Een veilige chipkaart bij de koffieautomaat

De Mifare-chip is vatbaar voor misbruik. Gebruikers zijn verantwoordelijk , vindt fabrikant NXP. Minister Ter Horst moet het uitzoeken. En TNO dan?

Miljoenen zijn ervan in omloop, toegangs- of betaalpasjes met een Mifare-chip van NXP. Inmiddels is duidelijk dat die chip te klonen is, waardoor misbruik en fraude tot in overheidsgebouwen aan toe mogelijk is. Maar NXP acht zich niet verantwoordelijk voor die veiligheidsrisico’s. Dat zijn de gebruikers zelf, vindt het bedrijf.

Minister Ter Horst (Binnenlandse Zaken, PvdA) kreeg gisteren niettemin opdracht van de Tweede Kamer na te gaan of de chipmaker aansprakelijk kan worden gesteld. Want ook de overheid loopt risico’s en heeft de beveiliging bij een groot aantal overheidsgebouwen verscherpt.

Volgens NXP is de Mifare-chip slechts onderdeel van een pakket aan veiligheidsmaatregelen. In een nieuwsbrief meldt het bedrijf zijn klanten dat het aan gebruikers zelf is om na te gaan of aanvullende maatregelen nodig zijn, zoals camerabewaking of extra bewakingspersoneel.

Wetenschappers van de Radboud Universiteit toonden onlangs de kloonbaarheid van de Mifare-chip aan. Niet alleen gebruikers als openbaarvervoersbedrijven of overheidsinstellingen lopen risico’s. De kaart wordt ook gebruikt voor de toegang tot voetbalstadions, op Schiphol, in parkeergarages of voor kopieerapparaten in het onderwijs.

Al die gebruikers moeten zelf nagaan hoe groot de risico’s op misbruik zijn, schrijft NXP in zijn nieuwsbrief.

„Gekloonde kaarten zijn niet altijd een ramp”, zegt Tom de Regt, informaticaspecialist en directeur van het Amsterdamse bedrijf Magna Carta. Zijn bedrijf maakt onder meer kaartlezers voor koffieautomaten en kopieermachines in universiteiten, ziekenhuizen en andere instellingen, en het is zijdelings betrokken bij de ov-chipkaart.

De Regt: „Het risico van misbruik in bejaardenhuizen zal gering zijn. Maar het wordt anders bij toegangspasjes voor rijksgebouwen, of chipkaarten waarmee ook geld kan worden overgeboekt.”

Onderzoeksinstituut TNO was betrokken bij de invoering van de Mifare-chip in het openbaar vervoer én bij de toegangspassen van onder meer de Tweede Kamer. Begin dit jaar oordeelde TNO nog dat de ov-chipkaart moeilijk te kraken is.

Nu doet de Information Security Group van Royal Holloway, onderdeel van de Universiteit van Londen, onderzoek naar de TNO-bevindingen. Dat gebeurt in opdracht van het ministerie van Verkeer en Waterstaat. Die contra-expertise moet duidelijk maken of TNO zijn conclusies voldoende heeft onderbouwd.

Wijnand Duyvendak, Tweede Kamer lid van GroenLinks, maakt kanttekeningen bij dat nieuwe onderzoek: „Ik ben meer geïnteresseerd in een toetsing op de inhoudelijke kwaliteit, dan of TNO keurig de regeltjes heeft nageleefd.”

Duyvendak heeft de indruk „dat TNO het niet meer aankan”. Die opvatting wordt gedeeld door zijn collega Emile Roemer (SP). „Ik krijg de indruk dat ze steeds achter de feiten aanhollen.”

Karsten Nohl, de informaticus die NXP’s Mifare-chip kraakte en de onveiligheid ervan naar buiten bracht, heeft TNO een paar keer zijn diensten aangeboden. Hij wilde „graag zijn kennis en inzichten met TNO delen”, maar TNO wenst er geen gebruik van te maken.

„Karsten Nohl weet veel van het pellen van de chipkaart, maar hij weet niks van het systeem”, zegt TNO-woordvoerder Maarten Lörtzer. „Dat is de reden waarom we niet rechtstreeks contact met hem hebben gezocht.”

Hoe wordt een chip gekraakt? nrc.nl/chipkaart