Det danske chip-baserede Rejsekort får svært ved at opnå brugernes tillid, mener den danske it-sikkerhedsekspert Christian Wernberg-Tougaard.
"Efter min vurdering er der et sikkerhedsproblem i forhold til den model, Rejsekortet har valgt. Kortets chip er blevet hacket, og det ødelægger tilliden til kortet," siger Christian Wernberg-Tougaard, direktør, In4change.com og ekspert i Teknologirådets arbejdsgruppe vedrørende RFID.
Ikke en dårlig chip
Christian Wernberg-Tougaard mener ikke, at den brugte chip nødvendigvis er dårlig, men snarere, at den tekniske ekspertise bag Rejsekortet ikke har tænkt sig om i forhold til, hvilken grad af beskyttelse, man vil have på kortets chip.
"Rejsekortet har valgt en teknologi med en sikkerhedsarkitektur, der simpelthen ikke er stærk nok til morgendagens samfund," siger Christian Wernberg-Tougaard.
Han mener, at Rejsekort for måske bare en krone eller to mere per kort kunne have brugt en chip, der var Privacy Enabled og dermed betydelig sværere at pille ved.
Dansk chip sladrer ikke
For eksempel har det danske firma RFIDsec lanceret en RFID-chip, der yder en helt anden form for beskyttelse end den, der sidder i Rejsekortet.
I modsætning til den typiske radiobrik, der 'sladrer' til alle, der spørger, og derfor giver mulighed for registrering og overvågning, har RFIDsec ved hjælp af kryptering på chipniveau udviklet en persondatabeskyttet chip, som gør ejeren i stand til at kontrollere informationen på chippen på alle niveauer.
Mikkel Løcke Winther fra RFIDsec har tidligere fortalt Computerworld, hvordan selskabet har båret sig ad med at styrke sikkerheden i radiobrikken:
"Det unikke ved vores teknologi er den relativt stærke kryptering på en passiv RFID-tag uden batteri. Det betyder, at al information til og fra RFID-taggen er krypteret og ikke kan de-krypteres.
Kun godkendte scannere
Samtidig har taggen en envejsgodkendelse, som sørger for, at den kun svarer godkendte scannere. Andre vil ikke kunne læse indholdet."
"Der findes mange lignende designs af radiobrikker, og designet betyder simpelthen, at chippen ikke svarer på en hackers forespørgsel, og derfor kan en hacker ikke lave reverse engineering på chippen," forklarer Christian Wernberg-Tougaard.
Han mener, at det er afgørende for tilliden til Rejsekortet, at man vælger en RFID-chip, som er beskyttet mod misbrug.
"Det er ganske enkelt for dumt ikke at investere i Privacy Enhanced Technology til at starte med," konstaterer sikkerhedseksperten.
Hægt det sammen med Borgerkortet
Kunne Christian Wernberg-Tougaard bestemme, ville han slet ikke lade konsortiet Rejsekort udstede de små plastickort, der skal afløse de traditionelle billetter i tog og busser.
"I stedet for at lade Rejsekort udstede Rejsekortene, burde man lade det kommende biometriske borger-service-kort med indlejret PET RFID-chip (Privacy Enabled Technology, red.) være den oplagte kandidat som fremtidens rejsekort.
Samfundsmæssigt er der store besparelser ved at hægte teknologierne sammen. Og man kan få meget mere sikre løsninger," lyder det fra den danske sikkerhedsekspert.
