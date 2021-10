De trein vertrekt over enkele minuten. Rennend leg je snel je portemonnee op de kaartlezer. Maar helaas: de ov-chipkaart wordt niet herkend. Dan moet je de kaart toch maar snel uit de portemonnee trekken. Met succes, nu gaat het poortje wel open. Hoe kan dat?

In een ov-chipkaart zit geen batterij, net als bijvoorbeeld in pinpassen. Ze worden van stroom voorzien via elektromagnetische straling, net als bij het draadloos opladen van een mobiele telefoon of tandenborstel. Of het uitlezen van de chip van je kat of hond bij de dierenarts. De kaartlezer zendt een signaal uit, een dunne koperdraad opgerold langs de rand van de kaart vangt het op en activeert de chip. Houd een pas tegen het licht en je kunt de chip zien zitten. Via hetzelfde signaal kan de ov-kaart ook terugpraten. Bijvoorbeeld om de lezer te vertellen hoeveel reissaldo er op de kaart staat.

Foto Arlen Poort

Zijn er meerdere kaarten in de buurt, „dan kunnen er twee dingen fout gaat”, zegt Erik Poll, universitair hoofddocent cyber security aan de Radboud Universiteit. „Het kan zijn dat een afzonderlijke pas niet meer genoeg stroom ontvangt om de chip te activeren. Of als er wél meerdere kaarten geactiveerd worden, dan gaan de passen door elkaar praten”. En dan snapt de kaartlezer het niet meer.

Fietsenhok

In theorie is dit te voorkomen, volgens Poll. Aan de hand van serienummers kan een kaartlezer een ov-chipkaart herkennen en ervoor kiezen alleen daarmee te communiceren. „Maar in de praktijk werkt het bijna nooit.” Poll kan één situatie bedenken waar het wel goed gaat. „Op mijn werk kan ik mijn portemonnee tegen de deur houden en dan gaat het fietsenhok open.”

Dat het bij de fietsenstalling wel werkt, maar op de meeste plekken niet, heeft te maken met de beveiliging van de communicatie tussen de kaart en de lezer. „Het eerste wat een toegangskaart, ov-chipkaart of rijbewijs doet als hij stroom krijgt, is zijn serienummer roepen. Dat kan al genoeg zijn om het fietsenhok te openen. Maar vaak wordt er ook een beveiligingsprotocol tussen het poortje en de kaart uitgevoerd. Zo’n protocol duurt langer en kost meer stroom”, zegt Poll. Daarom is er met meerdere kaarten in de buurt mogelijk wel genoeg stroom om een serienummer te roepen en gaat het fietsenhok dus wel open. Maar niet om een beveiligingsprotocol uit te voeren – dus blijft het ov-poortje dicht.

Elektrische auto’s

Kaarten die alleen een serienummer hoeven te roepen, zijn veel eenvoudiger na te maken. Alle laadpassen voor elektrische auto’s in Nederland en Duitsland werken zo volgens Poll. „Als je zo’n pas kopieert, dan kun je gratis opladen.”

Een andere oplossing voor door elkaar pratende passen, is om op een andere frequentie te communiceren – de snelheid waarmee de trillingen van het uitgezonden signaal elkaar opvolgen. Die ligt nu voor alle kaarten die met de zogenoemde radio frequentie technologie (RFID) werken op 13,56 MHz. Poll: „Maar het succes van deze technologie is natuurlijk te danken aan het feit dat er standaardkaarten zijn en standaardapparatuur om ermee te praten. Voor elke toepassing weer een heel nieuwe standaard uitrollen gaat niet werken.”

Een laatste oplossing: minder passen in de portemonnee. Translink voert in Nederland op een toenemend aantal trajecten proeven uit om met een pinpas of creditcard in- en uit te checken. Dat kan met een plastic pas, of via je mobiele telefoon. In stadsbussen in Lelystad kan dit sinds maart 2021. In 2023 moet dit overal mogelijk zijn.