Op 14 april 2008 is het rapport van de contra-expertise, uitgevoerd door Royal Holloway, University of London (RHUL), ontvangen door TLS en de OV-bedrijven. In onderstaande bijlage vindt u de gezamenlijke reactie naar aanleiding van dit rapport.

Reactie van TLS en de OV-bedrijven naar aanleiding van de contra-expertise door Royal Holloway, University of London (RHUL).

Reiziger niet gedupeerd

De OV-bedrijven en Trans Link Systems stellen vast dat RHUL de voordelen van een elektronisch vervoerbewijs in het openbaar vervoer onderschrijft. RHUL concludeert, in navolging van TNO, dat de huidige Mifare Classic chip – één van de meest gebruikte kaarten die destijds in de openbare aanbesteding voor de OV-chipkaart is aanbevolen – nu als gekraakt moet worden beschouwd.

Anderzijds concludeert RHUL dat:

• Het feitelijke risico niet de reiziger betreft.

• De privacy niet in het gedrang is, omdat slechts de geboortedatum op de chip staat.

Conform de algemene voorwaarden van de OV-chipkaart zal de reiziger directe financiële schade van eventuele fraude met de OV-chipkaart door TLS vergoed krijgen.

Aanbeveling overgenomen

De OV-bedrijven en Trans Link Systems nemen de aanbeveling van RHUL over om een Migration Planning Milestone vast te stellen gelijktijdig met de geplande datum van volledige uitrol, in plaats van overhaast een andere chip te selecteren of korte termijn maatregelen in te voeren.

Het doel hiervan is om parallel aan de uitrol van het systeem ook te werken aan de toekomstige beveiliging van de kaart. Na het bereiken van de Migration Planning Milestone is bekend in hoeverre mogelijke fraude zich ook daadwerkelijk voordoet, of de voorgestelde korte termijnmaatregelen van TNO tegen fraude effectief zijn en wat een geschikt migratiepad voor de chip zou kunnen zijn.

De Migration Planning Milestone omvat dus analyses, ontwerpen, planningen en budgetten maar nog geen daadwerkelijke wijzigingen van het systeem.

Het is hierbij ook van belang om de mogelijke extra kosten goed inzichtelijk te krijgen. Deze kunnen dan meegenomen worden in het domein kosten, van het Regieteam OV-chipkaart van het Ministerie van Verkeer en Waterstaat.

Definitieve besluitvorming over aanpak en tempo van eventuele migratie kan dan worden genomen op basis van vooraf bepaalde stappen en ‘triggers’ waaronder de aard en omvang van daadwerkelijk misbruik.

Bij de activiteiten behorend bij het opstellen van de Migration Planning Milestone zullen ook externe onderzoeksinstellingen, wetenschappelijke instellingen en internationale zusterprojecten worden betrokken.

TLS en de OV-bedrijven blijven zich inspannen voor de veiligheid, het gemak en de snelheid van het reizen met de OV-chipkaart.

Achtergrondinformatie (verzorgd door de redactie van Infrasite)
Lees alles over de landelijke invoering van de OV-chipkaart in Infrasite Projecten de projectpagina Landelijke invoering OV-chipkaart
U vindt hier ondermeer Kamerbrief OV-chipkaart “Counter expertise”

Lees ook in Infrasite Articles:
Security hole in world’s most popular smartcard door: Karsten Nohl (University of Virginia) en
Hacking of the Mifare RFID smartcard door: Radboud Universiteit Nijmegen