DIKU-studerende: Så let er Rejsekortet at hacke

Datalogistuderende Christian Panton har som et hobbyprojekt sat sig for at dokumentere sikkerheden i det kommende Rejsekort. Dommen falder hårdt: 'Håbløst lavet.'

Sikkerheden på det kommende Rejsekort får hårde ord med på vejen fra Christian Panton, der er e-science studerende ved DIKU på Københavns Universitet.

Med hjælp fra internettet og en billig RFID-reader/writer har han gravet i Rejsekortets sikkerhed og fundet ud af, at to ud af tre sikkerhedsbarrierer allerede er brudt ned, og det kun er et spørgsmål om tid, før det sidste bolværk ryger.

»I 2006 blev det første stød leveret, da kortleverandøren NXP's egenudviklede Crypto1-algoritme blev brudt. Hvis man betragter Rejsekortet som en USB-nøgle, er dataene på kortet krypteret med Crypto-1,« forklarer Christian Panton.

Crypto-1 algoritmen var således ikke brudt på det tidspunkt, hvor valget af NXP's Mifare-kort blev truffet. Men Christian Panton anklager parterne bag Rejsekort for at negligere det faktum, at krypteringen på kortet er brudt.

»Jeg synes, det er en klar fejl at blive ved med at bruge Mifare. Når man ved, det er brudt, bør man lægge en strategi for at lægge det om. Det har været en af de primære årsager til, at jeg har kigget nærmere på sikkerheden i Rejsekortet,« fortæller Christian Panton.

»Crypto 1 er håbløst lavet. Det er meget let at finde på internettet, hvordan man bryder den,« siger Christian Panton.

Ifølge ham har parterne bag Rejsekortet gentagne gange sagt, at det ikke er noget problem, fordi Rejsekort har sit eget binære filformat, der beskytter i tilfælde af, at Crypto 1 skulle være brudt..

Men nu er det lykkedes Christian Panton at knække koden til forståelsen af filformatet.

»De siger, at ingen kan læse deres helt eget binære format. Det kan jeg læse nu. Jeg kan se, hvor mange penge der er på kortet, og jeg kan se de sidste 14 kortautomater, hvor kortet har været brugt. Samtidig kan jeg se de metadata, der ligger på de enkelte events, og dem arbejder jeg videre på at forstå betydningen af,« siger han.

Langt sværere vil det være at spore alt det andet 'sjov', denne viden giver adgang til. »Man kan lave rigtig meget vandalisme på den måde. At gå ned ad midtergangen i bussen med en RFID-skriver i tasken kan ødelægge alle passagerernes kort,« siger Christian Panton.

Ifølge Christian Panton er det muligt, fordi Rejsekortet har valgt at bruge den samme nøgle til alle kort ? i modsætning til for eksempel den hollandske pendant, hvor hvert kort har sin egen, unikke nøgle.

Tilbage er så det sidste bolværk, som er en særlig krypteret vedhæftning til de vigtigste data på kortet.

»De har lagt en slags digital signatur på alle de vigtige blokke, som for eksempel den datablok, der viser hvor mange penge, der er på kortet. Men fordi det er muligt at skrive til kortet, kan man omgå det ved at lave et replay-angreb. Man læser bare værdien, bruger kortet ? og lægger den gamle værdi ind igen bagefter,« forklarer Christian Panton, der dog godt er klar over, at den slags fiksfakserier muligvis ville kunne opdages i back end-systemet.

Krypteringen er den aldrende DES-algoritme fra 1976, der med sin 56-bit nøgle anses af mange for at være usikker.

»Den er udregnbar. Med dedikerert hardware kan den brydes på én dag. Og når først signaturen på datablokken er brudt, så er du i stand til at gøre alt. Det vil for eksempel ikke være noget problem at sætte rigtig mange penge ind på kortet. Og hvis først man kan det, så har de tabt,« lyder spådommen fra Christian Panton.

Kommentarer (66)

Christian W. Moesgaard

Dette bekræfter blot de bange forudanelser jeg havde for år siden.

Forsinkelse på forsinkelse på forsinkelse. Maskiner der ikke virker når det så endelig kommer på gaden. Jeg har selv rejsekort-"betaen" og for i foregårs gik automaten ned med en kritisk fejl på en eller anden hex-addresse - hvilket fik maskinen til at "æde" mit kort. Det var umuligt at få ud igen uden tekniker.

Og nu det her - at man kan gå igennem en bus og smadre alle kort på en gang eller tanke uendelig penge op til sig selv...
Og hvad sker der for at bruge 34 år gammel og brudt krypteringsalgoritme...

Idéen er god, men teknikken bag rejsekortet er en kæmpe fiasko hvis man spørger mig.

Klaus Elmquist Nielsen

Tak til Christian Panton for nævne vandalisme som en mulighed. Det er lige netop den mulighed som umiddelbart vil berøre flest brugere af rejsekortet, uanset deres tekniske formåen.

Der nævnes i artiklen:

At gå ned ad midtergangen i bussen med en RFID-skriver i tasken kan ødelægge alle passagerernes kort

Man kan nøjes med at sabotere en vis procentdel af passagerenes kort, da det derved bliver sværre at forstå hvad der er sket. Men selvfølgelig er det mest fremmende forståelsen af problemet når man nævner at alle kortene kan saborteres.

Teknisk spørgsmål: Foreligger der nogle data om på hvor stor afstand og med hvilken hastighed Mifare kortene kan læses og skrives?

En anden historie af tilsvarende underholdningsværdi fra sidste års defcon konference:
http://www.version2.dk/artikel/11718

Det kunne lige netop være at en tegnebog med indbygget Faraday-bur vil være en rigtig god investering for sit rejsekort. Når man altså ser bort fra de folk der sidder tæt ved en når man får kontrolleret sin billet eller står tæt nok på standerne for checkin/out på stationerne.

Klaus Elmquist Nielsen

Anticollision og et write kan gøres på under et sekundt.

Hmmm, det betyder at man ikke kan lave enheder der "underholder" et helt s-tog i fuld fart forbi en "passende enhed". Ærgeligt! :o)

Klaus Elmquist Nielsen

Idéen er god, men teknikken bag rejsekortet er en kæmpe fiasko hvis man spørger mig.

Lur mig om ikke det bare handler om at begrænse udgifterne under udviklingen. Projektet er i forvejen ramt af for-syge (fordyrelser og forsinkelser). Desuden er der investeret formuer i udstyr og interface til hardware som i så fald skal udskiftes og laves om for at løse sikkerhedsproblemerne.

Brian Hvarregaard

Det er naturligvis ulovligt at ændre de ting der står på sådan et kort, og specielt at indsætte flere penge på det, det svarer vel praktisk talt tilat kopiere en pengeseddel.

Når man laver sådan noget er det da klart at man skal finde en algoritme der er tilstrækkelig indenfor det givne segment - det kan sagtens være denne er. Der skal stadig bruges kræfter på at hacke det. Der er det vel op til forbrugeren at "opføre sig ordentligt" og lade være med at udnytte systemet. Der vil altid være nogle der vil omgå systemet - det kan ikke undgås - ligesom butikstyveri gør det så bare det hele dyrere for os andre.

Det at ændre på beløbet eller at omgå at det trækkes svarer, for mig, til at kopiere pengesedler derhjemme. Det er heller ikke svært (i princippet) men det betyder jo ikke at man skal blåstemple det. Det er vel heller ikke producenterne af pengesedler der er nogle tåber fordi deres penge kan kopieres...

Klaus Elmquist Nielsen

Denne diskussion handler ikke om at folk skal opføre sig ordenligt, men derimod om at Rejsekortet ikke er tilstrækkeligt sikkert i sin nuværende form.

Når der er mulighed for svindel og vandalisme vil det også ske. Specielt er vandalisme problematisk fordi det berører folk som ikke er i ond tro.

Det er nok de færreste læsere på v2.dk som rent faktisk ville give sig ud i at snyde med rejsekortet. Men lur mig om ikke en stor del af de fagligt kvalificerede læsere på v2.dk forstår problemet med Rejsekortets sikkerhed og mener det er relevant at diskutere!

Hans-Kristian Bjerregaard

Og desuden gør dette jo ikke at man skal slække på sikkerheden! Du ser jo heller ikke nationalbanken trykke sorthvide pengesedler uden billeder, kun med en "Times New Roman" tekst med seddelens beløb, på noget billigt kopipapir fra Aldi bare fordi der alligevel er nogle der vil prøve at kopiere sedlerne.

Jesper Lund

Rejsekort selskabet kommenterer DR's nyhedsindslag her
http://www.rejsekort.dk/Presse/Pressemeddelelser/kundens+penge+er+altid+...

"Pengene er altid sikre og Rejsekort dækker tab blah blah blah" (hmm, hvad med de anonyme kort?)

Hvis man læser lidt mellem linjerne siger Rejsekort folkene reelt at sikkerheden bygger på overvågning. Hvis man f.eks. bruger kortet, og skriver den gamle saldo tilbage på kortet (som Christian Panton nævner i artiklen), vil det sikkert kunne fanges i en central overvågning, da kortets saldo stiger uden at der er sket en indbetaling.

Derudover forholder Rejsekort folkene sig slet ikke til mulighederne for at lave hærværk ved at ødelægge andres kort, eller privatlivskrænkelsen ved at andre uden videre kan aflæse hvor kortet har været brugt de sidste 14 gange (som Christian siger at han kan).

Jeg synes også at pressemeddelelsen bekræfter at overvågning af borgernes rejser har været det reelle mål for rejsekortprojektet fra starten af. På den måde er det bevidste valg af et kompromitteret design (Mifare) meget bekvemt, fordi man så kan sige at masseovervågningen er nødvendig for at undgå snyd.

Trist, eftersom man kunne have valgt et helt anonymt rejsekort baseret på e-cash teknologien.

Markus Hornum-Stenz

Er rejsekortets writeable-RFID-koncept ikke ret giftigt i det hele taget?
Lad os antage at sikkerheden er fuldt på plads og systemet er tæt på umuligt at knække.
OK, så kan man i praksis måske ikke lave bevidst bedrageri, men:
- følsomheden overfor vandalisme er reel
- sikkerhedssystemet har flere individuelt uafhængige krypteringskomponenter, som skal gribe rigtigt ind i hinanden, dvs. høj kompleksitet = relativt lav driftssikkerhed + servicevenlighed
- det bliver meget svært at skelne mellem hvornår folk bevidst rejser med et defekt kort og hvornår de har været udsat for systemfejl eller vandalisme. Og domstolene får det rigtigt spændende, når der begynder at komme sager på den konto.

Rejsekort, fint, men det må være månedskortet som skal være den fysiske skabelon, ikke klippekortet.

Klaus Elmquist Nielsen

Man skal ikke være blind for at kommunikationsrådgivning også kan være en parameter i svaret på kritikken. Se denne artikel for et meget sigende eksempel på hvordan kritik også kan håndteres, tilmed i samme familie af selskaber:
http://journalisten.dk/ga-ikke-over-sporet-der-kommer-spin

Jeg synes også at pressemeddelelsen bekræfter at overvågning af borgernes rejser har været det reelle mål for rejsekortprojektet fra starten af.

Jeg kan kun udtrykke min forhåbning om at det ikke er tilfældet. Desværre er det nok et betragte som et noget naivt håb!

Heldigvis kan de kun se hvor kortet har været, mens de skal have fat i togenes overvågningsbilleder for at bekræfte at det rent faktisk er personen der brugte dette kort. Men ok, hvis kamera overvågningen transmitteres til en central server i sand tid og kombineres med ansigtsgenkeldelse, opnås et særdeles effektivt overvågningsværktøj.

Man har lov at håbe at DSB beholder den eksisterende service med månedskort. Til forskel fra rejsekortet skal et månedskort ikke checkes ind/ud og overvågningen er dermed mindre effektiv. Desuden har abonnementsservice den fordel at betalingen er registreret centralt således at tab af månedskortet ikke betyder mistet rejsehjemmel, blot lækket personinformation.

Tore Green

Jeg synes også at pressemeddelelsen bekræfter at overvågning af borgernes rejser har været det reelle mål for rejsekortprojektet fra starten af.

Et af formålene har vist været at understøtte en fleksibel form for "mængderabat":
http://www.rejsekort.dk/Produkter+og+priser/Rabat+paa+alle+rejser/Rabat+...

Det kræver noget "overvågning" af brugerne at prisen på én rejse afhænger af andre rejser. Om data så havde behøvet ligge på kortet er en anden sag, det er vel i de centrale systemer at rabatten beregnes.

Christian E. Lysel

Brian Hvarregaard, 28. januar 2010 15:18

Det er naturligvis ulovligt at ændre de ting der står på sådan et kort, og specielt at indsætte flere penge på det, det svarer vel praktisk talt tilat kopiere en pengeseddel.

[quote]
Når man laver sådan noget er det da klart at man skal finde en algoritme der er tilstrækkelig indenfor det givne segment - det kan sagtens være denne er.

Vi snakker om en metode der holdes hemlig af producenten.
Det er det første tegn på ugler i mosen, eller snakeoil.

At algorimen lider under en dårlig tilfældigheds generator, lyder som producenten ikke har læst en lærebog inden for emnet.

Det er da sådan en fejl man lavede i 1995 ... http://seclists.org/bugtraq/1995/Sep/62

Der skal stadig bruges kræfter på at hacke det. Der er det vel op til forbrugeren at "opføre sig ordentligt" og lade være med at udnytte systemet. Der vil altid være nogle der vil omgå systemet - det kan ikke undgås - ligesom butikstyveri gør det så bare det hele dyrere for os andre.

Google finder en RFID skriver til 30$ ... dvs. for 150 kr kan man gå igang med at fuske.

Om der skal bruge kræfter på at hacke det, er fuldstændigt ligegyldigt for den almindelige angriber... den almindelig misbruger vil blot kunne hente et program der udfører angrebet uden at beside teknisk viden.

Se en række eksempler på dette på http://media.ccc.de/browse/congress/2005/22C3-559-en-xbox_hacking.html ... der er en rigtig god gennemgang af hvorfor der er huller i sikkerhedsmodellen, flere skyldtes kommercielle interesser, de gik fx fra AMDs CPU til Intels.

Jeg fatter ikke hvorfor producenten mener der er sikkert fordi, algoritmen er hemmelig og metoden de gemmer data er hemmelig, ej hvorfor nøglen er identisk.

I bedste faldt skyldes det producentens naivitet, i værste fald er det pga. deres kommercielle interesser.

Det at ændre på beløbet eller at omgå at det trækkes svarer, for mig, til at kopiere pengesedler derhjemme. Det er heller ikke svært (i princippet) men det betyder jo ikke at man skal blåstemple det. Det er vel heller ikke producenterne af pengesedler der er nogle tåber fordi deres penge kan kopieres...

Du sammenligner med penge sedler ... kender du strafferammen i forhold til rejsekortet?

Hvad koster der at producere en penge seddel ... har du et link til en maskine der kan producere en seddel der virker?

Hvor sikkert var satellit modtager kort, hvor mange pirat kort fandtes der ... her snakker vi om en teknologi der ligner.

Peter Andersen

Man skulle bare genindføre manden der går rundt i bussen/toget/sporvognen og sælger billetter. Det har flere fordele:

a) Han er mindre sårbar over for vandalisme,
b) Man kan spørge om vej/rute/hvad klokken er
c) Man skaber arbejde til en ufaglært,
d) Det øger trygheden i transportmidlet.

Hvor jeg bor, får vi ikke problemer med rejsekortet, for her eksisterer offentligt transport ikke - så bare kom an rfid-vandaler!

Peter Nørregaard

Tilbage i 1980'erne fik jeg lavet en kopi af mit dankort med magnetstribe i en kortlæser, som på det tidspunkt var ret svært at få fat i. Der var nogle der måbede da jeg kørte mit kridhvide dankort igennem terminalen, skal jeg love for.

Det har altså i ca. 15 år været muligt at fuske med dankort uden for store armbevægelser (dvs. før chip). Men omfanget er aldrig vokset til noget stort. Jeg mener at have hørt, at der blev svindlet for mindre end 4 mio. kr. årligt, hvilket ikke er så galt endda. De fleste syndere er vist også blevet afsløret.

Risikoen for hærværk er nok den eneste jeg er egentligt bekymret for. Men ærligt talt, hvor sjovt er det at hærge kort når man ikke kan beundre resultatet af arbejdet bagefter?

Selvom risikoen er til stede, så tror jeg ikke at misbrug eller hærgen bliver et større problem i praksis.

Rasmus Kaae

Hvis regeringen virkelig vil satse på at flytte trafik til den offentlige transport bør de gøre det gratis. Så er man også fri for alle disse sårbare systemer.

... og hvad er der egentlig galt med en sms-løsning til betaling/registrering af tog/bus ture? Det har naturligvis samme begrænsning som i dag hvor passagerer aktivt skal annoncere brugen (f.eks. per påstigning eller per påbegyndt periode)

Christian W. Moesgaard

Af Brian Hvarregaard, 28. januar 2010 15:18
"Der vil altid være nogle der vil omgå systemet - det kan ikke undgås - ligesom butikstyveri gør det så bare det hele dyrere for os andre."

SSH-kryptering siger goddav!
Du ved, når du går ind på https://.
Ja, det er faktisk sikkert. Jeg tror nok man fandt et enkelt sikkerhedshul for et halvt år siden som blev rettet inden for 2 timer. Hackeren som opdagede fejlen var endda ansat i firmaet bag krypteringsalgoritmen.

Så vidt jeg ved er den aldrig blevet brudt - men jeg kan tage fejl.

Så i stedet for en sådan fantastisk algoritme skal vi bruge noget 34 år gammelt ragelse som er blevet brudt om og om igen.

I øvrigt tror jeg ikke der er nogle herinde der ville hacke systemet med ondt i mente - men du kan ikke forvente at hver eneste person i et land med 6 millioner mennesker alle opfører sig ordenligt. Der vil være nogle banditter rundt omkring og de vil ødelægge det for os andre med mindre vi sikrer os.

Klaus Elmquist Nielsen

Risikoen for hærværk er nok den eneste jeg er egentligt bekymret for. Men ærligt talt, hvor sjovt er det at hærge kort når man ikke kan beundre resultatet af arbejdet bagefter?

Meget enig i at hærværk er det største af problemerne.

Forskellen på dankortet og rejsekortet er at rejsekortet kan læses og skrives trådløst. Man behøver således ikke fysisk kontakt for at være "kreativ" med de pågældende kort, men blot at være tæt nok på. Dette giver nogle andre muligheder. Derfor tror jeg ikke erfaringerne fra dankortet kan bruges.

Jeg kan ikke udtale mig på vegne af de folk som formodes at ville lave hærværk, men mon ikke man kan læse i nyhederne hvordan den fremstillede underholdning virkede? :o)

Anonym (ikke efterprøvet)

Generelt bør infrastruktur interfaces åbnes op så man kan generelisere betalingsinterfacet og BÅDE køre kreditkort, digital cash, RFID m.m. igennem

Så kompliceret er en betaling altså heller ikke.

Men det er væsentligt at den f.eks. er åben for digital cash fordi det muliggør en reel anonym betaling uden overvåging er indbygget i betalingsmekanismen. De andre er blot varianter af check/trækningsret på en konto. Digital Cash er væsensforskellig fordi det er reelle kontanter.

Martin Hansen

For mig lyder det oplagte angreb at sniffe en rejsekort fra en forbipasserende, og så klone dette kort til min forestående rejse. Selv om de opdager at et kort evt. er blevet brugt to steder, er jeg forlængst kommet frem, og klar til at klone mit næste kort.

Og jo man kan også nemt klone de gamle dankort, men den er ikke meget værd uden pinkoden. og det er svært at kone uden at ejeren opdager det.

Ulrik Hvide

Hvorfor har de overhovedet valgt at lade pengene stå på kortet? Hvorfor ikke bare bruge en SQL server? Ville helt sikkert fungere hurtigere og på denne måde kunne man fuldstændig undgå snyd.

Peter Brodersen

En anden detalje er muligheden for at aflæse historikken. I indslaget i fjersynet virkede det som om, man kunne få betalinger ud med stationer tilknyttet. Med lidt fodarbejde kan man sikkert få mappet disse til stationer, stoppesteder, buslinjer, m.m.

Dette vil kunne føre til privacy-issues for en tilfældig borger, hvis rejsemønster kan aflæses af enhver i tæt kontakt.

Ulrik Hvide

Jeg vil ikke udtale mig om den nuværende situation med rejsekortet da jeg ikke har sat mig ordentligt ind i sagen, men det du snakker om minder meget om session-hijacking, hvilket på mange forskellige måder kan undgås. Det ville virkelig undre mig hvis firmaet bag rejsekortet ikke har lavet foranstaltninger for at undgå identity-hijacking, men som sagt er min viden om rejsekortet meget begrænset.

Christian E. Lysel

Ulrik Hvide,

Hvorfor har de overhovedet valgt at lade pengene stå på kortet? Hvorfor ikke bare bruge en SQL server? Ville helt sikkert fungere hurtigere og på denne måde kunne man fuldstændig undgå snyd.

Det skal helst også virke når adgangen til SQL serveren er nede.

Ulrik Hvide

Chrstian E. Lysel:

Det skal helst også virke når adgangen til SQL serveren er nede.

Hvilket microsoft land kommer du fra? En solid linux baseret sql server med fusion-io kan nemt holde en oppetid på 99.99% (må jeg minde om at youtube har en oppetid på omkring 99,13%?), hvilket er langt mere end hvad vi kan forvente af de individuelle automater.

Ulrik Hvide

Min personlige holdning er dog at det ville være billigere og nemmere hvis vi blot gjorde det gratis at rejse med tog og bus. Det ville helt sikkert være billigere for samfundet, hvis vi altså medregner al den tid vi skal bruge på holde vores rejsekort ajour (tanke op, fornye etc.) og alle de offentlige ansatte som skal ansættes for at sikre at ingen snyder med rejsekortet. Tror sgu jeg sender staten en regning for konsulentbistand og tabt arbejdsfortjeneste på forhånd.

God weekend når i kommer så lang.

Christian E. Lysel

Peter Nørregaard,

Det har altså i ca. 15 år været muligt at fuske med dankort uden for store armbevægelser (dvs. før chip). Men omfanget er aldrig vokset til noget stort. Jeg mener at have hørt, at der blev svindlet for mindre end 4 mio. kr. årligt, hvilket ikke er så galt endda. De fleste syndere er vist også blevet afsløret.

Misbrug med Dankort, http://www.pbs.dk/da/produkter/dankort/Documents/DK_kortmisbrug_DK.pdf

Jeg læser det som 9.602 tilfælde af misbrug af dankort i 2008, hvilket var 38 millioner kr (Misbrug totalt / 1.000 kr ... men andre steder læser jeg også 4 millioner om året)
Det giver 3957 kr i gennemsnit pr. misbrug.

Af fodnoten fremgår at i én af sagerne i 2004 "lykkedes" det at få udbetalt 750.000 kr.

Antal af Dankort, http://www.pbs.dk/da/produkter/dankort/fakta-og-fordele/Pages/dankortita...

Der er udstedt 1 million dankort i 2009.

Det giver at 1 % af kunderne har oplevet svindel.

Jens Madsen

Sammenlignes med sikkerheden for klippekort og månedskort, så betyder krypteringen ikke så meget. Vi er ikke vandt til at klippekort er krypteret, og det bekymrer ingen, at man kan se tidspunkter og klokkeslet for de sidste 14 ture, hvis et kort skulle tabes.

Naturligvis, kan man diskutere om det var fornuftigt at vælge systemer som allerede er brudt. Men hvis der ikke findes andre prisvenlige systemer, der er mere sikre, så betyder sikkerheden måske mindre end kortets pris.

Det som er det største hul - synes jeg - det er sikkerheden med hensyn til skrivning på andres kort. Alligevel, tror jeg risikoen er begrænset - at gøre dette, svarer jo nærmest til terror, og må give store straffe.

Mange systemer har dårlig sikkerhed - og derfor søges sikkerhedsproblemet oftest løst, ved at gøre det ulovligt at bryde sikkerheden. Dette kan være et stort problem, f.eks. ved mulig identitetstyveri, at tømme en persons bankkonto osv.

Derimod, at kunne aftaste en persons sidste 14 klip, synes jeg hører med blandt småtingsafdelingen.

Men det sætter en grænse for, hvad rejsekortet er brugbar til. Havde det været godt designet med hensyn til sikkerhed, så vil det måske være bedre, end dankort, sygesikringsbevis, og pas.

Det vigtigste ved rejsekortet, er at kortet har en acceptabel lav pris. Samtidigt er det et krav at det virker - og at det ikke overtakstserer kunden. Undertakstsering kan kunden leve med - overtaktssering er svindel og strafbart. Så kortet, skal til enhver tid, gøre forkert til kundens fordel, og i videst mulig omfang undgå fejl. Skulle det ske fejl, skal kunden kunne få pengene retur.

Spørgsmålet er så, om at DSB og rejsekortet A/S kan leve med sikkerheden. Hvis risikoen fra min side er, at en "tyv" vil kunne aflæse de sidste 14 klip, og se tidspunkt og automat de er stemplet - så er det en risiko jeg godt kan leve med. Har rejsekortet A/S kalkuleret med de eventuelle udgifter der kunne opstå på grund af den manglende sikkerhed, så må dette være deres problem, og ikke vedrøre kunden. De har valgt, og accepteret sikkerheden, og rejsekortet A/S, skal bare punge ud til kundens fordel.

Dog kan vi måske sige, at netop fordi at sikkerheden er brudt, så vil det altid skulle være til kundens fordel. Sikkerheden kan ikke bruges som "bevis i retten", da den for længst er brudt, og det er kendt. Sikkerhedsproblemerne må blive en udgift for rejsekort A/S, og ikke kunne læsses over på kunden. Det er rejsekortet A/S, der tager ansvaret for sikkerheden. Det er ikke kunden.

Så hvis rejsekortet A/S, er villig til at punge ud, så er sikkerheden ok for mig.

Nicolai Klausen

Sammenlignes med sikkerheden for klippekort og månedskort, så betyder krypteringen ikke så meget. Vi er ikke vandt til at klippekort er krypteret, og det bekymrer ingen, at man kan se tidspunkter og klokkeslet for de sidste 14 ture, hvis et kort skulle tabes.

Forskellen mellem klippekortet og rejsekortet er, at du ikke behøver at miste rejsekortet, for at dit rejsemønster kan aflæses. Det kan der udover også systematiseres. Sæt en læser op et relevant sted og alle der kommer forbi bliver overvåget, sæt et kamera op ved siden af og med lidt god programmering kan man komme med et rigtig godt gæt på hvem der har hvilket kort, ved at sammenkøre data fra læseren og kameraet... Prøv at gøre det med et klippekort!

Jens Madsen

Er rejsekortets writeable-RFID-koncept ikke ret giftigt i det hele taget?

Et rejsekort behøver i princippet kun at indeholde et tilfældigt nummer. Mest sikkert, er det hvis automaten udsender en kode, som kortet på baggrund af det tilfældige nummer besvarer. Derved kan kortet ikke umiddelbart aflyttes, men måske kan algorithmen brydes, og et kort "klones". Sandsynligheden for dette, er langt mindre, end for det gamle dankort. Selvom rejsekortet skal udbetale gratis biletter i alle tilfælde dette sker, så vil det ikke koste mange penge - det er jo ulovligt, ligesom at kopiere sit dankort. Og det er stor sandsynlighed for, at dem der "kopierer" et kort, gør en fejl, og derved afslører at kortet er kopieret. Som eksempel, vil et klonet kort, kun indeholde samme data i dets flash, hvis det er brugt på samme måde. Er der forskel, må kortet være klonet. Dette kan meget nemt ses, ved at sammenholde billetautomaternes data, og servernes data, med det som er optaget på kortet. Kunderne skal tage samme rejse, på samme sekund, hvis det skal kunne snydes uden det opdages. Kortet vil så erklæres ugyldigt, skulle aflevers retur, og kunden vil kunne få pengene udbetalt - måske for hele kortet, uanset hvor meget det er brugt.

Alle automater, ved præcis hvilket kort der er brugt, og på hvilket tidspunkt. Dette ligger i automatens flash, og kan læses så snart der er dataforbindelse - de fleste automater er online hele tiden. Når data gemmes på kortet, er det mest for at håndtere et eventuelt problem med online forbindelsen. Brugen af write til kortet, er derfor reelt ligegyldigt - men bruges, af hensyn til automater hvor det er sket en fejl så de ikke umiddelbart er online. I langt de fleste tilfælde er automaterne online.

Så der er derfor dobbelt sikkerhed i det hele. Og er der data, som ikke passer sammen, så vil det opdages. Det hele kan gøres helt uden kortets data, alene udfra kortets ID. Og modsat, kan det hele gøres alene udfra kortets data - uden automaternes oplysninger. Disse data sammenholdes, og afvigelser vil ske i alle tilfælde, at der laves et "klon kort", eller der påfyldes beløb. Centralen har en "kopi" af kortets informationer, herunder kortets beløb.

Jeg vil tro, at selvom koden er brudt, så kan det nemt ske det er mere sikkert end det gamle dankort. Personer, der søger at "bryde" systemet, vil måske hurtigt opdages, og bøder, fængsel osv. skal nok holde de fleste bort.

10-turs kortene, som bruges idag, er også forlængst "knækket" og har været kopieret. Med en sort streg, kan de også tilføjes en ekstra klip...

Det er muligt, at der er sket en fejl ved udviklingen, således at de write-able data ikke kun er en "kopi" af det som er i den centrale computer. I første omgang, er det dataene på kortene der betragtes som korrekte, da data i den centrale computer kan være lidt forsinket, hvis der er brud på kommunikationen. Netop derfor, blev sikkerheden ikke betragtet for at være afgørende. Det vigtige var at opdage eventuelle tyve, og derfor ikke lave systemet helt sikkert. På den måde, vil man kunne straffe de kriminelle, og få penge i kassen. Så snart datakommunikationen mellem automaterne og den centrale computer fungerer, så ses tydeligt enhver uoverensstemmelse mellem kortets gemte data, og dem der er opbevaret i den centrale computer. Klones et kort, er umuligt at de er ens, og samme hvis der indsættes penge på et kort. I første omgang, er det beløbet der står på kortet som bruges, men det opdages af det centrale system.

Christian E. Lysel

Ulrik Hvide, 29. januar 2010 00:20

Hvilket microsoft land kommer du fra? En solid linux baseret sql server med fusion-io kan nemt holde en oppetid på 99.99% (må jeg minde om at youtube har en oppetid på omkring 99,13%?), hvilket er langt mere end hvad vi kan forvente af de individuelle automater.

Jeg skrev "adgangen til SQL serveren er nede." ... ikke at SQL serveren er nede.

Jeg kommer fra det land hvor automaterne skal have adgang til en central SQL server ... det er netværket der gå ned.

I det samme land kan både Windows og Linux maskiner kører i årevis .

Christian E. Lysel

Jens Madsen,

Jeg vil tro, at selvom koden er brudt, så kan det nemt ske det er mere sikkert end det gamle dankort. Personer, der søger at "bryde" systemet, vil måske hurtigt opdages, og bøder, fængsel osv. skal nok holde de fleste bort.

Hvordan vil man bevise noget?

Hvordan beviser man personen har brudt systemet, eller om andre har ændret en uskyldig persons kort?

Jens Madsen

kamera op ved siden af og med lidt god programmering kan man komme med et rigtig godt gæt på hvem der har hvilket kort, ved at sammenkøre data fra læseren og kameraet... Prøv at gøre det med et klippekort!

Hvor relevant er det? Du kan også stille dig op ved et busstoppested, og se alle dem der tager med bussen. Er det ikke det samme som en aftaster?

Du kan også sætte et kamera op, der både overvåger personer som klipper, og kortet de sætter i automaten. 10 turs kort er ikke sikker. Og går du rundt i et S-tog, og leger s-togs revisor (kræver kun et lille kopieret skilt), så viser alle deres kort, med fuld samvittighed.

Jens Madsen

Hvordan vil man bevise noget?

Hvordan beviser man personen har brudt systemet, eller om andre har ændret en uskyldig persons kort?

Alle automater er online. Når du bruger dit kort, noteres det i den centrale computer. Samme, når du påfylder penge. Hele tiden, indeholder den centrale computer en "kopi" af dit korts data. Fylder du således penge på, så vil den se at pengene er gået op, uden det er påfyldt i en autoriseret automat - du har jo ikke givet "centralen" besked. Så snart du opfylder kortet på lovlig vis, får "centralen" besked, og ved dit rejsekortnummer er opfyldt. Som sagt, er dataene på kortet kun af hensyn til off-line sikkerhed, altså hvis en klippeautomat ikke kan opnå online forbindelse, og kører offline et kort stykke tid. Her gemmes så alle data i automatens redundante og fejlkorrigerede flash hukommelse, indtil online forbindelsen kommer tilbage. Systemet er dobbelt.

Og det er kun lavet usikkert, fordi det derved opdages svindlere. Så mit råd er: Undlad at svindle med dit rejsekort.

Kai Birger Nielsen

Hvis databasen altid indeholder de "rigtige" data, så kan jeg godt se at man kan opdage snyd. Jeg kan til gengæld ikke se hvordan man så reelt kan snyde for at betale, og så er der vel slet ingen forbrydelse? (Noget i stil med at klistre et hjemmelavet skilt med 2 kr på en liter mælk i brugsen. Det er helt harmløst, for kasseapparatet aflæser varekoden og tager den korrekte pris. Hvis man derimod piller ved varekoden, så er det dokumentfalsk og klart ulovligt.)

Hvis jeg har ret i det, så har vi chikane-scenariet tilbage, dvs om man kan genere sidemanden ved at kopiere hans kort og stige ud før ham?

Christian E. Lysel

Jens, hvordan ser du om personen er uskyldig?
Et scenarie kan være personen fik ændret sit RFID af en anden i bussen, eller RFID kortet har en defekt, eller der er en fejl i den centrale database, eller et køb går galt.

I din metode er alle skyldige, hvis de centrale data og decentrale data ikke stemmer.

Endvidere mangler du at håndtere situationen hvor automaterne ikke er online ... eller lukker man bare en station/bus hvis den ikke er online?

Jens Madsen

Måske vil nogen synes at det med et centralt register, er brud på registerloven, personkrænkelse osv. Imidlertid, er navn, addresse, personnummer osv. ikke data der opbevares i det centrale register. Her gemmes data i anonymiseret form, altså ved kortnummer. Derfor er ingen lovmæssige problemer i at gemme de pågældende data, der kun er der til tekniske formål. De kan ikke afsløre nogle personlige data, såsom navn eller addresse, for personen.

Hellerikke på rejsekortet er grund til personens identitet står i elektronisk form, da dette vil muliggøre en aftastning gennem tøjet. Hvis kortet ikke er anonymt, står det kun stemplet på plastikket. Det kan ikke aftastes elektronisk.

Ønsker du at spore et kort, er det derfor kortets nummer du skal opgive.

Jens Madsen

Jens, hvordan ser du om personen er uskyldig?

Personen er aldrig skyldig, men skal skrive under på deres uskyld ligesom i Bilka. Ellers kan de ikke få pengene refunderet.

Hvis de selv, eller andre, sætter penge ind på kortet, vil det hurtigt opdages af systemet, og kortet lukkes. De må så henvende sig til et billetsalg, hvor de kan vælge at få pengene betalt retur for det lukkede kort, hvis de skriver under.

Så længe problemets størrelse er minimal, i forhold til besparelsen på kort, så betyder det intet. Det centrale system, har hele tiden de rette data, og i princippet kan man også føre kortet automatisk tilbage til det centrale systems data, når der opdages uoverensstemmelser, og kun udbetale det beløb som ikke er brugt. Hvis det viser sig at være et generalt problem, burde det være muligt at automatisk føre kortene tilbage til det centrale systems data, når det aftastes. Så "slettes" snyden automatisk.

Christian E. Lysel

Jens

Hvis de selv, eller andre, sætter penge ind på kortet, vil det hurtigt opdages af systemet, og kortet lukkes. De må så henvende sig til et billetsalg, hvor de kan vælge at få pengene betalt retur for det lukkede kort, hvis de skriver under.

Du vil på en bus, nej kortet er spærret, find det nærmeste billetsalg ... jeg kan finde 90 i danmark:

http://www.dsb.dk/Kundeservice/Alt-om-stationerne/Kort-og-Godt/

Skal man bare begynde at gå, tage en taxi, eller måske Jens vil hjælpe folk?

Står du på en station kl 20:00 og skal hjem ... på dette tidspunkt er der lukket ... så man kan bruge ovennævnte eller finde et andet betalingsmiddel.

Christian E. Lysel

Rasmus Kaae, 28. januar 2010 21:00

Hvis regeringen virkelig vil satse på at flytte trafik til den offentlige transport bør de gøre det gratis. Så er man også fri for alle disse sårbare systemer.

Var der ikke et forsøg med dette, hvor det kunne betale sig?

Ulrik Hvide

Jeg skrev "adgangen til SQL serveren er nede." ... ikke at SQL serveren er nede.
Jeg kommer fra det land hvor automaterne skal have adgang til en central SQL server ... det er netværket der gå ned

Det lyder som om du er én af danmarks 1 million offentligt ansatte. I tilfælde af at adgangen til serveren midlertidigt er afbrudt, hvilket vi med 99% sikkerhed kan undgå ved at benytte både 3g/4g + fiber, så vil alle rejser fra den pågældende station blive gratis indtil problemet er løst. Og ja så vil man engang imellem opleve at rejse gratis, men til gengæld sparer staten en masse penge på kontrol og personale.

Christian E. Lysel

Ulrik Hvide

Det lyder som om du er én af danmarks 1 million offentligt ansatte.

Du mener jeg er en Microsoft fanboy, der er offentlig ansat?

http://www.version2.dk/artikel/12204-videnskabsministeriet-brug-open-sou...

I tilfælde af at adgangen til serveren midlertidigt er afbrudt, hvilket vi med 99% sikkerhed kan undgå ved at benytte både 3g/4g + fiber, så vil alle rejser fra den pågældende station blive gratis indtil problemet er løst. Og ja så vil man engang imellem opleve at rejse gratis, men til gengæld sparer staten en masse penge på kontrol og personale.

Det lyder fint, men er der ikke nogle huller:

1) 3g/4g + fiber ... hvordan trækker du fiber i en bus?

2) Kan an man rejse gratis i bus med en 3g/4g jammer?

3) Hvordan bliver rejser fra en station gratis ... husk kortet skal checkes ud.

4) Hvad med rejser hvor check ud destinationen er nede?

Jens Madsen

Du vil på en bus, nej kortet er spærret, find det nærmeste billetsalg ... jeg kan finde 90 i danmark.

Spørgsmålet er om det er et problem. I første omgang er det centrale at problemerne er målbare. Hvis så, at der faktisk er problemer, så vil de naturligvis skulle løses. En måde, kan være, at centralen hele tiden fører rejsekortene ajour. Det betyder, at såfremt der er forbindelse, så bliver de automatisk korrigeret og rettet, næste gang de aflæses.

Eventuelle fejl vil opdages, og sker det på samme tid - f.eks. i en bus - vil det også kunne ses at det er sket i en bus. Herefter kommer så opgaven med at finde problemet. Måske kan det være bussens aflæser der har fejl, eller det kan være nogen der er gået igennem bussen med en skriver. Hvis det sidste er et gentagen problem, vil det sandsynligvis opdages, og personen med en skriver blive straffet.

Det, at dataene "forsvinder" fra kortet, eller overskrives, er i sig selv ikke kundens problem. De snyder jo ikke, såfremt de er villige til at betale for rejsen, som står gemt i det centrale system. Først, på det tidspunkt, at man kan bevise at personen har forsøgt at snyde - og det sker sandsynligvis sjælden da alle jo nok accepterer at betale det rigtige beløb - så kan det være tale om, at kunden har forsøgt at snyde.

Typisk vil problemet derfor kunne henskrives til et "teknisk problem". Dette må naturligvis ske meget sjælden. Det kan skyldes fejl på kortets flash, måske fejl i en automat, eller at nogen saboterer systemet. Du kan også sabotere mange andre systemer, der er langt mere vigtige for samfundet: GPS, GSM, TETRA, osv. Og griber du fysisk ind, vil du kunne sabotere langt flere systemer. I mange tilfælde, er systemerne ikke hverken videoovervåget, eller overvåget på anden måde. Og det detekteres måske ikke, at nogen har "pillet".

Jens Madsen

Det lyder fint, men er der ikke nogle huller:

1) 3g/4g + fiber ... hvordan trækker du fiber i en bus?

2) Kan an man rejse gratis i bus med en 3g/4g jammer?

3) Hvordan bliver rejser fra en station gratis ... husk kortet skal checkes ud.

4) Hvad med rejser hvor check ud destinationen er nede?

Så vidt jeg ved, fungerer systemet udmærket uden online forbindelse, da dataene gemmes på kortets flash. Der er også online forbindelse, og dette gør at systemet også har oplysningerne centralt. Hvis en online forbindelse er nede i 24 timer, kan det dog gå 24 timer, inden dataene er konsistente, og at kortets beløb kan betales retur.

Normalt, vil en offline forbindelse, sandsynligvis kun være i kort tid, og problemerne burde være minimale. Hvis problemerne forekommer ofte, vil man kunne indbygge muligheden for at ombytte med et nyt kort uden tekniske problemer i en normal billetautomat, ved at det deffekte kort aflæses og bruges som betaling. En mulighed, kunne også være at alle automaterne laves så de opdaterer kortets flash, så det svarer til centralens indhold. Indholdet bruges dermed kun i kort tid, indtil der er online forbindelse.

Check ud skulle du også kunne foretage i en check-ud automat på stationen eller ved en billetautomat.

Ulrik Hvide

1) 3g/4g + fiber ... hvordan trækker du fiber i en bus?
2) Kan an man rejse gratis i bus med en 3g/4g jammer?
3) Hvordan bliver rejser fra en station gratis ... husk kortet skal checkes ud.
4) Hvad med rejser hvor check ud destinationen er nede?

Helt samme problemstilling havde man med dankort-betaling i en flyvemaskine. Her valgte man at eftersom kunden ikke kunne flygte fra flyet mens dankort-terminalen var offline så kunne man blot gemme transaktionerne i dankort-automaten indtil der var netadgang (flyet lander). På samme måde ville en rejsekort-terminal i en bus kunne indeholde alle de transaktioner som ikke kunne afleveres grundet dårlig forbindelse eller en 3g/4g jammer.
At kortet skal checkes ud er jo 100% latterligt, men her vil en offline-terminal kunne fungere på samme måde som i en bus.

Christian E. Lysel

Ulrik

Helt samme problemstilling havde man med dankort-betaling i en flyvemaskine.

I en butik, hvor linien forsvinder, hæfter butikken ...

Hvor tit forsvinder en linie?

Vi driver 260 butikker, og bruger TDC MPLS, 2-3 butikker om dagen forsvinder, det er alt mellem himle og jord, alt fra lynnedslag til, en teknikker der mangler et fiber patch kabel i et krydsfelt og hugger vores, til TDC selv opsiger forbindelsen ved en fejl.

Christian E. Lysel

Jens Madsen, 30. januar 2010 04:18

Spørgsmålet er om det er et problem. I første omgang er det centrale at problemerne er målbare. Hvis så, at der faktisk er problemer, så vil de naturligvis skulle løses. En måde, kan være, at centralen hele tiden fører rejsekortene ajour. Det betyder, at såfremt der er forbindelse, så bliver de automatisk korrigeret og rettet, næste gang de aflæses.

Jeg kopiere dit kort, vi bruger nu begge det identiske kort, og system vil blot "rette fejlen"?

Lige før havde du argumenteret for kortet skulle spærres og begge kort hermed var ubrugelige, men kunne få penge tilbage på et billetkontor.

Du har skitseret to metoder at løse problemet:

1) Staffe den uskyldige kunde, der nu skal finde et andet transportmiddel for at få sine penge.

2) Ignorer problemet.

Jeg håber rejsekortet vælger punkt 2, hvilket må være et oplagt sted at snyde, uden man kan anklages.

Jens Madsen

Hvert rejsekort har i princippet et ID eller kortnummer indprogrammeret, og dette må jo helst ikke kunne omprogrammeres. Måske vil det kun kunne programmeres ind i helt nye kort. Om man har lavet det så et rejsekort kan totalt kopieres, incl. dets ID, så har man naturligvis et problem med kopiering. Hvis dette er tilfældet, vil man kunne se de to kort har været forskelligt brugt (ikke samme rejse, eller forskellig tjeksum), og dermed må begge kort spæres.

Naturligvis kan begge få pengene retur, hvis deres kort er gyldige. Problemet er for den der har kopieret kortet - de har nu et forkert ID/kortnummer gemt elektronisk på kortet, og det betyder at de påtrykte data og evt. stregkoder ikke passer. Så selve kortets visuelle udseende og indtrykkede bogstaver, skal kopieres også. Og de skal derfor have fysisk fat i kortet, for at kende dets påtrykte kortnummer eller stregkode, der ikke nødvendigvis er identisk med indbyggede ID, eller indholder flere cifre end det elektroniske ID, hvor de ekstra cifre kun kendes af den centrale server. Kortets fysiske udseende, er altså det som "afslører" bedrageren.

Rejsekortet vil normalt altid blive spæret. Man "overskriver" ikke data for at rette dem automatisk. Men normalt, vil ikke være problemer med at udbetale pengene, da rejsen er gemt i en central computer. Er der problemer, f.eks. data der ikke er modtaget, eller en automat der har været i stykker, så kan vælges at tilbagebetale til kundens fordel.

Af sikkerhedsmæssige årsager, vil normalt være bedst at ombytte kortet med et nyt, og lade det pågældende kort-id udgå. Derved undgår kunden at få problemer, hvis de eksempelvis skyldes tekniske problemer med kortet, så data skal læses i den centrale server. Samtidigt kan et eventuelt snyd ikke fortsætte, da kunden får nyt kort, og kortnummer. Det vil ikke kunne betale sig, at lave en fysisk kopiering af kortet, selvom dets udseende kan "kopieres", da at kortet hurtigt erklæres ugyldigt, og anstrengelserne går i vasken. Der vil hele tiden, skulle kopieres nye kort, og deres fysiske udseende kræves også kopieret. Tilmed opdages det, så hvis de fysisk er svært at kopiere i udseende, så opdages det hurtigt, og det er stor sandsynlighed for at bedragere opdages.

Problemet er dog sandsynligvis meget lille - og skulle der opstå problemer, så vil det naturligvis både blive undersøgt, og det vil være strafbart, at søge at ændre kortets data.

For at kopiere kortet skal du:

  1. Kopiere kortets ID, der er kopieret ind i OTP'en (one time programmable), og dermed kun kan kodes ind i nye kort. Tror nok kortene har prekodet indbygget kode, så du kan ikke købe nogen uden en allerede indprogrammeret kode, der ikke kan slettes/modificeres.

  2. Kopiere kortets data

  3. Kopiere kortets fysiske udseende, herunder stregkode og indpressede bogstaver.

Og så bliver du tilmed "opdaget".

Christian E. Lysel

Jens Madsen, 30. januar 2010 14:03

Hvert rejsekort har i princippet et ID eller kortnummer indprogrammeret, og dette må jo helst ikke kunne omprogrammeres

Har du fundet noget info ... jeg har ikke fundet noget endnu angående kortene, udover det er "smartcard" :)

Omkringer busser er http://www.nvfnorden.org/lisalib/getfile.aspx?itemid=1179 side 6 interessant.

Du har en god pointe med de påtrykte data. Det havde jeg ikke overvejet.

Jens Madsen

De fleste korttyper har indbygget et read-only serienummer. Selv Mifare clasic, der basalt set kun et er memorycard uden kryptering:

Also, the very first 16 bytes contain the serial number of the card and certain other manufacturer data and are read only.

Du kan altså ikke "bare" klone et kort. De første 16 bytes, er read-only, og fast indprogrammeret af producent. Kopierer du et kort, over i et andet kort, er de første 16 bytes forskellige. Det er det vigtige, for centralen. Du kan måske lave dit eget kort, med din egen elektronik - men det er en smule svært, at få penge retur på en bunke modstande og dioder. Og samtidigt vil snyden stadigt opdages, udfra rejsen er forskellig.

http://en.wikipedia.org/wiki/MIFARE

Jeg vil næsten påstå, det burde være sikkert nok at anvende kort helt uden kryptering. Så mit valg, vil nok have været MIFARE Ultralight eller MIFARE Ultralight C. Hvis data absolut skal være sikre, vil det være den med AES. Men jeg anser det ikke for nødvendigt, af hensyn til sikkerheden for systemet. Ultralight C, har også en tæller, der kun kan tælle op, hvilket måske også kan bruges til noget sikkerhedsmæssigt, så sikkerheden når et højere niveau, end ved brug af "clasic". Og prisen er lavere.

Jens Madsen

Sammenlignes priserne på MIFARE kort'ene, så er MIFARE ultralight billigst, men uden kryptering, og med kun meget få data. Næsten ligeså billig, er MIFARE Ultralight C, der har flere data, 3DES kryptering, og forskellige andre features såsom en tæller der kun kan tælle op. Der er plads til flere data end på MIFARE clasic, trods lavere pris ved samme antal. Herefter kommer MIFARE mini, der har færre data, og MIFARE clasic 1K. Jeg forstår godt valget af MIFARE clasic, da denne standard har eksisteret længst. Ultralight C, er fra 2008. Ultralight C anvender 3DES, og kortet trods den lave pris, er ikke uden kryptering. At "gå op" til MIFARE plus, og AES standarden, ser jeg ingen grund til - med mindre rejsekortet har en bagtanke om, at de ekstra data skal bruges af efterretningstjenesten eller politiet. Ifølge Wiki anses 3DES som ubrydelig, indtil ca. 2030. På nuværende tidspunkt er Ultralight C det bedste valg, når der tages hensyn til mængden af data, sikkerhed, og prisen. Og måske bliver den ved at være det, da den også fås som "papirbillet" til halv pris, og dermed sandsynligvis får større produktionsvolumen end de andre. Selvom der ikke vælges papir typen, men plastkort typen, vil den sikkert være blandt de billigste typer, da selve chippen har større volumen produktion på grund af papirtypen.

Vi kunne måske spørge, om det bør være så sikkert? Eller, om vi bør have ret til vore data... Det vigtige må være, at sikkerheden er intakt, og der ikke kan snydes. Og det mener jeg er tilfældet, selv uden kryptering, på grund af kombinationen med central server løsningen. Så om kortet brydes, betyder intet.

Klaus Elmquist Nielsen

Og går du rundt i et S-tog, og leger s-togs revisor (kræver kun et lille kopieret skilt), så viser alle deres kort, med fuld samvittighed.

Det er rart at se andre sætte ord på den manglende sikkerhed omkring civile s-rogs revisorer.

Anonym (ikke efterprøvet)

Jens

Du har ikke beskrevet en eneste "sikker" digital betalingsmodel. Du har beskrevet varianter af overvågning, men ingen sikre modeller.

En sikker model må f.eks. ikke kunne se forskel på 2 rejser foretaget af den samme person og 2 rejser foretaget af 2 forskellige personer.

Simpelt krav - to the point.

Anonym (ikke efterprøvet)

Til sikkerhedsforståelsen

Alle de nævnte sikkerhedsproblemer kan føres tilbage til et og samme problem - at man genbruger nøgler og identifiers.

Det er nemt at skalere et angreb mod et stationært mål. Om vi kalder det kriminalitet eller overvågning er 2 sider af samme problem.

Overvågning kan ikke løse de sikkerhedsproblemer, de selv skaber.

Svante Jørgensen

  1. Rejsekortet og sikkerheden herpå kan ikke sammenlignes med sikkerheden på et Dankort. Dankortet er adgangen til systemet hvor din saldo er registreret, hvorimod din saldo kun er registreret direkte på Rejsekortet. Stor forskel! Hvis du hæver penge med et Dankort bliver dette registreret i mindste detalje af bankerne og hvis der opstår fejl eller fusk kan det rettes senere. Hvis du ændre beløbet på et Rejsekort kan det ikke registreres!

  2. At det kan lade sig gøre at kopiere pengesedler er ikke en undskyldning for bevist/ubevist at bruge et forældet og dårligt udtænkt sikkerhedssystem når der eksistere meget bedre systemer og det kunne designes bedre af en person der bare havde brugt et par dage på at læse en bog om emnet.
    Det er heller ikke en begrundelse for at nægte at forbedre systemet.

Jens Madsen

En sikker model må f.eks. ikke kunne se forskel på 2 rejser foretaget af den samme person og 2 rejser foretaget af 2 forskellige personer.

Sikkerhed kan forstås på mange måder. For nogle, er sikkerhed overvågning - og at du kan spore personen på alle måder. Det mener f.eks. politikkerne, og dem der laver terrorloven.

Danskerne har forskellige opfattelser. Nogle er imod overvågning, og andre går ind for det.

Men hvad det er mest sikkert, kan diskuteres.

Det, som jeg synes er mest vigtigt i et retssamfund, er at oplysningerne ikke gives ud til hvemsomhelst - det skal kræve en retskendelse og begrundet mistanke, at få adgang til oplysningerne.

Der er opbevaret mange oplysninger omkring os - IP addresser, telefonnumre, bank osv. og mange af disse oplysninger kan hjælpe politiet ved opklaring af en sag. Hvis at rejsekortets informationer kan biddrage hertil, er det jo kun positivt, og medfører større sikkerhed. Hvis derimod, at mafien, kriminelle, og andre der vil os det skidt, enten kan hacke sig, eller betale sig til oplysningerne, så er det skidt. Og, i den sammenhæng, kan det være meget kritisk, om oplysningerne er opbevaret forsvarligt - og at det sikres, at man ikke umiddelbart kan få adgang.

Jeg har prøvet, at føle mig forfulgt, og kom i den sammenhæng til, at jeg måtte have en mind-control chip i hovedet. Dette er, på mange måder, den ultimative overvågning og kontrol. Men nødvendigt, for at undgå terror. Chippen sikrer også, at jeg går ind for overvågning. Så derom er ingen tvivl. Dog, mener jeg, at overvågningen også skal være til den overvågedes fordel, og ikke kun til samfundets fordel. Ofte "brokker" jeg mig over styringen, men det ser ud til at selve "mind control" har undgået overvågningen. Der mangler totalt logs osv. så at personer, der har stået for styringen kan spores. Og søges de sporet, viser systemet fejl. Måske er netop det, et større problem, end overvågning.

Anonym (ikke efterprøvet)

Christian

Av - den er ikke god. Gør det blot endnu mere nødvendigt med løsninger.

Svante

a) Rejsekortet er primært tænkt som et "danmønt" kort med en småpengesaldo på kortet. Hovedmodellen er et afledt dankort, hvor de hæver automatisk i takt med at de overvåger din færden. Udover at den brudte model ikke er anonym, så vil du blive presset over i abonnementsmodellen via prisstrukturen.

b) Ægte Digitale penge er beskyttet mod pengeforfalskning. Du ville højst kunne miste det beløb, du har i pungen. Og selv kontanterne kan man sikre med præcist design fordi man kan indrette teknologien så du selv kan mere end andre kan.

Jens

Korrekt - der er masser af digital forurening. Men overvågning truer alle fundamentale værdier, så der er ikke noget alternativ til at gøre noget ved det. Des værre forureningen bliver desto vigtigere er det at gøre noget ved det.

Men det er ikke enten/eller - der er ingen af de aspekter som du fremhæver ved en central overvågningsmodel som ikke kan opnås bedre med en distribueret model. Det er bare mere kompliceret og kræver derfor en modningsfase.

I sidste ende skal enhver betaling hente penge fra din konto, dvs. det er primært et spørgsmål om at sikre at ingen kan hæve penge på din konto - det gælder også PBS. ALT skal i princippet over din nøglekontrol og ændres til en form for push-betalinger - både for at beskytte data, for at beskytte pengene og for at beskytte systemerne.

Jens Madsen

Men det er ikke enten/eller - der er ingen af de aspekter som du fremhæver ved en central overvågningsmodel som ikke kan opnås bedre med en distribueret model. Det er bare mere kompliceret og kræver derfor en modningsfase.

Jeg kan ikke umiddelbart komme på en sikker løsning der er decentral.

en overvågning truer alle fundamentale værdier, så der er ikke noget alternativ til at gøre noget ved det. Des værre forureningen bliver desto vigtigere er det at gøre noget ved det.

Der er tendens til, at nogle ikke vil overvåges. Og de plejer, at kunne komme om ved det - på éen eller anden måde. Det, som jeg synes er værst ved overvågning, er netop at den ikke altid er sikker - og det betyder, at når du stiller et spørgsmål, så får du et forkert svar. Samtidigt, betragtes dette svar imidlertid som 100% sand. Så er den først gal. Der er intet bedre end sikker overvågning - og intet værre, end usikker. Usikker overvågning, går nemligt ud over forkerte.

Overvågning, i sig selv, behøver ikke at være en ulempe. Det kan medføre større sikkerhed for den enkelte. Og måske, kan der opnås flere beviser, eller modbeviser.

Her kan det være et problem, at det sædvanligvis kun er politiet, der har adgang til beviserne. Da politiet oftest også er anklager, så betyder det, at anklageren er den, der har adgang til beviser, og til at analysere og manipulere disse, meddens forsvaren kun har den adgang, som anklageren ønsker.

Er der eksempelvis "beviser", som anklageren ikke finder relevant for sagen, fordi de ikke kan bruges, og som forsvareren vil have kunne brugt, så er det et problem for vores retssikkerhed.

Men løsningen, er naturligvis ikke, at bare fjerne alle beviser. Dette giver ringere retssikkerhed for alle.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Intern auditering af SKS og KLS samt ledelsesevaluering

Hvornår: 2015-09-21 Hvor: Sydjylland Pris: kr. 3400.00

C/Side Solution Development in Microsoft Dynamics NAV 2013 [80437]

Hvornår: 2015-09-28 Hvor: Storkøbenhavn Pris: kr. 19500.00

Excel kursus brush-up grundlæggende

Hvornår: 2015-10-28 Hvor: Storkøbenhavn Pris: kr. 2950.00

IT-instruktøruddannelse og certificering i Herskin-metoden

Hvornår: 2015-10-05 Hvor: Storkøbenhavn Pris: kr. 27800.00

Lync Network Readiness Assessment [20335]

Hvornår: 2015-09-09 Hvor: Storkøbenhavn Pris: kr. 11700.00