Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Discussie: Mifare Classic gebaseerde chipcards onveilig

Pagina: 1
Acties:

woensdag 12 maart 2008 13:04

Acties:
  • Compusmurf
  • Registratie: Oktober 2003
  • Laatst online: 16-08-2024

Compusmurf

Topicstarter
De afgelopen tijd is er veel te doen geweest rondom de OV chipkaart en vandaag was het weer de beurt aan de Radboud Universiteit om bekend te maken dat ook de toegangspassen die door de overheid worden gebruikt voor het beveiligen van de gebouwen niet veilig zijn.

Beide maken gebruik van de Mifare Classic chip van NXP.

In hoever is het zo, dat NXP verantwoordelijk is voor dit geheel en dan bedoel ik eigenlijk de sociale gevolgen want de problemen met deze chip veroorzaakt aanzienlijke gevaren binnen de samenleving en dan met nadruk als er wordt gekeken naar de mogelijke gevolgen van het nieuwsbericht van vandaag.

http://www.nu.nl/news/147...idsgebouwen_gekraakt.html

Het zal mij dan ook niet verwonderen als de pasbeveiliging van andere "veilige" objecten in Nederland ook kraakbaar is.

http://Compusmurf.xs4all.nl

woensdag 12 maart 2008 13:16

Acties:

Verwijderd

RFID is fundamenteel onveilig. Iedereen met een beetje verstand (van crypto) is al een hele tijd geleden tot die conclusie gekomen.

De vraag die ik mezelf dan ook stel is of dit als een aanvaardbaar risico wordt/werd gezien, of dat de 'experts' daadwerkelijk dachten dat het veilig was.

woensdag 12 maart 2008 13:46

Acties:
  • Standeman
  • Registratie: November 2000
  • Laatst online: 22:58

Standeman

Prutser 1e klasse

Verwijderd schreef op woensdag 12 maart 2008 @ 13:16:
RFID is fundamenteel onveilig. Iedereen met een beetje verstand (van crypto) is al een hele tijd geleden tot die conclusie gekomen.

De vraag die ik mezelf dan ook stel is of dit als een aanvaardbaar risico wordt/werd gezien, of dat de 'experts' daadwerkelijk dachten dat het veilig was.
Dat vind ik een onzin-statement. Heb je daar ook onderbouwing voor waarom RFID per definitie onveilig is? Waarom zou een RFID chip onveiliger zijn dan een contact chip?
In hoever is het zo, dat NXP verantwoordelijk is voor dit geheel en dan bedoel ik eigenlijk de sociale gevolgen want de problemen met deze chip veroorzaakt aanzienlijke gevaren binnen de samenleving en dan met nadruk als er wordt gekeken naar de mogelijke gevolgen van het nieuwsbericht van vandaag.
Het ligt eraan hoe deze chip verkocht is en in hoeverre de organisatie van de OV-chipkaart het onderzocht heeft.. De organisatie van de OV-chipkaart heeft gekozen voor de goedkope Mifare classic kaart. Deze kaart heeft amper rekenkracht om een sterke encryptie toe te passen. Ik heb het nog niet kunnen vinden, maar ik gok dat er DES achtige encrypte (48 bit key) gebruikt wordt, welke relatief makkelijk te kraken is.

Hier meer info.. Ik moet het zelf ook nog even doorlezen.

[ Voor 47% gewijzigd door Standeman op 12-03-2008 13:55 ]

The ships hung in the sky in much the same way that bricks don’t.

woensdag 12 maart 2008 14:57

Acties:
  • Compusmurf
  • Registratie: Oktober 2003
  • Laatst online: 16-08-2024

Compusmurf

Topicstarter
RFID lijkt mij ook niet per definitie onveilig, dat het hoogstwaarschijnlijk moeilijker is om te beveiligen valt zeker te betwisten.

Maar in het geval dat het fundamenteel onveilig was, dan zou NXP zeker aansprakelijk zijn voor sociale onrust.

http://Compusmurf.xs4all.nl

woensdag 12 maart 2008 15:19

Acties:
  • Arnout
  • Registratie: December 2000
  • Laatst online: 19-11 21:03

Arnout

Compusmurf schreef op woensdag 12 maart 2008 @ 14:57:
Maar in het geval dat het fundamenteel onveilig was, dan zou NXP zeker aansprakelijk zijn voor sociale onrust.
NXP maakt een chip voor bepaalde doeleinden. Er ligt weinig tot geen aansprakelijkheid bij NXP, omdat de projectgroep "OV Chipkaart" een goede kaart had moeten uitkiezen.

De Mifare Classic is al sinds 1994 op de markt en het was in 2000 (start OV Chipkaart) al lang bekend dat je zo'n chip niet meer kunt inzetten wanneer serieuze encryptie nodig is.

Dat het OV Chipkaart project toch gekozen heeft voor de Classic variant (terwijl er destijds al een betere, maar duurdere chip van NXP beschikbaar was) is toch echt een fout in het project.

Ik snap niet waarom je een fabrikant hiervoor aansprakelijk wil stellen. Alsof je met je (normale) auto aan een race meedoet en je beklag bij de fabrikant gaat doen dat jou auto wel vermorzeld is (ontbreken verstevigde kooi) en de andere auto's wel het ongeluk hebben doorstaan.
De ov-chipkaart is door producent NXP (voorheen Philips Semiconductors) uitgerust met een zogeheten Mifare Classic chip. Datzelfde bedrijf levert ook duurdere, beter beveiligde chips, maar daar heeft Translink Systems niet voor gekozen. „Terwijl het onder experts algemeen bekend is dat het geen wijsheid is geweest om met deze chip te werken”, aldus Teepe. „Als het om eenvoudige toepassingen gaat, kun je met zo’n laag veiligheidsniveau nog wel uitkomen. Maar de ov-chipkaart is persoonsgebonden met bovendien een koppeling aan de mogelijkheden van incassomachtiging en het opladen van geldtegoeden. Dat is wat anders dan vergelijkbare kaartjes voor tolpoorten in de metro van Parijs of Londen.”

De nu gebruikte chip is volgens Teepe slechter dan waar hij voor verkocht is. „En Translink Systems is ook niet slim omgegaan met de introductie ervan. Een select gezelschap ingenieurs heeft dat beveiligingssysteem in elkaar gezet. Maar les één van computerbeveiliging is nou juist dat je publiekelijk moet laten weten hoe je beveiligingsysteem in elkaar zit. Als er dan niemand gaten in weet te schieten, weet je dat je goed zit. Dat is allemaal niet gebeurd.”
bron (NRC)

Dus het is kortzichtig hier de fabrikant in te betrekken. Deze treffen geen blaam, hooguit hadden ze kunnen waarschuwen (misschien hebben ze dat gedaan).

Zie ook (it's all about the money): Translink Systems dacht te veel aan het budget

[ Voor 54% gewijzigd door Arnout op 12-03-2008 15:41 ]

woensdag 12 maart 2008 20:23

Acties:
  • Compusmurf
  • Registratie: Oktober 2003
  • Laatst online: 16-08-2024

Compusmurf

Topicstarter
Arnout schreef op woensdag 12 maart 2008 @ 15:19:
[...]

NXP maakt een chip voor bepaalde doeleinden. Er ligt weinig tot geen aansprakelijkheid bij NXP, omdat de projectgroep "OV Chipkaart" een goede kaart had moeten uitkiezen.

De Mifare Classic is al sinds 1994 op de markt en het was in 2000 (start OV Chipkaart) al lang bekend dat je zo'n chip niet meer kunt inzetten wanneer serieuze encryptie nodig is.

Dat het OV Chipkaart project toch gekozen heeft voor de Classic variant (terwijl er destijds al een betere, maar duurdere chip van NXP beschikbaar was) is toch echt een fout in het project.

Ik snap niet waarom je een fabrikant hiervoor aansprakelijk wil stellen. Alsof je met je (normale) auto aan een race meedoet en je beklag bij de fabrikant gaat doen dat jou auto wel vermorzeld is (ontbreken verstevigde kooi) en de andere auto's wel het ongeluk hebben doorstaan.


[...]

bron (NRC)

Dus het is kortzichtig hier de fabrikant in te betrekken. Deze treffen geen blaam, hooguit hadden ze kunnen waarschuwen (misschien hebben ze dat gedaan).

Zie ook (it's all about the money): Translink Systems dacht te veel aan het budget
Het gaat niet over het daadwerkelijk aansprakelijk stellen, maar wel de verantwoordelijkheid die de chipfabrikant heeft als het gaat om dit soort maatschappelijk zwaar beladen kwesties.

Op de frontpage is tevens reeds een nieuw bericht verschenen over dit item:

nieuws: 'Mifare-chips eenvoudig volledig te kraken'

http://Compusmurf.xs4all.nl

woensdag 12 maart 2008 20:32

Acties:

Verwijderd

Die verantwoordelijkheid is er m.i. niet. De klant besteld een zut kaarten en NXP levert die. Vervolgens wil de klant er iets mee doen waar ze eigenlijk niet zo geschikt voor zijn.

Jij besteld bij mij 100 potloden. Vervolgens ga je daar contracten mee tekenen. Kom dan niet bij mij miepen dat die handtekeningen weer uitgegumd kan worden.

woensdag 12 maart 2008 21:06

Acties:
  • Arnout
  • Registratie: December 2000
  • Laatst online: 19-11 21:03

Arnout

Compusmurf schreef op woensdag 12 maart 2008 @ 20:23:
Het gaat niet over het daadwerkelijk aansprakelijk stellen, maar wel de verantwoordelijkheid die de chipfabrikant heeft als het gaat om dit soort maatschappelijk zwaar beladen kwesties.
Het is geen zwaar beladen kwestie, het is gewoon een groot technologisch project wat aan het mislukken is, en toevallig maken veel mensen gebruik van het OV.
Vraag eens rond in Rotterdam of iemand zich druk maakt om het "kraken" van de OV Chipkaart. Men haalt de schouders op, en terecht, dit soort geneuzel moet je je niet al te druk over maken. Die chipkaart gaat het toch niet redden op deze manier.

Er staat al tijden (half jaar) in de metro in Rotterdam: "Binnenkort alleen nog reizen met de OV Chipkaart!". Niemand kan je vertellen hoe lang dat "binnenkort" is. Inmiddels is de geloofwaardigheid van het project al bijna gedaald tot nul.

Je hebt het ook over de "sociale gevolgen" in je TS. Wat bedoel je daar precies mee?

En nogmaals, het blijven betrekken van de fabrikant is kortzichtig (of je het nu aansprakelijkheid of verantwoordelijkheid noemt). De fabrikant is overigens met een commercieel (tactisch) antwoord gekomen: NXP presenteert alternatief voor chip in OV-chipkaart

[ Voor 28% gewijzigd door Arnout op 12-03-2008 21:15 ]

woensdag 12 maart 2008 22:07

Acties:
  • Compusmurf
  • Registratie: Oktober 2003
  • Laatst online: 16-08-2024

Compusmurf

Topicstarter
Het is inmiddels duidelijk wat de rol van de fabrikant is in dit verhaal.

Met sociale gevolgen bedoel ik, dat met toegang tot bv o.a. het legergebouwen toch grote sociale gevolgen kan hebben. Waarbij sociaal in de vorm maar sociaal maatschappelijk bedoeld wordt.

http://Compusmurf.xs4all.nl

donderdag 13 maart 2008 10:18

Acties:
  • Standeman
  • Registratie: November 2000
  • Laatst online: 22:58

Standeman

Prutser 1e klasse

Compusmurf schreef op woensdag 12 maart 2008 @ 22:07:
Het is inmiddels duidelijk wat de rol van de fabrikant is in dit verhaal.

Met sociale gevolgen bedoel ik, dat met toegang tot bv o.a. het legergebouwen toch grote sociale gevolgen kan hebben. Waarbij sociaal in de vorm maar sociaal maatschappelijk bedoeld wordt.
Ik mag hopen dat dergelijke projecten hebben gekozen voor betere kaarten waar wel sterke encryptie mogelijk is. Het scheelt nogal wanneer je er niet 100.000+ stuks per jaar nodig hebt.

The ships hung in the sky in much the same way that bricks don’t.

vrijdag 14 maart 2008 10:19

Acties:
  • Compusmurf
  • Registratie: Oktober 2003
  • Laatst online: 16-08-2024

Compusmurf

Topicstarter
Standeman schreef op donderdag 13 maart 2008 @ 10:18:
[...]

Ik mag hopen dat dergelijke projecten hebben gekozen voor betere kaarten waar wel sterke encryptie mogelijk is. Het scheelt nogal wanneer je er niet 100.000+ stuks per jaar nodig hebt.
De meeste kaarten maken gebruik van extra maatregelen, wat deze zijn en hoe deze werken is bij mij (nog) niet bekend. De OV-chip kaart maakt ook gebruik van deze maatregelen. Hoogstwaarschijnlijk een deel. Het lijkt me dus zeker niet onwaarschijnlijk, dat ook de extra maatregelen die door bv het leger gebruikt wordt voor de toegang op korte termijn kraakbaar zijn. Of dit daadwerkelijk zo is, is erg moeilijk te beoordelen ivm met fenomeen "security obscurity".

http://Compusmurf.xs4all.nl

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq