Pagina:Contra-expertise beoordeling van de veiligheidsanalyse van de Nederlandse OV-Chipkaart door TNO.djvu/10

Uit Wikisource
Deze pagina is proefgelezen

Royal Holloway, University of London: Information Security Group - Smart Card Centre

De tijd tot aan de voorgestelde mijlpaal voor de migratieplanning biedt ook een redelijke termijn waarbinnen de eerste statistische gegevens met betrekking tot de aanvallen die in werkelijkheid plaatsvinden kunnen worden verzameld, en de doeltreffendheid en uitvoerbaarheid van de tegenmaatregelen uit het TNO-rapport beoordeeld. Tegenmaatregelen eerder invoeren kan worden overwogen als de voordelen de kosten en inspanningen daarvan rechtvaardigen in vergelijking met het wachten op de oplossing door kaartmigratie.

Het TNO-rapport bevatte geen voorstellen waarvoor een ‘toekomstbestendigheidsgarantie’ kon worden gegeven. Daarom wil het CEB, uitgaande van eigen ervaringen, gaarne aanvullende suggesties doen welke bij de migratieplanning in overweging kunnen worden genomen. De migratie naar een andere kaart/een ander algoritme moet niet worden beschouwd als een eenmalige gebeurtenis, maar als een kans om het systeem zodanig in te richten dat deze kan beantwoorden aan welke toekomstige migratiebehoeften dan ook. Wij raden daarom aan om op korte termijn modularisatie van de beveiligingsoplossing voor de kaart en de kaartlezer te overwegen, zodat meerdere kaarten/algoritmes zouden kunnen worden ondersteund. Dit zorgt er niet alleen voor dat het systeem toekomstbestendiger wordt, maar ook dat een gefaseerde migratie tussen verschillende kaarttypes wordt ondersteund. Een voordeel van gefaseerde migratie is dat bestaande kaarten tot aan de afloop van hun normale gebruiksduur kunnen worden gebruikt voordat ze worden vervangen, waardoor de klanten kosten en ongerief worden bespaard.

Voor de verdere toekomst zou de modulaire benadering verder kunnen worden uitgebreid, zoals ook is gebeurd in de mobiele communicatie. De interface naar het authenticatiealgoritme van de smartcard en de algemene functionele vereisten zijn gedefinieerd en gepubliceerd in internationale normen. Voor het authenticatiealgoritme zelf bestaat echter geen standaard[1]. Dit stelt bedrijven in staat om voor gedifferentieerde beveiligingsoplossingen te kiezen en biedt tegelijkertijd een kader dat de gefaseerde migratie van algoritmes ondersteunt. In het geval van mobiele telefonie van de derde generatie (3G), heeft een internationale groep beveiligingsdeskundigen een open en vrij beschikbaar voorbeeldalgoritme gepubliceerd, dat nu in brede kring aanvaard is.

Welke methodes en expertise ook worden ingezet om te zorgen dat er voor het algoritme voor de OV-Chipkaart een geschikte vervanger wordt gekozen, het is minstens zo belangrijk om het algoritme op een veilige en aanvalbestendige wijze in te voeren. Daarom moet worden overwogen om de implementatie van het algoritme in de slimme kaart en in de systeeminfrastructuur te onderwerpen aan een onafhankelijke beoordeling[2].

Een andere algemene manier waarmee de toekomstbestendigheid van een willekeurig systeem wordt versterkt is door bijzondere aandacht te schenken aan risicomodellering. Eigenlijk wil het CEB met de grootst mogelijke nadruk erop wijzen dat er bij het ontwerpen, invoeren, exploiteren en verbeteren van cruciale systemen van deze aard zeer strenge risicobeoordelingsmethodieken moeten worden toegepast. In het geval van het OV-Chipkaartsysteem zouden alle momenteel gebruikte kaarttypes aan deze risicobeoordeling moeten worden onderworpen, inclusief de Mifare Ultralight.

Ter afsluiting wil het CEB de huidige problemen in perspectief zetten door te onderstrepen dat smartcard systemen in andere landen en bedrijfstakken succesvol zijn en populair onder klanten vanwege de geboden snelheid, flexibiliteit en gemak. Organisaties die met kaartverkoop te maken hebben, zien hierdoor niet zelden kans de kosten van de productie en verkoop van kaartjes te verminderen en (wellicht voor het eerst) gevallen van niet-technische fraude, die mogelijk is met papieren kaartjes of kaartjes met magnetische strips, op te sporen en in te dammen. Wil men met de invoering van een op de smart card gebaseerd vervoerssysteem deze voordelen benutten, dan gelden als belangrijkste uitdaging de implementatie van het systeem, de zakelijk-financiële infrastructuur en het inrichten van daarmee verbonden operationele processen. Ook van vitaal belang is de beleving van de klant, omdat een vervoerssysteem nu eenmaal is bedoeld voor een comfortabele en snelle doorstroom van reizigers. Ook al vormen de smart card en de daaraan gerelateerde lezermodules cruciale elementen in de systeemoplossing, zij vormen slechts een betrekkelijk klein deel van de uitdaging van de inrichting van de infrastructuur; derhalve moeten zij als onderdeel van een gefaseerd migratieproces eenvoudig te vervangen zijn.

  1. Het zij opgemerkt dat algoritmes voor gegevensversleuteling zijn gestandaardiseerd om apparatuur onderling te kunnen laten samenwerken en ten behoeve van roaming.
  2. Bij voorkeur conform internationale normen