De Gelderlander April 14, 2008 Twee grote fouten beheersen chipsoap SECTION: GEHELEOPLAGE; Page: A04 (4) LENGTH: 637 words HIGHLIGHT: De ov-chipkaart is opnieuw onderuitgehaald door Nijmeegse experts. Volgens dr. Wouter Teepe is er in de hele beveiligingssoap op twee plaatsen een, achteraf gezien, verkeerd besluit genomen. Voor de wetenschappers van de Radboud Universiteit Nijmegen is het verhaal nu wel ongeveer klaar. Ze hebben hun punt gemaakt. Volgens dr. Wouter Teepe is het onmogelijk om in geval van fraude van de ov-chipkaart straks uitsluitend illegale kopieen te blokkeren. Exploitant Trans Link kan volgens hem nooit vaststellen welke van de twee kaarten met hetzelfde nummer de echte kaart is en welke de kopie. Bij blokkering wordt dus altijd een onschuldige reiziger gedupeerd. Zo lijkt de door voormalig Philipsdochter NXP in Nijmegen gemaakte chip - die wordt gebruikt door Translink - nu toch wel de doodsklap te hebben gekregen vanuit de Radboud Universiteit, een paar kilometer verderop. Terugblikkend denkt Teepe dat er in de hele beveiligingssoap op twee plaatsen een, achteraf gezien, verkeerd besluit is genomen. Het belangrijkste was dat de chipontwikkelaars - toen nog Philips semiconductors - in te grote beslotenheid hebben gewerkt. Philips had royaal experts van buiten, wetenschappers en zelfs hackers de gelegenheid moeten bieden te schieten op de beveiliging. Teepe: "Als er een zwakte in het systeem zit wordt dat vrijwel zeker door iemand opgemerkt. Daar doe je dan wat aan als fabrikant. Na een paar verbeterrondes is je chip dan zo verbeterd dat niemand er meer een gat in kan schieten. Pas dan heb je waarschijnlijk wel een goed systeem ontwikkeld." De voorzichtigheid van de fabrikant is wel verklaarbaar aangezien Aziatische bedrijven maar al te graag met openbare gegevens aan de haal gaan. Een Taiwanese concurrent zou dezelfde chip vervolgens goedkoop op de markt kunnen brengen omdat men er zelf geen ontwikkelkosten in heeft zitten. Philips had dit probleem destijds kunnen ondervangen door alleen de beveiligingscomponent van de chip openbaar te maken, zodat veel experts die hadden kunnen testen. Het tweede verkeerde besluit ligt buiten het veld der wetenschap en is commercieel. De bedrijven achter de ov-jaarkaart konden de commerciele verleiding niet weerstaan anno 2009 een chipkaart in te voeren met reeds afbetaalde chiptechnologie uit een vorig decennium. De melkkoe die deze succesvolle chip was is iets te lang uitgemolken, vermoedt de onderzoeker. Hoezeer de beveiliging achterhaald is blijkt nu de chip met de eerste de beste computer te kraken is. Teepe: "NXP heeft veel betere chips gemaakt, en er zijn best wel chips van dat bedrijf die hartstikke goed zijn. Maar die zijn een stuk duurder. Maar als degenen die de chipkaart invoeren moeten kiezen tussen een goedkope en dure chip is het niet zo verbazingwekkend wat er nu allemaal is gebeurd." Dat de laatste Nijmeegse onthullingen over de kraakbare chip samenvallen met de politieke actualiteit van de presentatie van de contra-expertise is toeval, zegt de onderzoeker. Sinds een aantal jaren worden in Nijmegen op verzoek van banken (chipknip) en de Nederlandse staat (paspoort) alle mogelijke systemen getest. Aan de ov-chipkaart begon de onderzoeksgroep Digital Security in diezelfde tijd min of meer spontaan, omdat niemand anders het ding tegen het licht leek te hebben gehouden. "Ons vak is computerbeveiliging en daarin ligt ook een maatschappelijke verantwoordelijkheid. Als wetenschappers een brug zien met een hele grote constructiefout dan geven ze ook aan dat het niet verstandig is daar zwaar vrachtverkeer over te laten rijden. Als systemen niet goed zijn dichtgetimmerd geven wij dat aan en dan is het verstandig als de probleemeigenaren daar iets mee doen." Enige schik heeft hij wel in zijn werk. "Als wetenschapper is het een kick. Ook wetenschap is een soort markteconomie. Je krijgt punten als je een systeem maakt dat geen fouten heeft of als je fouten vindt in een systeem van iemand anders. Wetenschappelijk gezien is het leuk, maatschappelijk gezien is het nu heel sneu." LOAD-DATE: April 14, 2008 LANGUAGE: Dutch PUB-TYPE: NEWSPAPER © Copyright 2008. Wegener Nieuwsmedia BV. All Rights Reserved