gemeente Eindhoven
Dienst Algemene en Publiekszaken
Raadsnummer O8. R2 57 9. OOI Inboeknummer o8bstoo788 Beslisdatum B%W aB april 2008
Dossiernummer 8r8.ssz
Raadsvragenuan het raadslid de heer M. van Bussel betreft gebruik Stad spas Onderstaande tekst heeft de laatste dagen de aandacht getrokken in de landelijke pers.
’Mifare-chips eenvoudig volledig te kraken’ Door Dimitri Reijerman, woensdag 12 maart 2008 17:31, views: 15.576. Onderzoekers en studenten van de Radboud Universiteit Nijmegen hebben het Crypto-1-versleutelingsalgoritme van de Mifare Classic-chip tot in detail achterhaald. Ook de cryptografische sleutels kunnen relatief eenvoudig worden gevonden.
De Mifare-chip wordt niet alleen gebruikt voor de veelgeplaagde ov-chipkaart: van de door NXP ontwikkelde chip zijn er wereldwijd ongeveer een miljard verkocht. Contactloze passen met de cryptochip worden onder andere gebruikt voor de metro’s van Hong Kong en Londen, maar ook in Nederland zijn er naar schatting twee miljoen toegangspassen met de kwetsbare Mifare-chip in omloop.
De onderzoekers ontdekten eerder al fouten in het authenticatieprotocol van Crypto-1, waardoor onbedoeld informatie over de werking van het algoritme werd prijsgegeven. Via een brute force attack kon vervolgens de 48bits-sleutel worden ontcijferd. Hiervoor hadden de onderzoekers ongeveer negen uur nodig. Er zijn echter aanvullende fouten in het authenticatieprotocol gevonden, die het mogelijk maken om sleutels te achterhalen zonder dat er een bruteforceaanval nodig is. Hoewel de Radboud Universiteit niet wil ingaan op de specifieke details van de hack, is wel bekend dat het mogelijk is om op basis van een analyse van het algoritme, een tabel met diverse sleutels op te stellen. Door vervolgens een flinke hoeveelheid authenticatiepogingen te doen, kan, zonder dat die pogingen slagen, informatie worden verkregen. Deze gegevens kunnen weer worden gebruikt om de juiste sleutel in de tabel op te zoeken. Minister van Binnenlandse Zaken Guusje ter Horst heeft de Tweede Kamer over de kraak geinformeerd, omdat chipkaarten met de nieuwe hackmethode relatief eenvoudig gekloond kunnen worden, heeft ze al aangekondigd dat er aanvullende maatregelen nodig zijn om ministeries en gebouwen van defensie te beveiligen. Een woordvoerder van Binnenlandse Zaken wilde niet aan het ANP vertellen om
Raadsnummer O8.R2579.OOI
welke objecten het gaat. Ter Horst wil verder dat een vervangende pas, die oorspronkelijk in het vierde kwartaal van dit jaar ingevoerd zou moeten worden, versneld wordt uitgerold.
GroenLinks heeft inmiddels een spoeddebat aangevraagd met de minister. De partij wil weten of het probleem al langer bij Ter Horst bekend is, en of er een acute dreiging bestaat. Bij de door de Universiteit Nijmegen geopenbaarde hack, die voortborduurt op reeds bestaande kraakmethoden, valt op dat er geen dure apparatuur nodig is om de kaart te kraken. Eerder concludeerde TNO, dat in opdracht van Trans Link Systems de ov-chipkaart onderzocht, nog dat de benodigde hardware minimaal zesduizend euro zou kosten. Inmiddels is TNO begonnen aan een nieuw onderzoek naar de chipkaart, maar dat lijkt door de onthullingen van de Radboud Universiteit overbodig te zijn geworden. bron Tweakers.net Hier een uitsnede uit het Stadspas dossier. Beveilig ing Pas
De pas bevat een Mifare-chip met 16 sectoren. ledere sector heeft een lees- en een schrijfsleutel. In principe worden aan de toepassingsaanbieders alleen de sleutels verstrekt om een bepaalde sector te mogen lezen. De schrijfsleutels zijn alleen in het bezit van de gemeente Eindhoven. De lees- en schrijfsleutels staan op een zogenaamde sleutelkaart. Bij het aanmaken van een pas dient betreffende kaart in de lezer van het pas personalisatiestation aanwezig te zijn. We zien hier de Mifare-chip terug, welk type ook is toegepast in onze Stadspassen. Het kan dan ook niet anders of we hebben enkele relevante vragen te stellen.
1 Is uw college bekend met de geschetste problematiek? 2 Is de in Eindhovense Stadspassen toegepaste Mifare-chip met 16 sectoren van het type dat gekraakt is, of is die ermee vergelijkbaar? 3 Zo ja, is dan de beveiliging in het geding van die (gemeentelijke) gebouwen die met behulp van een Stadspas te openen zijn? 4 Zo ja, hoe gaat u dit herstellen? 5 Zijn anderszins diensten (gratis) toegankelijk die anders betaald dienden te worden (bibliotheek, schouwburg, zwembad etc.)? 6 Zo ja, valt eventuele schade op de gemeente te verhalen? 7 Welke actie(s) heeft uw college in gedachten met betrekking tot de reeds uitgegeven passen en op wat voor termijn?
Raadsnummer O8.R2579.OOI
8 Indien de gemeente schade lijdt door dit voorval, is dit ergens verhaalbaar? Eindhoven, 14 maart 2008.
Antwoord uan burgemeester en wethouders 1 Is uw college bekend met de geschetste problematiek? Wij hebben kennisgenomen van de diverse publicaties. Specifiek hebben wij daar ook bij betrokken de publicatie in de Volkskrant van 14 april 2008. 2 Is dein Ei ndhovense 5tadspassen toegepaste Mifare-chi p met 16 sectoren van het type dat gekraaktis, ofis die ermee vergelijkbaar? Ja, in de Stadpas van Eindhoven is een Mifare-chip met 16 sectoren opgenomen.
3 Zoja,is dan de beveiligingin het geding van die (gemeentelijke) gebouwen die met behulp van een 5 tadspas te openen zijn?
De beveiliging is niet daadwerkelijk in het geding. De toegangspassen zijn een onderdeel van de totale beveiliging, die naast de passen bestaat uit: pincode beveiliging, bewakingspersoneel, camera’s en mechanische beveiliging. De leverancier van het kaartmanagementsysteem, de leverancier van de passen en de leverancier van het toegangssysteem geven aan dat het kraken van een Mifare-chip een zeer kostbare en ingewikkelde aangelegenheid betreft die niet zomaar reproduceerbaar is. Desalniettemin gaan wij hier niet zonder meer in mee, daar er signalen zijn dat er ontwikkelingen op komst zijn, die mogelijk het kraken van een Mifare-pas in de toekomst eenvoudiger maakt. Uiteraard behoort kraken tot de mogelijkheid, maar de beveiliging van de gebouwen is op dit moment niet daadwerkelijk in het geding, daar de beveiliging (zie punt 4) uit meer bestaat dan alleen het gebruik van de pas.
4 Zoj a, hoe gaat u di t herstellen? Uit de gegevens van de leverancier komt naar voren dat de beveiliging van de ge-
meentelijke gebouwen niet daadwerkelijk in het geding is. Wel zijn wij bezig met het volgende: a onderzoeken of het chipserienummer toegevoegd kan worden aan het toegangssysteem. Het chipserienummer wordt ingebrand en is niet te kraken; b op dit moment wordt bij gevoelige ruimten qua beveiliging (kluis, serverruimte, computerruimte, magazijn) al een extra pincodebeveiliging toegepast. Indien nodig is dit toepasbaar op alle toegangsmogelijkheden; c waar nodig wordt nu ook al gebruik gemaakt van beveiligingscamera’s en bewakingspersoneel, ook dit is indien nodig uit te breiden; d buiten werktijden zijn de gemeentelijke gebouwen ook nog eens mechanisch afgesloten, is er een inbraaksignaleringssysteem en is er persoonlijke beveiliging door bewakingspersoneel.
Raadsnummer O8.R2579.OOI
5 Zijn anderszins diensten (gratis) toegankelijk die anders betaald dienden te worden (bi bli otheek, schouwburg, zwembad etc.)? De inspanning en de kosten om bij de bibliotheek, zwembad en milieustraat gratis diensten te verkrijgen met een nagemaakte pas wegen niet op tegen het economisch voordeel. De kans op mogelijk misbruik is gering en de impact ervan eveneens, waardoor dit als een aanvaarbaar risico is te beschouwen. Zoals bij punt 3 aangegeven zullen wij de ontwikkelingen in deze nauwlettend volgen. 6 Zoja, valt eventuele schade op de gemeente te verhalen? Neen, in beginsel dient schade te worden verhaald op degene die misbruik maakt. 7 Welke actie(s) heeft uw collegein gedachten met betrekking tot de reeds ui tgegeven passen en op wat voor termijn?
Tot op heden is geen misbruik geconstateerd en worden geen acties ondernomen. Wel worden de ontwikkelingen nauwlettend gevolgd en indien nodig worden aanvullende maatregelen (punt zie 4) genomen. Het is verder aannemelijk dat periodiek zal worden overgegaan op een nieuwe generatie chips. Op deze wijze zijn risico’s en/of schades altijd in de tijd begrensd. 8 Indien de gemeente schade lijdt door di t voorval,is di t ergens verhaalbaar? De schade die door foutief/misbruik van de passen ontstaat, is niet verhaalbaar op de leveranciers. Bij eventuele schade zal het om geringe bedragen gaan.
Eindhoven, 29 april 2008.
Raadsnummer O8.R2579.OOI
EG08005719
