Chipproducent in tegenaanval

Informatie over al dan niet kraakgevoelige chipkaarten moet voorlopig geheim blijven. Maar academici beschouwen het als hun plicht onderzoek te doen en daarover te publiceren.

Academici van de Radboud Universiteit Nijmegen hebben een spreekverbod, op straffe van een dwangsom, opgelegd gekregen over hun onderzoek naar de veiligheid van de Mifare Classic Chip. Die chip wordt gebruikt voor onder meer de ov-chipkaart en de toegangspassen van enkele overheidsgebouwen, waaronder de Tweede Kamer.

Het spreekverbod geldt totdat de rechtbank in Arnhem zich heeft uitgesproken over publicatie van dat onderzoek, dat is aangespannen door NXP, de producent van de chip. Voor NXP geldt dat spreekverbod overigens ook. Het kort geding had gisteren achter gesloten deuren plaats in Arnhem. Op last van de rechter mag over de inhoud van het geding niets naar buiten gebracht worden.

Onderzoekers van de Radboud Universiteit informeerden in maart zowel het ministerie van Binnenlandse Zaken als NXP over de eerste resultaten van hun onderzoek, en de manco’s in de beveiliging van de chip. Minister Ter Horst (Binnenlandse Zaken, PvdA) schakelde vervolgens de AIVD in voor onderzoek naar de inbraakgevoeligheid van overheidsgebouwen. Ze kondigde toen ook al aan dat alle onderzoeksgegevens op korte termijn gepubliceerd zouden worden.

De onderzoekers bewandelden bij de voorbereiding op die publicatie de in academische kringen gangbare procedure van de ‘responsible disclosure’. Daarbij worden direct gedupeerden tijdig gewaarschuwd voor de publicatie, zodat zij de tijd hebben voor maatregelen om mogelijke schade te voorkomen. Dat was in dit geval relevant omdat het onderzoek de structuur van de chip volledig bloot legt, inclusief de mogelijkheid om die te kraken.

Vorige maand informeerde de Radboud Universiteit NXP opnieuw over de op handen zijnde publicatie in oktober. Met het verzoek om snel te reageren, omdat de tekst van het onderzoek in juli naar de drukker zou gaan. De reactie was een volledig publicatieverbod en de gang naar de rechter.

De overwegingen voor dat publicatieverbod zijn, net als de tekst van de dagvaarding, vertrouwelijk. De Radboud Universiteit kondigde voorafgaand aan het kort geding wel aan de publicatie niet terug te trekken. De universiteit beschouwt het als haar wettelijke taak om onafhankelijk onderzoek te kunnen doen en daarover te publiceren. Het onderzoek is voorgelegd aan onafhankelijke deskundigen die de wetenschappelijke waarde hebben bevestigd. Een aanbod van de universiteit de publicatiedatum voor te leggen aan een onafhankelijke arbitragecommissie werd door NXP afgewezen.

Volgens Melanie Rieback, universitair docent aan de Vrije Universiteit, is het een unicum dat een producent om een dergelijk verbod vraagt. „Overal in de wereld zijn fabrikanten zich ervan bewust dat ze zichzelf daarmee enorme reputatieschade toebrengen. Dat gaat NXP nu ook overkomen.”

Achtergronden over de ov chipkaart op nrc.nl/chipkaart