ENGINEERINGNET.NL - Verdult legde deze zwakheden van de OV-chipkaart al in 2008 bloot toen hij nog student was. Er werd toen veel aandacht besteed aan de kwaliteit van digitale beveiligingssystemen.
Een groot probleem was dat de overheid deze kaart in Nederland ook gebruikte om bijvoorbeeld ministeries, politiebureaus, kerncentrales en gevangenissen te beveiligen.
Verdult en zijn collega’s werden vanaf toen betrokken bij een verbeterde en veiligere kaart. Deze is er ondertussen.
Propriëtaire cryptografie, door bedrijven zelfgemaakte versleutelingstechnieken, zit in een groot aantal producten die we dagelijks gebruiken: van draadloos internet tot telefoons.
Verdult: ‘Ik begon met: wat zit er eigenlijk in mijn broekzak en hoe veilig is het? In mijn geval waren dat een OV-chipaart en zijn autosleutels. Ook op dat tweede terrein bleek de versleutelingstechniek niet altijd deugdelijk.’
Hij liet zien dat de chip, die verschillende merken auto’s beveiligde, vrij eenvoudig te breken was met wat goedkope elektronica.
Er werd in het onderzoek naar de deugdelijkheid van algoritmes gekeken. Een algoritme is simpelweg een formule die in dit geval als een sleutel binnen een veiligheidssysteem wordt toegepast.
Bij een goed versleutelingsalgoritme is het vrijwel onmogelijk om alle geheimen te achterhalen, ook al is een gedeelte van de input te achterhalen, en zijn de formule en de uitkomst van de formule bekend.
Verdult: ‘De sleutel van een goed algoritme is niet te achterhalen, zelfs niet als het algoritme zelf bekend is.’
Elk algoritme dat wordt gebruikt om te beveiligen heeft een bepaalde moeilijkheidsgraad om het te breken. Als het algoritme fouten bevat dan kun je het met wiskundige trucjes vereenvoudigen en duurt het minder lang.
Verdult pleit er dan ook voor om de zelfgemaakte geheime versleutelingstechnieken te vervangen door veel robuustere openbare technieken.
(bron: Radboud Universiteit)
