Comments on: OV-chipkaart definitief gebroken

By: Remco K

Remco K — Wed, 26 Aug 2009 10:46:23 +0000

zo heel erg dood lijkt die kaart helaas nog niet te zijn: http://www.nu.nl/economie/2068153/gvb-en-ret-bekeuren-abonnees-met-chipkaart.html

By: esgigt

esgigt — Wed, 29 Oct 2008 14:57:27 +0000

@45 “stelletje alfa’s” : Hier in Rotterdam zouden ze het vroeger een stelletje delta’s genoemd hebben (misschien nog). Delta was vroeger de naam van het psychiatrisch ziekenhuis van Rotterdam.

By: Henk van S tot S

Henk van S tot S — Wed, 29 Oct 2008 00:39:45 +0000

Dat stelletje Alfa’s in in Den Haag bewijst weer eens demonstratief hoe dom ze zijn.
Die chipkaart is hooguit goed voor:
http://www.myspace.com/tickettohellband
;-)

By: esgigt

esgigt — Wed, 29 Oct 2008 00:20:00 +0000

Binnen het OV-Chip gebeuren is het zo ingeregeld dat er met een zgn. Black-list gewerkt wordt. Die lijst wordt (volgens de procedure) dagelijks op de controleapparatuur (ook de CiCo’s) geladen.

Zodra op een card-ID onregelmatigheden (eerst een laag tegoed en daarna zonder opladen plots een hoger tegoed) wordt die card-ID ge-blacklist. Deze controle gebeurt bij TLS. Dat houdt in dat (als het goed werkt) de gecopieerde kaart slechts kort (hoogstens een paar dagen) bruikbaar is.

Toch moet het in die korte tijd mogelijk zijn om een paar gecopieerde kaarten op te reizen.

Vanuit de vervoerders is het mogelijk om middels poortjes (en natuurlijk ook camera’s) de houder van een gecopieerde kaart te identificeren en te (laten) isoleren. Gelukkig dat niet overal poortjes komen, maar ook mobiele posten waar je, na het weigeren van een geblackliste kaart, een “goede” copie voor kunt houden.

Wat je dus ook moet beinvloeden is de ingebrandde card-ID, die moet een geldige, niet geblacklistte, waarde hebben. Dat geeft dus ook rommel binnen de goede kaarten, maar als dat vaak genoeg gebeurt, òf strand het project alsnog, òf gaan veel mensen met eigen vervoer.

Hoe dan ook lijkt het succes van de OV-Chip zwaar onder druk te staan.

By: squire

squire — Tue, 28 Oct 2008 02:08:02 +0000

@11 Heel vroeger had je een perronkaartje nodig om je geliefden uit te mogen zwaaien.
Niks nieuws.

By: Plofkip

Plofkip — Mon, 27 Oct 2008 23:54:35 +0000

Om met bianconero te spreken: er is nu zoveel over te doen geweest in de media dat we er nu over op moeten houden. Geen vragen meer, iedereen heeft zijn portie gehad.

By: Rene

Rene — Mon, 27 Oct 2008 23:27:55 +0000

zmc: Ik geloof dat het C1000 was met die proef van betalen met de telefoon?

(ja, privacy issues nog meer op de voorgrond met een mobiele telefoon maar dat is even secundair voor dit punt)

By: zmc

zmc — Mon, 27 Oct 2008 23:10:53 +0000

@Maggi e.v.a.: Het gaat hier niet om skimmen. Het gaat hier om het simpelweg thuis kopieren van je net gekochte wegwerp-OV-kaartje. Vergelijkbaar met het kopieren van papiergeld, maar dan praktisch ontraceerbaar en sowieso niet te onderscheiden van een echte chipkaart. De (wegwerp) OV-chipkaart onderscheidt zich van praktisch alle gangbare betaalsystemen in dat in dat ding zelf is opgeslagen wat je tegoed is. Dat is zelfs met de chipknip niet zo. Reden is dat het nog altijd niet op afdoende betrouwbare wijze mogelijk is om in de bus op het platteland een verbinding met een centrale server te leggen en zodoende te controleren of een kaart wel uniek is en wat het saldo is.

Het gaat hier ook specifiek om de wegwerp OV-chipkaarten en het grote probleem daarbij is dat fatsoenlijk beveiligde chips (met een veel snellere processor) gewoon te duur zijn om voor dat doeleinde te gebruiken – fatsoenlijke chips zijn er namelijk al heel erg lang. Oftewel: het probleem is veel meer een geldkwestie dan een technische kwestie.

Het wordt hoog tijd dat we gewoon een kaart invoeren die voor veel meer doeleinden te gebruiken is en zodoende wat meer mag kosten. Dan hebben we geen wegwerpkaarten meer nodig en kan iedereen zijn MultiPass ((C) LeeLoo) gebruiken als OV-kaart, pinpas, chipknip en dan ook meteen maar als toegangspas voor kantoorgebouwen, want daar moeten we ook wat nieuws voor verzinnen aangezien Mifare Classic daar ontzettend veel wordt gebruikt. Probleem opgelost.

By: Rene

Rene — Mon, 27 Oct 2008 22:55:33 +0000

Hrmpf. Ik gaf 3 weken geleden al door als linktip dat het ding nu echt definitief open lag voor iedereen:

http://webwereld.nl/articles/53036/ov-chip

Uit de abstract van dat Esorics paper:

The most serious one recovers the secret key from just one or two authentication attempts with a genuine reader in less than a second on ordinary hardware and without any pre-computation. Using the same methods, an attacker can also eavesdrop the communication between a tag and a reader, and decrypt the whole trace, even if it involves multiple authentications. This enables an attacker to clone a card or to restore a real card to a previous state.

Die laatste “to restore [ ... ]” is uiteraard ook leuk in de context van een OV kaart. Bij A heb je EUR 30 tegoed en bij B heb je… hee, verrek, alweer EUR 30 tegoed.

De mifare chip is toast. Volledig.

By: Maggi

Maggi — Mon, 27 Oct 2008 22:12:29 +0000

Wat een gelul allemaal. Mijn pinpas kan ook redelijk eenvoudig geskimd worden met de juiste apparatuur. Maar dat is mooi niet de reden dat ik al mijn geld nu in een sok heb zitten. Dat komt door de kredietcrisis.