De OV-Chipkaart, een ka(ar)t met negen levens.
De OV-Chipkaart is een steeds terugkerend hangijzer in het privacydebat. Maar wat is nu eigenlijk die kaart? Waar is de kaart voor bedoeld? Hoe werkt deze? Wat zijn de kwestsbaarheden? Wat zijn de risico's? Wat willen wij van of zonder de kaart? En wat kan je er tegen doen? Door diep in de beschikbare informatie te duiken, hoop ik deze vragen te kunnen beantwoorden.
De OV-Chipkaart is een uitvloeisel van eerdere projecten, die al in 1992 zijn begonnen bij NS. In eerste instantie ging het om een kaart met een contactchip, niet ongelijk aan de chipknip op de bankpas. Nadat in Hong Kong in 1997 RFID in het openbaar vervoer werd gebruikt, zijn de latere proeven en nu ook de huidige kaart met die technologie uitgerust.
De invoering van de kaart wordt verzorgd door Trans Link Systems, een consortium dat bestaat uit een samenwerkingsverband tussen NS, RET, GVB, HTM en Connexxion. De andere openbaar vervoermaatschappijen zoals Veolia, Arriva, GVU enzovoort lijken geen lid te zijn.
De belangrijkste redenen voor de OV-Chipkaart lijken de volgende te zijn. Allereerst worden momenteel de inkomsten van de strippenkaarten verzameld in één grote pool. Ieder jaar buigt een werkgroep (Werkgroep Reizigers Omvang en Omvang Verkopen) zich over deze inkomsten, probeert uit te vissen hoeveel reizigers met welke maatschappijen hebben gereisd, en verdeelt zo de inkomsten over de maatschappijen. Met gebruik van een chipkaart kan gezien worden hoeveel reizen bij welke maatschappijen zijn gemaakt, en dus is exact vast te stellen wie hoeveel verdiend heeft. Ten tweede wil men door een bijverschijnsel (het plaatsen van poortjes) het zwartrijden terugdringen. Ten derde beantwoordt het idee aan een roep uit de jaren tachtig van de reizigersverenigingen om van de tweedeling treinkaartjes/strippenkaart af te komen. Ook zullen NS en GVB, die beiden conducteurs hebben, dit vermoedelijk aangrijpen om die functie af te schaffen. Ten slotte mag je er redelijk van uit gaan dat de nieuwe technologie in bepaalde kringen simpelweg 'cool' wordt gevonden, in weerwil van het vele gepraat over zorgvuldige besluitvorming een van de meest voorkomende redenen om nieuwe technologie van welke soort ook in te voeren (...).
De OV-Chipkaart staat niet op zichzelf, maar is onderdeel van een systeem dat in hoofdzaak uit drie componenten bestaat: De kaart en lezers zelf, centrale verwerkingscomputers en software van allerlei slag, en de al genoemde toegangspoortjes.
Er zijn drie soorten kaarten: De persoonsgebonden kaart is gekoppeld aan de persoon. Deze kan als enige abonnementen en kortingen aan. Eveneens is dit ook de enige die, begrijpelijk, automatische betaling mogelijk maakt, hoewel er ook een tegoed op geplaatst kan worden. Er staat op de buitenzijde ook een foto.
De anonieme kaart is niet aan een persoon gebonden. Deze kan geen kortingen of abonnementen aan, mede omdat die ook nu in de papieren variant al aan een persoon gekoppeld zijn.
De wegwerpkaart, in essentie een stuk of wat enkeltjes en de enige die niet opgeladen kan worden.
RFID is een betrekkelijk nieuwe technologie, en doet precies wat het zegt, het identificeert data middels radiocommunicatie. We praten in het geval van de OV-Chip over een zgn passieve RFID tag, dat wil zeggen dat die geen eigen stroomvoorziening heeft, maar alleen werkt indien dicht genoeg bij een lezer/zender. In principe zou dit slechts enkele centimeters moeten zijn.
In het geval van de OV-Chipkaart praten we over twee soorten chips, alletwee door Mifare Systems. De wegwerpkaart is een Mifare Ultralight, de beide anderen zijn Mifare Classic 4k, wat betekent dat ze een maximale opslagcapaciteit hebben van 4 kilobyte (grofweg een paar A-4tjes tekst).
Het belangrijkste technische voordeel van RFID is dat het bijna geen last heeft van slijtage. Immers, in tegenstelling tot magneetstrips of contactchips is er geen contact. De communicatie is ook razendsnel, en wordt nog sneller doordat geen tijd nodig is voor het plaatsen van een kaart. Dit klinkt overigens belangrijker dan het is, ook de met magneetstrip uitgerustte Londonse traditionele kaarten zijn zeer snel. Tot slot hebben RFID chips in vergelijking tot contactchips een lage stuksprijs, je kan voor enkele tientallen centen per stuk al RFID kaarten krijgen, een contactchip kost al snel een paar euro. Maal 2 miljoen stuks, en het wordt duidelijk waarom dat belangrijk is...
Het systeem brengt ook risico's met zich mee. De centrale databases zijn voor reizigers de grootste risico's.
Waar vervoerders zich vermoedelijk zullen beperken tot al dan niet gewenste 'informatie' (variërend van verbouwingswerkzaamheden tot reclame), kan dit uitzonderlijk irritant zijn.
Veel mensen voelen zich ook gewoon niet op hun gemak als andere mensen in hun gegevens zitten te grasduinen, een heel begrijpelijk gevoel.
Ook is het redelijk om aan te nemen dat alle vormen van menselijk wangedrag die je in de praktijk ziet (van simpele vergissingen met grote gevolgen - Johan van der Sloot in plaats van Joran - via stalking en machtsmisbruik gecombineerd met persoonlijke voorkeuren tot pressie bij conflicten tussen klant en leverancier en nog veel meer) wel in de een of andere vorm vroeger of later geprobeerd zullen worden door individuele personen, de bedrijven zelf, en/of die mensen die menen overal recht van toegang toe te hebben (bijvoorbeeld politie (agenten) en/of justitie (-ambtenaren)).
Het grootste risico vormt nog de mogelijkheid van inbraak op het systeem. Het maakt niet uit met wat voor doel de gegevens eventueel gestolen worden, vast staat dat wat criminelen ook voor doel verzinnen de goedwillende burger die het slachtoffer is niet zal bevallen... Met de huidige wildgroei aan gegevensverlies wereldwijd moet zeker ook de kans op een dergelijk voorval niet onderschat worden...
Maar ook de kaart zelf vormt door de RFID technologie een risico. Het is belangrijk om in de gaten te houden dat bij papieren en/of plastic kaartjes, or zelfs bij contactsystemen, de kaarten in niet zo maar ongemerkt uitleesbaar of na te maken zijn. Deze zitten gewoonlijk uit het zicht opgeborgen en zijn zonder oogcontact niet te lezen. Zelfs bij oogcontact zijn ze niet zo maar betrouwbaar na te maken. In principe kan je door een contactapparaat te maken dat een magneetstrip of contactchip kan uitlezen we de essenties van zo'n kaart lezen en namaken, maar dan moet je er wel voor zorgen dat kaart en apparaat met elkaar in contact komen.
Met RFID is dat anders. Een lezer die dichtbij genoeg staat kan in principe iedere chip binnen bereik aanroepen om uit te lezen. Hoewel officieel het bereik maar een paar centimeter is, zijn er universiteiten en bedrijven die beweren de chips van veel verder uit te kunnen lezen, een bedrijf beweert dat zelfs tot 600 voet (grofweg 200 meter) te kunnen...
Wat zijn zoal de risico's van de kaart? Het is niet goed duidelijk wat er op de kaart staat. Vermoedelijk, omdat een TNO rapport daarover rept, in ieder geval de geboortedatum. Maar verder is het niet goed bekend.
Een kaart kan met enige moeite door andere partijen dan het bedrijf getraceerd worden. Het meest voor de hand liggend is kijken of de kaart een vast punt passeert. Dit kan interessant zijn voor mensen variërend van prive-detectives tot stalkers.
Fraude en diefstal is ook mogelijk door klonen (een op een kopie) van de kaart. Dit betekent schade voor de echte reiziger, in de vorm van geld, waarschijnlijk een hoop tijdverlies en ergernis over Datzo-praktijken om dat geld weer terug te krijgen. Vermoedelijk zal de reiziger, doordat de geldigheid van de kaart ingetrokken zal worden, ook een aantal dagen zonder zitten. En voor de anonieme reiziger, die niet gewaarschuwd kan worden, valt de klap onverwacht. Tot slot zal het zeker nog voorkomen dat het slachtoffer voor de fraudeur wordt aangezien, met alle onplezierige gevolgen van dien. De risico's zijn betrekkelijk klein, omdat het wat technisch inzicht vergt en uiteindelijk op kruimeldiefstal neerkomt.
Echter, voor sommige misdaadkringen kan het een heel goede overweging zijn om doelbewust op de identiteit van iemand anders te reizen. Te denken valt bijvoorbeeld aan de drugshandel (een variant op het overbekende 'pakje voor een vriend meenemen'). Het voordeel is dat de politie in eerste instantie mogelijk in de verleiding gebracht kan worden de verkeerde verdachte na te gaan jagen. Dit is bepaald iets dat je als reiziger zeker niet wil meemaken.
Bepaalde problemen in het kader van 'pesterijen' kunnen verwacht worden in het doelbewust veranderen van een goede kaart, met alle irritante gevolgen van dien.
Wat zijn hier de beveiligingen tegen? Van het centrale systeem weten we hoegenaamd niets, de conclusies zullen afgeleid moeten zijn. Maar van de kaarten zelf weten we des te meer...
Dat de Universiteit van Amsterdam weinig moeite had met de wegwerpkaart te kraken mag geen verbazing wekken, deze is sowieso al nauwelijks beveiligd omdat die toch anoniem is en na een paar ritten weggegooid wordt.
Dat de Radboud Universiteit in Nijmegen weinig moeite had de kaart te klonen (letterlijk kopiëren) is al ernstiger, maar ook niet verbazend. Het letterlijk kopiëren is een van de meest gebruikte en succesvolle technieken in de computerij.
De grote klap viel bij het analyseren van de werking van de kaart en vervolgens het breken van de cryptografie door Karsten Nohl van de Universiteit van Virginia, deels in samenwerking met Henryk Plotz. De Cryptografie, die door de maker geheim was gehouden, bleek bijzonder kwetsbaar te zijn. In de latere versies van de aanvallen bleek die binnen 200 seconden te breken. In combinatie met de kloontechniek van Radboud (klonen kan ook naar een bestand op de harde schijf), kan dit zelfs zonder die periode contact te houden met de chip...
Achteraf bekeken is ook dit nauwelijks verbazend. Geheime cryptografie is onder specialisten berucht om zijn zwakheden, die komen doordat deze onvoldoende door grote aantallen experts getest kan worden. Ook is de lengte van de sleutel veel te kort, te meer doordat iedere verlenging van de sleutel met 1 bit een verdubbeling van het aantal mogelijke sleutels betekent. De afstand tussen de minimum standaardlengte van 128 bits en de 48 van de OV-Chip is dus niet 80, maar 80 verdubbelingen... De vermaarde cryptograaf en beveiligingsexpert Bruce Schneier had maar een woord nodig om zijn beroepsmening over de cryptografie te geven: Kleuterschoolcryptografie.
Zoals gezegd, over de databases bestaan alleen afgeleide conclusies. Maar een sterke aanwijzing is te vinden in het feit dat de Mifare Classic niet de enige keus was op het moment van kiezen. Er bestond een tweede kaart, de Mifare DESfire. Deze heeft een zeer krachtige cryptografie in de vorm van het beproefde Triple-DES, een van de werkpaarden in de informatiebeveiliging.
Waarom dan die kaart niet gekozen? Een reden is dat die langzamer is. Maar een andere reden is te vinden in de prijzen. Een tussenhandel, smartcardzone, verkoopt beide kaarten, waardoor we aan een ruwe prijsvergelijking kunnen doen. Bij tienduizend kaarten zijn we 1 euro 50 per stuk kwijt voor de classic, en 2 euro 20 voor de DESfire. Op tienduizend kaarten praten we wel over 7000 euro. Doortrekkend naar 2 miljoen kaarten praten we over anderhalf miljoen. De keus lijkt me duidelijk, bij dergelijke bedragen komt de beveiliger die achterin wat loopt tegen te sputteren over mogelijke beveiligingsrisico's nauwelijks aan het woord...
De afgeleide naar de databases zal duidelijk zijn. Als met de kaarten bezuinigd is tot het niveau waarin we over 'kleuterschoolcryptografie' spreken, hoeveel vertrouwen hebben we dan nog in de databases, waarvoor vermoedelijk dezelfde afweging geldt?
Waarom dan toch invoeren? Wel, om te beginnen is er al 130 miljoen in het hele gebeuren geïnvesteerd. Wie er nu de stekker uit trekt, krijgt de bout op de kop... Voor Translink geldt ook dat zij nu wel eens inkomsten willen zien in plaats van investeringen, hun motief is duidelijk. Voor Rotterdam geldt hetzelfde, bovendien zijn zij het meest fanatiek over zwartrijden. Daarbij komt de menselijke gewoonte om niet in beveiliging te investeren voor iets dat ze niet zien, of dat ze niet raakt.
Wat kunnen wij doen? Diegenen met een OV-Chipkaart hebben in ieder geval een mogelijkheid om die kaart een beetje veiliger te bewaren. Alles wat van geleidend metaal is en de kaart omsluit blokkeert effectief de communicatie door het principe van de kooi van Faraday.
Belangrijker is om er in ieder geval voor te zorgen dat de gevolgen van slechte beveiliging en/of ander ongemak de vervoerders zelf treffen. De tijd van redelijk overleg is daarbij langzamerhand voorbij. Voor iedereen moet duidelijk zijn dat we hier over reële zorgen praten, toch worden die genegeerd en in bepaalde gevallen belachelijk gemaakt.
Rotterdam wil als eerste de bestaande kaarten afschaffen, terwijl niets zichtbaars gedaan is aan verbetering van de veiligheid. Een begin is dus om binnen Rotterdam te weigeren van het Openbaar Vervoer gebruik te maken en/of voor uitgaansdoeleinden de stad te mijden.
In sommige gevallen kan ook voor alternatief vervoer gekozen worden, bijvoorbeeld van maatschappijen die niet bij Translink zijn aangesloten, te voet, per fiets, brommer, autodating of anderszins.
In het geval van de RET is ook de attractie Railz Miniworld eigendom van de maatschappij. Daar niet heen gaan is ook een vorm van protest. Hetzelfde geldt voor Madurodam en andere attracties.
Zorg er waar mogelijk ook voor dat incidenten breed in de media (bijvoorbeeld Tros Radar) uitgemeten worden. Internet kan daarbij ook helpen, het voordeel van internet is dat iedereen de gelijke van een journalist van een landelijke krant is.
Tot slot is het belangrijk om goed te kijken wat wij nu willen. Willen we eigenlijk betere beveiliging, of betere bescherming tegen de gevolgen? Is ons probleem niet grotendeels opgelost als de vervoerders opdraaien voor de eventuele schade, en er ook niet onderuit kunnen die toe te geven?
bronnen:
Overzicht van de OV-Chipkaart:
http://en.wikipedia.org/wiki/RFID
Overzicht RFID tags:
http://en.wikipedia.org/wiki/RFID
Mojix beweert RFID tags tot 600 voet te kunnen lezen:
http://www.rfidupdate.com/articles/index.php?id=1583
Ook Universiteit van Seattle beweert passieve RFID tags op grote afstand te kunnen lezen.
http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1583880
UVA Rapport over wegwerpkaart:
http://staff.science.uva.nl/~delaat/sne-2006-2007/p41/Report.pdf
Radboud onderzoek:
http://www.cs.ru.nl/~flaviog/OV-Chip.pdf
http://www.sos.cs.ru.nl/applications/rfid/main.html
http://www.isac.uma.es/esorics08/program.html
Karsten Nohls onderzoek:
http://video.google.com/videoplay?docid=4252367680974396650&hl=en
http://events.ccc.de/congress/2007/Fahrplan/events/2378.en.html
http://www.mifare.net/security/mifare_classic.asp
http://www.usenix.org/events/sec08/tech/full_papers/nohl/nohl.pdf
http://www.cs.virginia.edu/~kn5f/Mifare.Cryptanalysis.htm
http://eprint.iacr.org/2008/166.pdf
http://www.cs.virginia.edu/~kn5f/OV-card_security.html
Bruce Schneiers commentaar:
http://www.schneier.com/blog/archives/2008/08/hacking_mifare.html
Triple-DES:
http://en.wikipedia.org/wiki/Triple_DES
Prijs Mifare Classic Kaart:
http://www.smartcardzone.com/mifare4k.asp
Prijs Mifare Desfire Kaart:
http://www.smartcardzone.com/desfire.asp
Kooi van Faraday:
http://nl.wikipedia.org/wiki/Kooi_van_Faraday