Nu is ook uw bankkaart al niet meer veilig

Eerder deze week kwam aan het licht dat de waterdicht geachte WPA2-beveiliging van wifi-netwerken te doorprikken is. Alsof die kwetsbaarheid niet voldoende was, tonen Tsjechische onderzoekers nu aan dat ook de beveiliging van de alomtegenwoordige elektronische chips op de helling staat.

Dergelijke chips werken met RSA-versleuteling, een systeem waarbij een publieke en een private sleutel door een bibliotheek worden gegenereerd en een vrijwel onkraakbare combinatie vormen. "Die twee sleutels zijn in feite hele grote priemgetallen, die moeilijk te achterhalen zijn", verklaart Bart Preneel (KU Leuven), expert in cybersecurity. Zo moeilijk, dat het voor hackers onmogelijk zou moeten zijn om het private deeltje te pakken te krijgen.

Maar vijf jaar geleden ging een van de grootste leveranciers van elektronische chips, het Duitse Infineon, in de fout. "In 2012 lanceerde Infineon een soort trucje om die priemgetallen sneller te verkrijgen", zegt Preneel. Dat trucje zit niet in de chips zelf, wel in de bibliotheek.

Ironisch genoeg zet dat versnelde proces de deur open voor een mogelijke hack bij een brede waaier aan beveiligde systemen. "Een aanvaller kan vanaf een afstand de privésleutel berekenen. Dat kan misbruikt worden voor identiteitsdiefstal, het ontcijferen van gevoelige berichten, het vervalsen van digitale handtekeningen en andere aanvallen", zeggen de onderzoekers.

De elektronische chips van Infineon zijn onder andere te vinden in Google Chromebooks en laptops van grote fabrikanten als Lenovo en HP.

Het goede nieuws? "Je kunt heel makkelijk testen welke beveiligingssleutels aangetast zijn en dus ingrijpen", zegt Preneel. Aangezien het probleem al in februari gemeld werd aan de fabrikanten, hebben onder meer Microsoft en Google ondertussen patches uitgebracht om het probleem op te lossen.

Belgische eID niet aangetast

Maar het probleem lijkt verder te gaan: in Estland zijn alle elektronische identiteitskaarten vanaf 2014 met de kwetsbare chips uitgerust. En ook in bankkaarten worden mogelijk dergelijke chips verwerkt. Zijn financiële transacties of digitale handtekeningen nog secuur?

Aangezien Infineon zelf aangeeft dat het versnelde proces 'een alledaagse praktijk' is, lijkt het niet uitgesloten dat er zich ook in België kwetsbaarheden bevinden. Wat de elektronische identiteitskaarten betreft, stelt de federale overheidsdienst Binnenlandse Zaken wel gerust: "De bibliotheek in kwestie wordt niet gehanteerd bij de Belgische eID en bovendien worden chips van Infineon sinds 1 maart 2014 niet meer gebruikt. Het probleem doet zich hier dus niet voor."

Ook Febelfin geeft aan dat het vanuit de financiële instellingen nog geen angstige boodschappen kreeg, maar daar is Preneel minder gerust in. Ook hackers kunnen de kwetsbaarheid van de sleutels namelijk testen en zo hun doelwitten beter uitkiezen. Aangezien zo'n hack nog steeds vrij duur is, denkt Preneel niet dat een aanval zich op een individu zal richten. "Eerder op bedrijven of de overheid, waar bijvoorbeeld gevoelige financiële gegevens liggen."