de keuze van een fabrikant die meent op eigen houtje en zonder een open review proces iets “heel erg veiligs” te kunnen bedenken waarvan ze vervolgens “uit oogpunt van veiligheid” niemand willen vertellen hoe het werkt. Ook nu weer zegt Trans Link Systems dat er “vele aanvullende veiligheidsmaatregelen” zijn, maar wil ze niet zeggen waar deze uit bestaan. Deze manier van beveiligen wordt vaak ‘Security Through Obscurity’ genoemd, en het is in technische kringen al sinds jaar en dag bekend dat deze filosofie vaak leidt tot hele dure mislukkingen.

De overheid moet in zaken die ons allemaal aangaan een actievere rol spelen en moet aanspreekbaar zijn als het gaat om transparantie en veiligheid. Met de recente steun in kabinet en Kamer voor het gebruik van Open Standaarden en Open Source Software (zie het actieplan “Nederland Open in Verbinding”) wordt het belang van transparantie in ICT langzaamaan in bredere kring erkend.

Georgi Gaydajiev
Rop Gonggrijp
Job de Haas
Bart Jacobs
Hans van de Looy
Martijn Oostdijk
Melanie Rieback
Maurits van der Schee
Andy Tanenbaum
Marc Witteman

De ondergetekenden zijn allen beveiligingsonderzoekers, vaak met specifieke expertise op het gebied van privacy, chipcards, RFIDs en embedded systemen. Bart Jacobs is hoogleraar informatiebeveiliging in Nijmegen en Eindhoven, Andy Tanenbaum is hoogleraar informatica aan de Vrije Universiteit te Amsterdam.

17 thoughts on “Infrastructuur voor openbare diensten vereist veiligheid en transparantie”

  1. Prachtig uitgelegd.
    Het vervelende is dat dit dirèct bij de burger komt; de OV bedrijven wilden wel een OV-chipkaart, als de overheid de invoering maar betaalt. En altijd mooi weer spelen, ik ben bang dat het systeem minstens in de praktijk gekraakt moet worden voordat TLS erkent. Want een TNO onderzoek, dat hebben we ook bij Nedap gezien 😉

    Voordeeltje is nu wel, dat het in de praktijk sneller misbruikt zal worden, en mensen dus ook bang zullen worden voor hun portemonnaie en minder ‘abstracte’ zaken als controleerbare en geheime verkiezingen.

  2. Stel je nou eens voor dat de OV-kaart geen vertraging had opgelopen. Dan was het systeem juist nu in heel Nederland in gebruik. En dan deze kraak… Dan had iedereen nu gratis openbaar vervoer. Eigenlijk komt deze kraak, die onvermijdelijk was, geen moment te laat.

  3. Prima statement. Van ingewijden heb ik begrepen dat het probleem van zwakke crypto in Mifare Classic al veel langer bekend was onder technici die aan of met Mifare ontwikkelen (ik citeer: “iedereen wist dat natuurlijk allang”). Bij zowel NXP als Trans Link Systems mòeten technici hebben gezeten die dit wisten. De vraag is of die kennis ten tijde van het tekenen van het leveringscontract aanwezig was (of had kunnen zijn) bij de besluitvormers van beide bedrijven. Zo nee, dan hebben de technici (moreel) gefaald. Zo ja, dan is de vraag of de zwakke crypto is meegenomen als ingecalculeerd risico, ‘de koppen in het zand zijn gestoken’ of dat de technici uit de board room zijn weggebonjourd (en waarom).

    Ik roep die technici op om te klokkenluiden, opdat duidelijk wordt wie destijds z’n verantwoordelijkheid niet heeft genomen en waarom niet. Daarmee wordt Nederland een GROTE gunst bewezen, en is de winnaar van de Joop Bautz Security Award 2008 wat mij betreft bekend.

  4. Ik verbaas me erover dat deze open brief slechts de technische hiaten van de OV-chipkaart belicht. Met geen woord wordt er gerept over de bijkomende privacy-gevoelige nadelen, zoals het bijhouden van het reisgedrag door de vervoersbedrijven (en justitie uiteraard) en het ongevraagd toezenden van reclamemateriaal toegespitst op het reisgedrag. Maar kennelijk hebben de wetenschappers van deze open brief een broertje dood aan schending van de privacy, men wil slechts een veiligere OV-chipkaart. Graag een reactie als het kan.

  5. Ik snap er helemaal niets van… Kan iemand mij eens uitleggen waarom er overal ter wereld (al jaren) met pasjes systemen in het openbaar vervoer wirdt gereisd, maar dat het in NL zo’n enorm probleem moet zijn. In Londen gebruiken ze het Oyster systeem. Is dat systeem dan te kraken of is TLS het wiel opnieuw aan het uitvinden??

  6. Alex: een broertje dood aan schendingen van privacy heb ik zeker niet. Dat het nu even over iets anders ging wil niet gelijk zeggen dat dat ons niet interesseert. En er staat ook iets over privacy in de verklaring.

    Alleen het huidige probleem betreft in ieder geval de veiligheid van de technologie, en dus de bruikbaarheid van de Mifare Classic voor dit soort toepassingen. TLS roept nu wel dat de privacy niet in gevaar is door deze hack. Veel belangrijker is dat die data niet door TLS zelf misbruikt/verkocht gaat worden, want dat zijn ze wel van plan.

    Camel: De Oyster is bij mijn weten een DESfire, de variant met grote-mensen cryptografie (Triple-DES). TLS is niet het wiel opnieuw aan het uitvinden, ze hebben een bestaand kinderwagenwiel onder een auto geschroefd.

  7. Ik begrijp alle ophef niet. Nederland op z’n kleinst. Als ik de video van het congress bekijk op de volkskrant site, dan hebben ze alleen ontdekt hoe de communicatie werkt (knap staaltje overigens), dat is maar 1 deel van het beveiligingssysteem van de mifare. Uiteindelijk gaat het erom hoe de beveiliging binnen de OV-chipkaart is geregeld en het systeem waar het mee communiceert.
    De hele wereld is nu in rep en roer, omdat 2 studenten ontdekt hebben hoe dat algoritme mogelijk werkt.
    In Nederland gaan we nu allemaal kamer vragen stellen en een voorschot nemen op allerlei mogelijke scenario’s welke kunnen gebeuren. Angst zaaien heet dat. Hetzelfde wat we na 9-11 deden. Er worden elke dag pinpassen gekraakt en iedereen heeft zo’n pinpas in zijn portefeuille.
    Wat heb je nou aan het kraken van een OV-chipkaart, dan kan je gratis de hele dag in de trein zitten? Tjonge boeiend. Volgens mij is zwart reizen makkelijker. Studenten hebben er ook geen belang bij, want die hebben al een OV-kaart. Slechte business case voor een criminele organisatie.

  8. Rop: De lezer van jullie brief trekt de conclusie dat jullie de huidige ov-chipkaart afwijzen vanwege de kwetsbaarheid ervan, ten nadele van de consument. Kortom: andere techniek toepassen.

    Diezelfde lezer kan niet anders concluderen dat de schrijvers van de open brief achter invoering van deze chipkaart staan. Wellicht uit pragmatische overwegingen, want tegenhouden lijkt een gepasseerd station (hoewel de huidige commotie deuren opent), maar toch.

    Was het niet beter geweest om een alinea eraan toe te voegen waarin jullie privacyschendende techniek als de OV-chipkaart, RFID-technologie in het algemeen, op principiële gronden afwijzen? Ervan uitgaand dat alle ondertekenaars zich evenzeer zorgen maken om de privacy van de burger. Ik vind het een gemiste kans.

    Dank voor je reactie, groet.

  9. Alex: Waarom zou de lezer die conclusie trekken? Wie niet tegen is is automatisch voor? Er staat duidelijk in dat TLS als een bedenkelijke reputatie heeft omdat ze het debat over de reisgegevens ontwijken/negeren. Dat is kwalijk, en daar heb ik bij andere gelegenheden meer dat genoeg over gezegd. (Het is zelfs zo dat journalisten beginnen te gapen als is er weer over begin). En het ging nu even over iets anders, namelijk de beveiliging van de openbare infrastructuur. Die is onafhankelijk van de privacy-vraagstukken _ook_ belangrijk, en ik vind het wel goed dat iedereen nu begint door te krijgen dar ‘Security Through Obscurity’ niet werkt.

  10. Luc; er is meer gekraakt dan alleen de communicatie. Vrijwel de hele werking van de chip is nu bekend, deze kan nu gesimuleerd worden in andere (veel snellere) hardware waardoor het mogelijk wordt in uren (of minuten, afhankelijk van het budget) de sleutels te brute-forcen. Als ik het goed begrijp wordt het ook mogelijk de kaarten te kopiëren na een snelle scan, bijvoorbeeld van een kaart die in de broekzak van een voorbijganger zit.

    Er zijn wereldwijd inderdaad legio OV systemen met nog slechter beveiligde kaarten, bij dat soort systemen is het echter niet zo dat er dure jaar abonnementen en bank incasso’s aan het systeem hangen.

    Ik hoop dat de politiek dit hele debacle gebruiken om een groot deel van het OV-chip systeem op de juiste manier te implementeren. Dit keer op een zodanige manier dat privacy gegarandeerd blijft (geen centrale database met vervoersgegevens) en ook zodat het systeem gemakkelijker en betrouwbaarder werkt dan nu het geval is.

  11. Bart: Je opmerking over het op afstand kopieren van de kaart is nu net de grootste onzin wellke ik afgelopen week heb gehoord. Dergelijke uitspraken moeten gebaseerd worden op feiten en niet op aannames en dan zal je toch echt moeten weten hoe het interne security mechanisme werkt van de kaart en het gebruikte systeem. Rover gebruikt dit nu ook al als argument om mensen bang te maken.
    Ook de discussie rondom de privacy gegevens begrijp ik niet echt. Bij de AH (Airmiles / bonuspas) en telefoon providers liggen ook al onze gegevens vast. Ik krijg regelmatig aanbiedingen voor andere abonnementsvormen gezien mijn belgedrag, daar is toch niets op tegen. We doen nu net met z’n alle of nergens onze gegevens vastliggen.
    Ik ben het wel eens met de gevraagde openheid in de bovenstaande brief. Het lijkt me heel dat Trans Link Systems snel helderheid geeft over het gebruikte security mechanisme, zodat alle indianen verhalen naar het rijk der fabelen kunnen en er een gezonde discussie ontstaat over de security.
    Het consumenten vertrouwen is naar de berichtgeving de laatste week toch tot het vriespunt gedaald, dus dat zou erg helpen.

  12. Beste Rop,

    Bedankt het op je nemen van de ondankbare taak mensen te informeren en te wijzen op de gevolgen van een steeds verder gedigitaliseerde en vernetwerkte samenleving.

    Wellicht wordt het tijd om een organisatie a la CCC in Nederland op te zetten en hiermee een partij te zijn in de maatschappelijke discussie, of daar waar klakeloze acceptatie is discussie te voeren omtrent technologie en de implicaties daarvan op onze maatschappij?

    Dit lijkt mij zeer noodzakelijk om zo op een niet ad-hoc wijze het soort zaken zoals de OV-chipkaart en de stemcomputers aan de kaak te stellen. Er ligt daarbij een grote ondankbare taak op het onderwijzen van de grote groep mensen die geen idee heeft van de impact van technologie op onze maatschappij en waarom dit van levensbelang is. Ik zou hierbij graag aan mee willen helpen.

    Ik ben dan ook erg benieuwd naar je mening hierover: Kan en moet Nederland een eigen CCC hebben die deze rol op zich neemt?

    grtz
    BjornW

  13. Beste Luc,

    De discussie rond de verwerking van persoonsgegevens (niet zozeer privacy want dat is een breed en vaag begrip) gaat over de wet, de WBP, die voorschrijft dat je persoonsgegevens mag verwerken *als je er een welomschreven doel voor hebt*. Voor het verwerken van gegevens heeft TransLink een duidelijk en logisch doel, voor het *langdurig bewaren* echter niet. Als het gaat om reisanalyses, dan kan dat ook door de gegevens in één richting te anonimiseren. TLS weigert aan dat verzoek van het CBP, de toezichthouder, te voldoen en kan het toch niet uitleggen.

    Nee, ik heb niets tegen de OV-chipkaart (liever gisteren dan morgen) maar dan wel zonder langdurige opslag van mijn reisgegevens en met een veilige kaart.

    AH (Airmiles) kan dat op persoon verwerken wel maar doet het allang niet meer: je krijgt geen gepersonificeerde aanbiedingen. Telco operators, ook mobiele, zijn het wettelijk verplicht maar willen het niet – het kost ze (en dus ons) geld maar levert niks op.

    JW

  14. Vandaag heb ik Boris van der Ham (D66) in elk geval zowel telefonisch als per mail uitdrukkelijk van dit stuk op de hoogte gebracht ten behoeve van het spoeddebat dat in de Tweede Kamer over dit onderwerp gehouden gaat worden. Nu maar hopen dat de kamerleden dit allemaal kunnen overzien.

    Martijn Leisink
    D66 Gelderland

  15. Rob,

    Een goed en helder verhaal. Jammer dat sommige mensen niet doorhebben dat de mensen die deze brief ondertekend hebben ZEER hoog staan aangeschreven, binnen zowel beveiligings-, hackers- als ICT-kringen.

    Natuurlijk is privacy belangrijk, maar dit staat los van het wel of niet veilig zijn van een systeem. Ook als het systeem WEL veilig zou zijn, hebben we nog te maken met het privacy probleem. Dit is dus een andere discussie, die los gevoerd kan worden.

    Erg jammer om te zien hoe langzaam en stroperig het hele ‘opensource initatief’ binnen de overheid gaat. Clubs zoals OSOSS zijn in mijn ogen ‘yuppen clubs’, met mooie verhalen, die nog te ver van de reeds bestaande open source bedrijven staan. (leuk zo’n stropdas, maar kijk eens naar de mensen die deze software ontwikkellen )

    Edwin Eefting

  16. Luc: Met je airmiles/bonuskaart vergelijking ga je aan een heel belangrijk punt voorbij: Het is niet verplicht. Je kunt er voor kiezen, maar als je het niet wilt kun je nog steeds gewoon boodschappen doen. Die keuze heb je bij de OV chipkaart niet, je kunt zometeen alleen nog van het OV gebruik maken als je instemt met een forse schending van je privacy.

    Bovendien: Het feit dat er nu al veel gegevens worden vastgelegd wil natuurlijk niet zeggen dat er nog meer gegevens door nog meer verschillende organisaties moeten of mogen worden vastgelegd.

Comments are closed.