Vil en ondsindet hacker gerne rejse gratis i hele landet, kræver det ikke store anstrengelser at få brudt koden i det nye chipbaserede billetsystem Rejsekort.
Der er nemlig ikke sket noget som helst for at hæve sikkerheden i de to år, der nu er gået, siden det blev demonstreret på tv i bedste sendetid, at rejsekortet kan hackes.
Sådan lyder det fra Christian Panton, der var manden bag advarslen for to år siden.
'Da jeg i januar 2010 stod i TV-Avisen og demonstrerede, hvor let det var at få adgang til og ændre i de data, der ligger på rejsekortet, troede jeg, at det ville gøre indtryk på selskabet bag kortet. Men her to år efter kan jeg konstatere, at rejsekortet, som i skrivende stund er ved at blive rullet ud i hovedstadsområdet, fortsat baserer sig på sikkerhedsforanstaltninger, som længe har været betragtet som usikre', skriver Christian Panton i et blogindlæg.
Det er de samme usikre krypteringsmetoder, der bliver brugt i dag, kan han konstatere, så sikkerheden er ikke blevet forbedret i de to år, der er gået.
Problemet er, at Mifare-teknologien, der bliver brugt på rejsekortet, stammer fra midten af 1990’erne og ikke længere regnes for sikker. Den proprietære protokol blev i 2007 pillet fra hinanden af forskere, som fandt flere sikkerhedsproblemer.
Og krypteringen af data på rejsekortet er baseret på DES-algoritmen fra 1976, der med sine 56-bit heller ikke regnes for sikker i dag.
For at gøre ondt værre bruger Rejsekort samme nøgle på alle kort.
»Signaturerne på kortet baseres stadig på en krypteringsalgoritme, som skulle være pensioneret i 1999, og hvis man kunne låne en netcafé i et par dage, ville man kunne finde nøglen og selv lægge gyldige billetter på kortet med sin mobiltelefon. Dertil eksisterer der sikkert allerede en lang række replay-angreb, som der endnu ikke er taget højde for,« skriver Christian Panton.
Den sikkerhedsteknologi, som rejsekortet er funderet på, burde være pensioneret i 1999, mener han og ærgrer sig over, at der er ’slæbt så mange børnesygdomme fra 90’erne’ med ind i det nye billetsystem.
Læs mere i Christian Pantons blogindlæg.