NXP presenteert veilige RFID-chip voor OV-chipkaart
Nu bekend is geworden dat de Mifare Classic RFID-chip volledig gekraakt is en aanvallers toegang geeft tot de persoonlijke en financiële informatie van gebruikers, heeft fabrikant NXP Semiconductors een nieuwe veiligere variant gepresenteerd. De Mifare plus wordt omschreven als een "revolutionaire" chip die van 128-bit AES encryptie is voorzien. Het grote voordeel volgens NXP is dat bedrijven die de gewraakte Mifare Classic geïmplementeerd hebben eenvoudig kunnen migreren naar de veilige variant.
"Voor zowel vervoerders als passagiers biedt de Mifare plus een ongekend niveau van veiligheid, privacy en comptabiliteit," aldus algemeen directeur Henri Ardevol. De chip zou vanaf de grond af aan zijn opgebouwd en zo voldoen aan de security en privacy eisen van de 21ste eeuw. Bedrijven die de chip willen gebruiken moeten nog wel even wachten, de Mifare plus is pas vanaf het vierde kwartaal van dit jaar beschikbaar voor testdoeleinden.
Beveiliging centraal
De beveiliging zou tijdens het ontwerp van de chip centraal hebben gestaan. Naast de AES encryptie zijn er ook maatregelen die moeten voorkomen dat gebruikers door anderen zijn te monitoren. De maatregelen zijn te gebruiken via Random Identifiers (RIDs) en 7 Byte Unique Identifiers (UIDs). Ook is de chip voorzien van een actieve beveiliging tegen emulators. NXP is zo overtuigd van de beveiliging, dat het de EAL 4+ Certificering voor de chip gaat aanvragen. Op deze manier hoopt het alle negatieve publiciteit rondom de naam teniet te doen, aangezien EAL 4+ een internationaal geaccepteerde standaard is.
TNO onbetrouwbaar?
Eerder liet TNO nog weten dat de chip voldoende veilig is, maar het lijkt erop dat het onderzoeksinstituut grote fouten heeft gemaakt. "Ik kan me niet aan de indruk onttrekken dat hier te vroeg geclaimd wordt. Maar ondertussen denk ik dat het niet lang meer duurt voordat de kaart omvalt," zo laat Bart Jacobs, hoogleraar informatiebeveiliging aan de Radboud Universiteit in Nijmegen, tegenover Webwereld weten. De onderzoekers die zeggen de chip volledig gekraakt te hebben, hebben dit nog niet gedemonstreerd omdat ze betrokkenen eerst de tijd willen geven orde op zaken te stellen.
Hoe veilig is deze beveiliging?
wel en dan blijkt de certificering te falen maar dan is het
allang voor veels te veel geld als upgrade van de
OV-slipkaart verkocht ...? En certificering kan ook als er
lekken inzitten ...
'Revolutionair'... zegt al genoeg. Dat betekent in IT-land
dat de marketingafdeling geen flauw maar dan ook geen enkel
benul heeft waar ze het over hebben. Het R-woord is gewoon
verbale diarree...
het bekend dat de oude gekraakt is? Hij lag dus al een
tijdje op de plank en was het wachten op het slechte nieuws
om er met een positieve primeur overheen te komen.
Ze sturen een persbericht van een nieuw product uit op de
dag dat bekend wordt dat het oude systeem gekraakt is. Ze
hadden het product dus blijkbaar al op de plank liggen. Ze
zaten gewoon te wachten tot ook anderen er achter kwamen dat
het oude product slecht beveiligd was.
Ik heb er toch nare bijsmaak bij.
korte termijn een oplossing die alles doet wat je ooit zou
wensen. Dit zorgt ervoor dat mensen niet naar de
concurrentie gaan kijken, maar met spanning wachten op waar
je mee gaat komen.
Als de tijd daar is en je eindelijk (veel te laat,
natuurlijk) een product presenteert doet dit lang niet wat
je allemaal beloofd hebt, maar het is net "good enough" voor
de minder kritische klanten (de overgrote meerderheid).
Succes gegarandeerd!
beste beveiliging heeft etc. als men pas in het vierde kwartaal van
2008 de chip beschikbaar heeft voor testdoeleinden....??
Men heeft bijvoorbaat al de bodem uit de mand gehaald, dan valt
men niet maar blijft men staan. En dus ook hun beweringen.
Fred
Vraag: zoals zo velen zeggen ALLES IS TE KRAKEN!
Hoe veilig is deze beveiliging?
Voorlopig is deze wel veilig denk ik. Het is echter een
kwestie van tijd dat deze beveiliging ook te kraken is. Dan
moet er weer een nieuw systeem zijn uitgedacht om het oude
tijdig te vervangen zodat men het hackersvolkje voor kan
blijven.
wanneer.
Bij voldoende sterkte van de AES 128 bits sleutel kan dit
nog heel, heel lang duren.
Ik denk dat het revolutionaire er aan is dat het zeer
makkelijk zou moeten zijn om over te stappen van de Mifare
Classic (waarvan al jaren, ook bij de klanten van NXP,
bekend was dat die niet over beveiliging beschikt) naar de
plus versie.
de Mifare classic voldoende veilig (net zo veilig als een
papiertje met bar code of andere kopiëerbare informatie).
Er is niet gekeken naar "kan ik mijn telebankierenapplicatie
(of staatsgeheimen) ermee beveiligen. Als dat zo was zou ook
TNO met een ander oordeel gekomen zijn.
Voorlopig is deze wel veilig denk ik
van het jaar samples! Maar ja, als je product
he-le-maal aan gort is gehackt zal je wel met zo'n
aankondiging moeten komen. Intussen zullen er ongetwijfeld
een boel techneuten zitten zweten bij NXP...
uiteindelijk weer in de zwakste schakel. Voordat er dus vol
vreugde een knuffelcampagne start: eerst maar eens bewijzen
dat het werkelijk veilig zal zijn. We kennen meer van dit
soort 'revolutionaire' producten.
enige invloed op, aangezien uitstel/afstel van het OV chipkaart project
kapitalen kost ?
met het intype ervan meld deze dat de code OK is ! misschien kunnen ze die
eens proberen te kraken! Ik bedoel: op je reader toets je je pincode in en dan
krijg je je toegangs code voor internet bankieren! Boeven hoeven zo alleen
nog maar een pas je stelen hem met een of andere reader uit te lezen en
daarna kan je lekker pinnen! Ik vraag me af of iemand hier ooit aan gedacht
heeft en wat het verschil is met de OVchipkaart! De sterkte van de beveiliging
misschien?
Is het oordeel van TNO volledig onafhankelijk, of heeft politieke druk hier nog
enige invloed op, aangezien uitstel/afstel van het OV chipkaart project
kapitalen kost ?
Heb je het TNO rapport gelezen?
Zelden een document met meer disclaimers gezien. En natuurlijk wordt door
TLS alleen de conclusie gehanteerd...
Identifiers (UIDs)"
Ze blijven volhouden met Unique Identifiers (met daarnaast Random Identifiers)
welke het fundamentele probleem is van de privacy gevoeligheid van de kaart. Elke
kaart heeft een unique nummer welke door elk apparaat gelezen kan worden, zo
heeft Philips het ontworpen (ISO14443 type A) om IPR licenties te kunnen
controleren op de aantallen uitgegeven kaarten. Andere fabrikanten gebruiken
random identifiers om te checken dat er meer dan 1 kaart aan een reader wordt
gepresenteerd ( anitcollision mechanisme). Deze identifiers worden elke keer
weer opnieuw random gegenereerd.
Zelfs met de nieuwe kaart maken ze de simplste fout om privacy issues tegen te
gaan. Ze zouden moeten streven naar een dynamische genenereerde Random
identifier voor anit collision.
Als ze daar nu mee wachten totdat het hele systeem op poten staat, dan klapt
het tenminste goed in elkaar.
Weg met deze controle-systemen, vervoerslogs en spams.
Beetje over mijn prive-gegevens/bewegingen geld proberen te genereren.
Zijn ze helemaal ..
Nederland een vrij land ?
http://www.theregister.co.uk/2008/03/12/mifare_classic_smartcard_crack/
TNO heeft geen fout gemaakt. Bij de beschreven toepassing is
de Mifare classic voldoende veilig (net zo veilig als een
papiertje met bar code of andere kopiëerbare informatie).
Er is niet gekeken naar "kan ik mijn telebankierenapplicatie
(of staatsgeheimen) ermee beveiligen. Als dat zo was zou ook
TNO met een ander oordeel gekomen zijn.
De meeste reacties hier begrijpen niet wat het begrip 'voldoende veilig'
inhoudt.
om hoeveel moeite dat kost en hoe makkelijk je het daarna
kan gebruiken. alles is te kraken, maar als dat meer moeite
kost dan het oplevert dan is dat best.
vergeet niet dat je ook de huidige kaartjes kan vervalsen
als je dat wilt. maar wanneer is dat het waard?
Ik heb er de specificaties voor geschreven, maar het probleem is dat ie zo
ongelooflijk duur, gebruiksonvriendelijk en veel onderhoud vergt dat
niemand hem wil. Die kaart is dus ook nooit op de markt verschenen en zal
vermoedelijk ook nooit geproduceerd worden.
te kunnen kraken blijft verlies, diefstal of het
veelbesproken ongemerkt uitlezen in de openbare ruimte. Dat
laatste is eenvoudig te voorkomen door gebruik te maken van
een speciale envelop gemaakt van een hoog geleidende
materiaal dat voldoende elektromagnetische straling tegen
houdt. Met deze envelop genaamd ‘chipsafe’ kunnen alle
huidige RFID kaarten worden beschermd tegen het ongewenst
uitlezen, kopiëren of zelfs veranderen van gegevens. Ook
voor het nieuwe Nederlandse RFID paspoort is een dergelijke
envelop beschikbaar. http://www.chipsafe.eu
Een belangrijke voorwaarde om een OV-chipkaart van een ander
te kunnen kraken blijft verlies, diefstal of het
veelbesproken ongemerkt uitlezen in de openbare ruimte. Dat
laatste is eenvoudig te voorkomen door gebruik te maken van
een speciale envelop gemaakt van een hoog geleidende
materiaal dat voldoende elektromagnetische straling tegen
houdt. Met deze envelop genaamd ‘chipsafe’ kunnen alle
huidige RFID kaarten worden beschermd tegen het ongewenst
uitlezen, kopiëren of zelfs veranderen van gegevens. Ook
voor het nieuwe Nederlandse RFID paspoort is een dergelijke
envelop beschikbaar. http://www.chipsafe.eu
Leg je hiermee niet het probleem bij de gebruikers ? De
gebruikers die de kaart toch al door de strot wordt geduwd ?
De OV bedrijven vinden dat wij die kaart *moeten* gebruiken,
en dan zou volgens jouw opmerking die gebruiken het
veiligheidsprobleem op moeten lossen door het pasje in een
chipsafe te bewaren... Vind ik persoonlijk beetje omgekeerde
wereld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
