Duitse experts: Laptop kraakt ov-chip in paar minuten

Iedereen kan nu al, en niet pas over twee jaar, met een laptop in enkele minuten een ov-chipkaart kraken. Dat melden Duitse experts vandaag.

De Duitse computerexperts die eerder een deel van de geheimen van de ov-chipkaart wisten te ontrafelen, zeggen nu de hele beveiliging ervan te hebben gekraakt. Het gaat daarbij om de langdurig bruikbare kaarten. Een maand geleden kraakten onderzoekers uit Nijmegen al de veel eenvoudiger dagkaarten.

Met een laptop verborgen in een tas kan ongemerkt in luttele minuten een ov-chipkaart van een medereiziger worden gekraakt en gekopieerd. Daarna kan op diens kosten worden gereisd, aldus de onderzoekers. Hun bevindingen zijn ook van belang voor andere kaarten met dezelfde chip, zoals voor de Londense metro en betaalpasjes voor sommige winkels in Engeland.

Karsten Nohl, een van de Duitse chipexperts, wil nog geen details kwijt van hun werk. „We zullen over drie maanden een demonstratie geven en de betrokken bedrijven eerst de tijd gunnen de chip te vervangen of andere maatregelen te nemen.”

Twee maanden geleden had Nohl al ontdekt hoe de chip geheime codes genereert, maar kon hij die codes zelf nog niet reproduceren. Dat is nu ook gelukt. De code bestaat uit 48 enen en nullen. „Daarvan bleken er 12 makkelijk te achterhalen. De overige 36 kun je dan met een gewone pc in enkele minuten raden.”

Onderzoeksbureau TNO heeft de afgelopen weken onderzocht of de ov-chip nog bruikbaar is. Tien dagen geleden meldde TNO dat de huidige chip nog wel twee jaar mee kan. Voor het kraken ervan zou apparatuur nodig zijn van 9.000 euro die dan een paar uur moet rekenen. Dat zou het kraken oninteressant maken. Volgens Nohl is dat nu dus achterhaald.

TLS, dat het ov-chipproject uitvoert, zegt daarvoor eerst harde bewijzen te willen zien. Bart Jacobs, hoogleraar computerbeveiliging, zegt dat het werk van Nohl er in theorie goed uitziet, maar zich in de praktijk inderdaad nog moet bewijzen. Hij denkt echter ook dat het kopiëren van de ov-chip voor veel minder dan 9.000 euro kan en dat het hoe dan ook weldra lukt. Rop Gonggrijp, die de onveiligheid van stemcomputers wist aan te tonen, is al overtuigd: „De ov-chip is nu echt kapot.”