GVB
De OV-bedrijven gaan door met de verdere invoering van de OV-chipkaart.
29 februari 2008
TNO heeft in opdracht van Trans Link Systems B.V. (TLS) onderzoek
gedaan naar de lange termijn gevolgen voor de beveiliging van de
OV-chipkaart. Op basis van dit onderzoek concludeert TLS dat de
OV-chipkaart voldoende veilig is, mits een aantal aanvullende
maatregelen genomen wordt ter bestrijding van misbruik met de
OV-chipkaart. De OV-bedrijven gaan door met de verdere invoering van
de OV-chipkaart.
Vrijdag 29 februari is het rapport van TNO door Jeroen Kok, algemeen
directeur van TLS, aangeboden aan staatssecretaris Tineke Huizinga ten
behoeve van de contra-expertise die in haar opdracht wordt uitgevoerd.
TNO-onderzoek naar de beveiliging van de OV-chipkaart
In december 2007 maakten twee onderzoekers bekend dat zij de werking
van het standaard beveiligingsmechanisme van de Mifare Classic 4k chip
hebben achterhaald. Deze chip wordt geproduceerd door NXP, het
voormalige Philips Semiconductors. Mifare chips worden wereldwijd in
meer dan een miljard chipkaarten gebruikt, waaronder vele
e-ticketing-toepassingen in het openbaar vervoer.
Naar aanleiding van deze bekendmaking heeft TLS aan TNO gevraagd de
beveiliging van de OV-chipkaart te evalueren. De hoofdconclusies van
TNO zijn de volgende:
* Gezien de recente ontwikkelingen zal de Mifare Classic 4k die op
dit moment in de OV-Chipkaart gebruikt wordt, uiteindelijk moeten
worden vervangen door een kaart met een sterkere
beveiligingskarakteristiek.
* De noodzaak om te migreren is niet acuut. Indien in de omringende
infrastructuur een aantal maatregelen wordt getroffen, kan de
huidige kaart nog minstens enkele jaren worden gehandhaafd.
Bovendien achten wij een strategie uitvoerbaar waarin de
inspanningen primair worden gericht op het migratiegereed maken in
plaats van het bewerkstelligen van een migratie op de korte
termijn.
* Scenario's waarin het systeem zou worden misbruikt, hebben een
beperkte impact op kaarthouders. Iemand ter plekke beroven van
reisproducten of het kaarttegoed is niet realistisch. Wel is één
scenario denkbaar waarin de kaarthouder financieel moet worden
gecompenseerd. Voor wat betreft privacy moet worden opgemerkt dat
het enige persoonskenmerk dat door een aanval op de kaart kan
worden achterhaald de geboortedatum betreft. Bovendien is de
identiteit van de kaarthouder slechts weergegeven in de opdruk van
de kaart en op geen enkele wijze opgeslagen op de chip.
Beveiliging is een continu proces
De OV-chipkaart heeft meerdere lagen van beveiliging. De eerste laag
betreft de standaardbeveiliging van de fabrikant, en de tweede laag
bevat beveiligingsvoorzieningen in de chip specifiek voor de
OV-chipkaart. De derde laag bestaat uit maatregelen in de backoffice.
In de backoffice worden transacties met een afwijkend patroon
gemonitord en indien noodzakelijk wordt de kaart bij eerstvolgend
gebruik geblokkeerd. Tot nu toe zijn geen transacties voorgekomen die
duiden op frauduleus handelen met de OV-chipkaart.
100% veiligheid kan nooit worden gegarandeerd. Iedere vorm van
beveiliging moet in verhouding worden geplaatst met factoren als
klantgemak, klantgaranties, rendement van fraude en investeringen.
Vervolgstappen
Naar aanleiding van de bevindingen van TNO zijn door TLS en de
betrokken OV-bedrijven de volgende besluiten genomen:
* De OV-bedrijven en TLS gaan door met de introductie van de
OV-chipkaart.
* TLS voert zo snel mogelijk de verbeteringen door die TNO
aanbeveelt.
* TLS werkt scenario's uit om op termijn, wanneer de daadwerkelijke
ontwikkeling hier aanleiding toe geeft, over te kunnen gaan op een
nieuwe generatie chipkaart. Voor de verdere uitwerking zal worden
samengewerkt met wetenschappelijke instituten.
Uiteraard zullen de uitkomsten van de contra-expertise betrokken
worden in de uitvoering - en waar nodig bijstelling - van deze
besluiten.