Slimmer dan de overheid: Open & Veilige OV-kaart
Met steun van stichting NLnet gaat de Digital Security Group aan de Radboud Universiteit Nijmegen een onderzoek doen naar een verbeterde OV-chipkaart. Dit is hard nodig omdat de huidige OV-chipkaart niet alleen ernstige privacy-issues kent, maar ook gemakkelijk te kraken is. In tegenstelling tot stichting NLnet en vooraanstaande beveiligingsdeskundigen, ziet men hierin noch bij de rijksoverheid noch bij TLS (de initiatiefnemer van de OV-chipkaart) een reden om naar een beter beveiligde OV-kaart over te stappen.
Opmerkelijk aan het vandaag aangekondigde initiatief van de Radboud Universiteit en stichting NLnet is dat zij naar een open source-implementatie voor de nieuwe generatie kaarten streven:
Alle ontwikkelde software voor de OV-chip v2.0 zal “open source” zijn en in principe voor iedereen toegankelijk, bijvoorbeeld om te controleren of reis- en persoonsgegevens inderdaad adequaat beschermd worden. Open source software heeft niet alleen in de academische wereld maar in toenemende mate ook daarbuiten, met name bij de overheid, de voorkeur boven gesloten software (waarvan de werking geheim is). [uit het persbericht van stichting NLnet]
Voor leken lijkt het onlogisch dat software die door iedereen vrij te bestuderen is, de veiligheid van zo’n kaart zou vergroten, maar volgens vooraanstaande veiligheidsonderzoekers is dit zelfs de enige manier om de veiligheid van een dergelijk systeem te waarborgen. Zo is herhaaldelijk aangetoond dat het geheimhouden van beveiligingmechanismen en softwarecode (ook wel security through obscurity genoemd) in de realiteit vaak op het geheimhouden van veiligheidsrisico’s neerkomt.
Om deze reden is het initiatief van de Stichting NLnet een belangrijke stap. Het is te hopen dat de onderzoekers erin slagen een Open en Veilig (OV) systeem te ontwikkelen. Hieraan is niet alleen in Nederland, maar in talloze andere landen een enorm grote behoefte.
