På grund af en 'teoretisk sikkerhedsrisiko' har den engelske transportorganisation ITSO besluttet at udfase Mifare-chip'en, der blandt andet sidder i det voldsomt populære engelske rejse- og småpengekort Oyster Card.
Chippen er en RFID-chip, som produceres på licens af NXP, der oprindelig var chip-divisionen i den hollandske elektronik-koncern Phillips, men i dag er en selvstændig virksomhed.
RFID står for Radio Frequency Identification og er en trådløs teknologi, der baserer sig på radiobølger.
"Mange lande læner sig op ad ITSO's anbefalinger, for der findes stort ikke andre lignende organisationer, så det bliver spændende at se, hvilke reaktioner, der følger ITSO's melding om at droppe brugen af Mifare-chip'en," siger Henning N. Jensen, seniorpartner hos Pluscon, der blandt andet rådgiver virksomheder om elektroniske betalingsløsninger.
Hacket på to minutter
Nye undersøgelser fra University College London indikerer, at det nu er muligt at trænge ind i den kryptografi, som ligger bag de klassiske Mifare Smartcards Mifare 1k og Mifare 4k på bare to minutter.
Herfra kan hackerne klone kortet til en emulator bygget af standardkomponenter hentet via internettet. Graden af sikkerhed varierer dog fra de enkelte udstedere af disse chipkort.
Det danske Rejsekort , bruger også en variant af den Mifare-chip, som englænderne nu har besluttet at sige farvel til. Afskeden bliver langvarig på grund af de meget vidtgående og langtrækkende aftaler, der er indgået i transportsektoren.
Computerworld beskrev først på året, hvordan tyske hackere havde knækket det hollandske rejsekort OV-chipkaart, der baserer sig på den samme teknologi som det danske Rejsekort.
Med den afsløring fulgte konklusionen Dansk Rejsekort pivåbent for hackerangreb.
Senest slut i 2016
Første fase i udfasningen indebærer, at medlemmer af ITSO stopper med at udstede nye Mifare-baserede kort 31. december 2009.
Anden fase betyder, at ITSO ophører med art supportere Mifare Classic-specifikationerne, hvilket sker, når det sidste Mifare-baserede smartcard er udløbet, hvilket senest sker 31. december 2016.
Den lange periode gør det muligt for ITSO's medlemmer at skifte til andre teknologier, men indtil videre anbefaler organisationen ikke en anden leverandør.
