Nedap komt met aanvullingen in haar security management systeem AEOS om het risico van het klonen van Mifare toegangspassen te beperken. Met het uitbrengen van een software patch beschermt Nedap haar Mifare-lezers tegen de kraakmethode die onlangs door de Radboud Universiteit te Nijmegen is gepresenteerd.

De Digital Security Groep van de Radboud Universiteit Nijmegen stelt in haar persverklaring van 12 maart jongstleden in staat te zijn de Mifare Classic contactloze toegangspas te kunnen klonen. De contactloze Mifare Classic chipkaart is midden jaren ’90 ontwikkeld door NXP (voorheen Philips Semiconductors) op basis van de toen beschikbare kennis en technologie. Mede door zijn lage kostprijs en multifunctionele inzetbaarheid is de kaart een relatief populair identificatiemiddel voor gebruik in onder andere toegangscontrolesystemen.

De Mifare Classic kan op twee manieren in een toegangscontrole-systeem worden toegepast. Op de eerste plaats kan het unieke CSN (Card Serial Number) van een Mifare kaart (onversleuteld) worden gelezen en gebruikt om een persoon te identificeren. De tweede methode is het lezen van versleutelde informatie uit één van de sectoren. Voor het schrijven en lezen van deze informatie wordt gebruik gemaakt van een (geheime) sleutel. Alleen als zowel in de kaartlezer als in de kaart dezelfde sleutel wordt gebruikt, is het mogelijk om de informatie uit het segment uit te lezen en op basis van die informatie te bepalen of een persoon toegang wordt verleend. De Mifare lezers die volgens dit principe werken zijn iets duurder zijn dan CSN-lezers.

De hack van de Mifare-kaart is uitgevoerd met behulp van de Methode Jacobs , waarbij een Mifarelezer voortdurend wordt bestookt met foutieve gegevens. Op basis van de reacties van de lezer wordt een tabel opgesteld die kan worden gebruikt voor het achterhalen van de Mifare-sleutel. Met deze Mifare-sleutel kunnen vervolgens eenvoudig informatie uit de sectoren worden gelezen en kunnen kopieën van een Mifare-kaart worden gemaakt.

Het nieuws zou de indruk kunnen wekken dat gebruik van het CSN wel veilig is. Dit is helaas niet waar. In het onderzoek van de Universiteit Nijmegen wordt gebruik gemaakt van draagbare RFID apparatuur. Met soortgelijke apparatuur is het eenvoudig mogelijk om unieke CSN nummer te reproduceren en naar de lezer te versturen.

De nieuwe software van Nedap detecteert deze kraakmethode waarna de lezer tijdelijk wordt uitgeschakeld. Tevens verstuurt de lezer een alarm naar het security systeem en kunnen er passende maatregelen worden genomen. Alle Nedap klanten met een Upgrade Assurance overeenkomst krijgen automatisch de beschikking over deze nieuwe software.

In welke mate het feit dat de Mifare Classic kaart te klonen blijkt een risico vormt voor de beveiliging van gebouwen en terreinen hangt mede af van de aanvullende beveiligingsmaatregelen. Moderne toegangscontrolesystemen bieden tal van functies om de gevolgen van het verliezen van een kaart of een gekopieerde kaart te minimaliseren. Voorbeelden hiervan zijn het gebruik van de kaart in combinatie met pincodes, Anti Pass back, video verificatie en biometrie. Het is daarom aan te raden in het licht van de recente ontwikkelingen een hernieuwde risicoanalyse uit te laten voeren.

Naast lezers voor alle vormen van encryptie zoals Mifare DESFire en Mifare Plus ondersteunt het AEOS Security Management systeem alle bekende veiligheidsmaatregelen. Zowel lezers, controllers als de embedded- en serversoftware worden geheel in eigen huis ontwikkeld.