RFID deurpassen ook gekraakt

Veel acuter dan de nog niet ingevoerde OV-chipkaart is de gekraakte beveiliging van 2 miljoen RFID deurpassen zo staat in het Parool en andere nieuwsbronnen Het idee dat de problemen met de Mifare Classic RFID chip zich zouden beperken tot het toepassingsgebied van de OV kaart, of tot het Nederlands grondgebied zijn een beetje naief. Alle toepassingen van de chip waar informatiebeveiliging een rol speelt staan op de helling.

De Radboud Universiteit wilde vanmorgen nog niet zeggen of de technische informatie wordt vrijgegeven. Een woordvoerder van Ter Horst bevestigt echter dat zodra dat gebeurt, de veiligheid van een groot aantal gebouwen van de overheid en van privé-instellingen als banken niet meer is te garanderen. Om welke gebouwen het gaat, wil hij niet zeggen, om te voorkomen dat deze een al te gemakkelijk doelwit worden.

Hier zien we dus weer hoe hardnekkig het geloof in ‘security-by-obscurity’ is. Het idee dat als je maar een geheimpje kan bewaren over de werking van het beveligingsmechanisme het wel goed zal gaan. Er zijn 100.000.000 kaarten in omloop met de chip die bestudeerd kunnen worden. Dat hou je dus nooit droog. Wat men bij Binnenlandse zaken (en iedere andere organisatie die deze chipcards gebruikt) dus goed moet snappen is dat alle benodigde informatie om het werk van de Radboud Universiteit te repliceren al lang openbaar is. Het niet hardop willen uitspreken dat het kalf verdronken is helpt het kalf niet en vertraagt het dempen van de put. Arme kalfjes ….