Slimme kaart veiliger dan bankpasje

Steeds meer mensen krijgen te maken met elektronisch geldverkeer. Voor de rekeninghouder is het wel prettig om te weten dat hij of zij alleen in staat is om geld op te nemen van de eigen rekening. Vanuit het oogpunt van de bank gezien, is het wenselijk dat een gebruiker de automaat alleen kan aanzetten tot het beschikbaarstellen van geld, wanneer het bedrag ook daadwerkelijk afgeschreven wordt van zijn eigen rekening. Het persoonlijk identificatienummer (de pincode) zorgt al voor een behoorlijke beveiliging; alleen de eigenaar van het bankpasje weet de bijbehorende pincode. Wanneer de computer gecontroleerd heeft of de kaart en de code ook daadwerkelijk bij elkaar horen, zet hij het licht op groen voor de gewenste betaalactie.

Gelddrukkerij

Om fraude te voorkomen, hebben de banken een aantal beveiligingen ingebouwd. Daarnaast proberen de leveranciers van de apparatuur, die nodig is bij deze vorm van betalen, steeds slimmere methoden te ontwikkelen om misbruik tegen te gaan. Want: „Elke beveiliging is na verloop van tijd te kraken", aldus ing. Gerard van Battum. Hij is als elektronicus werkzaam bij de Technisch Physische Dienst van TNO in Delft. Binnen deze afdeling is een groep onderzoekers gespecialiseerd in het kraken van beveiligingsmethodes.

Eén van de zwakke punten in het huidige systeem van betaalautomaten is de lange verbinding tussen het apparaat bij de bank of de winkel en de centrale computer die controleert of gebruiker X geld op mag nemen van rekening Y", meent de Delftse onderzoeker. „Wanneer bij voorbeeld een pomphouder wil knoeien, zou hij de magneetstrip op de achterkant van de kaart kunnen kopiëren tijdens het inlezen van de gegevens door het betaalapparaat. Vervolgens tapt hij ergens in de kaartlezer een informatielijn af waardoor hij de pincode te weten komt. Onze pomphouder heeft nu zijn eigen gelddrukkerij want hij kan de juiste gegevens op de zwarte magneetstrip van een pasje zetten en ermee betalen omdat hij de bijbehorende code weet. De betaling gaat dan ten koste van het saldo van z'n vroegere klant".

Codeersleutel

Gelukkig gaat het allemaal niet zo simpel. „Ten eerste worden de gegevens op de pas, zoals het rekeningnummer, via codeersleutels met wiskundige formules door elkaar gehusseld voordat ze verstuurd worden. Hetzelfde gebeurt met de pincode. De informatie, waar verder niemand wat mee kan tenzij hij of zij over een decodeersleutel beschikt, wordt daarna naar de centrale computer van de Nederlandse banken gestuurd. Deze berekent op zijn beurt uit de vercijferde gegevens of het rekeningnummer en de pincode bij elkaar horen", aldus de TNO-expert. De beveiliging is echter waardeloos geworden op het moment dat iemand de codeersleutel in z'n bezit krijgt. De fraudeur kan nu de door elkaar gehusselde informatie weer leesbaar maken.

De wiskundige sleutel wordt bewaard in het geheugen van het kastje dat de informatie op het bankpasje inleest. Het kraken van de bevelling van de kaartleesapparatuur is een specialisme van de Delftse TNO'ers: „In onze club proberen we, in opdracht van de fabrikanten, de zwakste plek van zo'n kastje te ontdekken. Omdat we er in de beveiligingsbranche van uitgaan dat je met voldoende tijd, geld en kennis elke beveiliging kunt kraken, beoordelen we de apparatuur op deze drie punten. Hoe meer tijd, geld en kennis het kost om de beveiliging te omzeilen, hoe beter het apparaatje is. Wat de fabrikant met onze bevindingen doet, moet hij weten. We testen het, maar we geven geen adviezen over mogelijke verbeteringen, omdat we vermenging van verschillende ideeën willen vermijden".

Truc

Soms blijken de kastjes of modules met kinderlijke eenvoud te kraken. Van Battum noemt een voorbeeld van een module die om die reden ook nooit op de markt is gekomen. „Er was een fabrikant die de draad van de alarmcircuits, die moeten signaleren dat er ongewenste handelingen worden uitgevoerd, buiten de module had aangebracht. Door simpel dit lijntje door te knippen, konden we het kastje openen zonder dat de sleutel werd beschadigd of vernietigd". Daarnaast bleek in een ander geval dat de TNO'ers de geheime sleutel konden bereiken door het kastje af te koelen tot 196 graden onder nul. Bij deze temperatuur werd het geheugen uit de module verwijderd en daarna aangesloten op andere apparatuur waarmee men de wiskundige code kon uitlezen. Gerard van Battum licht toe: „Bij dergelijke extreem lage temperaturen bleef de informatie in het geheugen zitten, zelfs wanneer dat losgekoppeld werd van de rest van de module. Als de fabrikant deze truc niet voorziet, dan is de beveiliging naar ons idee niet voldoende".

Slimme kaart

Zijn de huidige vormen van elektronisch betalen nog wel veilig? „Op dit moment is het hele betalingssysteem behoorlijk goed beveiligd", stelt de TNO-deskundige de gebruikers van de pasjes met pincode gerust. „Het probleem is echter dat de mensen met criminele bedoelingen de beschikking krijgen over steeds betere apparatuur om beveiligingen te kraken. Men moet daarom continu zoeken naar mogelijke verbeteringen om zo defraudeurs een stap voor te blijven.

Een grote stap voorwaarts op het gebied van beveiligingen is de smart card of slimme kaart. Bij het gebruik van een normale magneetkaart heeft men nog een grote, centrale computer nodig die controleert of de pasgebruiker ook de rechtmatige eigenaar is. In de smart card daarentegen is een kleine computer ingebouwd die hetzelfde doet. Van Battum heeft het dan over een microprocessor. Dit geavanceerde stukje elektronica is ongeveer net zo groot en dik als een kwartje. De lange en fraudegevoelige verbindingsweg tussen betaalautomaat en de centrale controle is dan niet meer direkt noodzakelijk. Daarnaast kan een deel van de beveiliging van de kaartleesapparatuur ook vervallen; de processor in de kaart zorgt zelf voor de beveiliging. Zo gauw deze pas in de kaartlezer gestoken wordt, controleert het interne computertje of de gebruiker de juiste pincode heeft ingetoetst en tot welke informatie men toegang heeft.

Spaarrekening

Zo'n smart card heeft een flink aantal voordelen ten opzichte van de bekende magneetkaart. Je kunt er niet alleen meer informatie op kwijt maar ook verschillende soorten gegevens. Op de magneetkaart kun je bij voorbeeld alleen maar het nummer van de betaalrekening opslaan, terwijl je in het geheugen van het computertje ook al je andere gegevens kunt bewaren. Daamaast is het dank zij de ingebouwde processor ook mogelijk om in de kaart zelf verschillende veiligheidsfuncties te stoppen'", stelt dr. Wil van Gils van Intercai in Veldhoven.

Dit bedrijf, met vestigingen over heel Europa, adviseert bedrijven en overheden op het gebied van informatie-overdracht met behulp van computers of telematica. „Je programmeert dit ingebouwde computertje in bij voorbeeld een bankpas dan zo dat het de betaalautomaat alleen toegang geeft tot de gegevens van de betaalrekening. Een medewerkster van de bank daarentegen kan alleen de informatie van een spaarrekening inzien. Weer andere medewerkers hebben alleen toegang tot het hypotheekgedeelte van het kaartgeheugen", zo legt drs. Anne Kooij, collega van Van Gils, uit.

De smart card kent ook een niet slim broertje: de memory- of geheugenkaart. Deze kaart bezit wel een elektronisch geheugen, maar heeft niet de beschikking over een eigen Foto RD boordcomputertje. „In de geheugenchip van dit type kaart kan wel veel informatie, zoals bij voorbeeld de onderhoudsgegevens van een auto. De kaart kan zichzelf echter niet beveiligen. Ze zijn meestal net zo groot als de standaardbankpasjes", aldus Anne Kooij.

Daarnaast bestaat er ook nog een slimme kaart met kleine druktoetsen en een mini beeldscherm: de super smart card. Het voordeel hiervan is volgens Wil van Gils, „dat je geen extra apparatuur meer nodig hebt om de pincode in te voeren". „Je hebt daardoor een extra beveiliging gekregen. Dit type is echter nog behoorlijk prijzig". De drie verschillende soorten worden meestal aangeduid! met de naam chipkaarten vanwege de ingebouwde microelektronica.

Ongeval

De normale smart card, die dezelfde afmetingen heeft als de standaard bankpasjes, heeft de toekomst volgens zowel de TNO'er als de twee Intercai-specialisten. Wil van Gils: „In dit geval moet je met name denken aan de opslag van verschillende soorten gegevens in combinatie met een bepaalde beveiliging". Hij ziet verschillende gebruiksmogelijkheden voor het stukje plastic met geheugen, bij voorbeeld als geneesmiddelenkaart. „De arts of apotheker kan dan met behulp van een kaartlezer controleren of de nieuw voorgeschreven geneesmiddelen ingenomen mogen worden naast de al in gebruik zijnde".

Al pratend verandert Wil van Gils de medicijnkaart in eenmedisch dossier. „Wanneer je daarnaast gebruik maakt van de beveiliging in de kaart, kun je ook allerlei medische gegevens in het geheugen van het computertje opslaan". In dat geval krijgt bij voorbeeld de apotheker met zijn code alleen toegang tot het medicijnendeel en de tandarts tot het gebitsdeel".

Deze tekst is geautomatiseerd gemaakt en kan nog fouten bevatten. Digibron werkt voortdurend aan correctie. Klik voor het origineel door naar de pdf. Voor opmerkingen, vragen, informatie: contact.

Op Digibron -en alle daarin opgenomen content- is het databankrecht van toepassing. Gebruiksvoorwaarden. Data protection law applies to Digibron and the content of this database. Terms of use.

Printen