Het vervangen van de gekraakte smartcard die gebruikt wordt voor het Elektronisch Patiëntendossier (EPD) kan het Rijk veel geld kosten. Dat zegt Erik Westhovens, de beveilingsexpert die er in slaagde om de pas te kraken.

Update: artikel over de manier waarop Westhovens te werk ging.

Wegens een veiligheidslek vraagt het ministerie van Volksgezondheid nieuwe passen aan. Westhovens gaat er van uit dat er honderdduizenden passen in omloop of aangevraagd zijn. ...

De smartcards worden geleverd door chipfabrikant NXP. Softwarebedrijf Getronics zorgt voor het programmeren van de beveiligingscode ... Wel geeft NXP aan dat hun passen voor het bewuste lek zijn aan te passen met nieuwe software.

De UZI-pas is nodig om zorgverleners veilig in te laten loggen op het Elektronisch Patiëntendossier. ...

Westhoven publiceerde al in november 2008 dat de pas te kraken viel omdat er gebruik wordt gemaakt van enigszins verouderde versleutelingstechniek. ...

Het EPD wordt al enige tijd getest in pilotprojecten en is uitgesteld omdat er te veel technische problemen zijn bij de invoering van het systeem.

Vervolg pagina 2:

„Onder laboratoriumomstandigheden kunnen experts de EPD-pas kraken" , schreven de ministeries van Volksgezondheid, Defensie en Verkeer en Waterstaat in een gezamenlijke brief. Met dat laboratorium valt het wel mee, zegt de kraker, beveiligingsexpert Erik Westhovens: „Ik heb gewoon een kelder met drie computers op een plankje. Als ik het kan kraken, kan iedereen het die een beetje met Google overweg kan."...

De private sleutel was beveiligd met een versleuteling van 128 bit. Die bleek volgens Westhovens relatief eenvoudig te kraken, met een gewone computer, wat geduld en de juiste software. De nieuwe versie van de smartcard zal beveiligd zijn met 256 bit versleuteling, een methode die niet te kraken valt. „Voorlopig", zegt Westhovens.