Ministerie van Defensie

26-11-2008

Antwoord op Kamervragen over Mifare chip

Vraagsteller: Lid Van Velzen (SP)

Ministerie van Defensie

Postbus 20701 2500 ES Den Haag Telefoon (070) 318 81 88 Fax (070) 318 78 88

Aan de Voorzitter van de Tweede Kamer
der Staten-Generaal
Plein 2
2511 CR Den Haag

Datum 25 november 2008
Ons kenmerk D2008031340
Onderwerp Schriftelijke vragen Mifare chip

Hierbij bied ik u de antwoorden aan op de schriftelijke vragen van het lid Van Velzen over het toepassen van de onveilige Mifare chip in de toegangspas voor militaire bases. Deze vragen werden ingezonden op 11 november 2008 met kenmerk 2080904860.

DE MINISTER VAN DEFENSIE

E. van Middelkoop

Pagina 1/7

Ministerie van Defensie

Vragen van het lid Van Velzen aan de minister van Defensie over het toepassen van de onveilige Mifare chip in de toegangspas voor militaire bases (Ingezonden 11 november 2008, kenmerk 2080904860).

1
Is het waar dat de producent van de Mifare Classic chip Chipfabrikant NXP het gebruik van zijn eigen omstreden Mifare Classic-chip afraadt? Zo ja, kunt u aangeven waarom dit advies gegeven wordt? Is dit omdat bekend is, vanuit de discussie rond de OV- chipkaart, dat de chip te kraken en te klonen is met `open source software' en dat er daardoor volgens de minister van Binnenlandse Zaken 1) sprake zou kunnen zijn van een groter risico? Is het waar dat deze chip toegepast wordt in de 400.000 (tijdelijke) defensie passen? 2) Welke consequenties verbindt u aan de conclusies van de minister van Binnenlandse Zaken over de veiligheidsrisico's?

Defensie is ervan op de hoogte dat fabrikant NXP het gebruik van de Mifare Classic chip afraadt aangezien de betrouwbaarheid van de chiptechnologie niet meer is gegarandeerd. Dit levert, in combinatie met de beschikbaarheid van open source software, een zeker risico op voor de toegangsbeveiliging.

De toegangspas van Defensie is al geruime tijd de zogenaamde multifunctionele smartcard (MFSC). Deze pas wordt op dit moment vervangen door de nieuwe defensiepas. De Mifare Classic chip wordt zowel in de huidige MFSC als in de nieuwe Defensiepas toegepast. Van de defensiepas zullen ongeveer 250.000 exemplaren worden uitgereikt, inclusief passen voor veteranen, post-actieve medewerkers en leveranciers.

Defensie heeft als gevolg van het risico voor de toegangsbeveiliging per locatie een risicoanalyse uitgevoerd. Vervolgens zijn waar noodzakelijk aanvullende organisatorische en technische beveiligingsmaatregelen getroffen. Zie ook het antwoord op de vragen 3 en 9 en het antwoord op de vragen 6 en 7.

2
Is het u bekend dat ook de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) er voor gewaarschuwd heeft dat naar verwachting vrij snel `kraakprogramma's' op het internet

Pagina 2/7

Ministerie van Defensie

beschikbaar zouden zijn? Welke tegenmaatregelen heeft u getroffen naar aanleiding van dit advies?
5
Bent u bekend met de mogelijkheid om via gekloonde kaarten een zogenaamde Denial- of-Service te veroorzaken 1)? Is het u bekend dat de Mifare chip in de defensiepas te klonen is waarna het voor de valide kaarthouders niet meer mogelijk is om zich toegang te verschaffen? Vindt u dit wenselijk en zo neen, welke maatregelen gaat u treffen?

Defensie heeft intensieve contacten over de chip met specialisten van de AIVD, TNO, het project Rijkspas van het ministerie van BZK en de leveranciers. Zodoende is Defensie op de hoogte van de dreigingen, maar ook van de noodzakelijke tegenmaatregelen, die tot op heden bij de genoemde organisaties bekend zijn.

Tegen Denial-of-Service (DOS) aanvallen en het gebruik van kraakprogrammatuur heeft Defensie aanvullende organisatorische en technische beveiligingsmaatregelen getroffen. De in de vraag aangehaalde brief van de minister van Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 23 645 nr. 260 van 30 oktober jl.) gaat nader in op DOS-aanvallen. Een DOS- aanval leidt er niet toe dat een kaarthouder met een geldige toegangspas geen toegang meer kan krijgen tot defensiecomplexen. De defensiepas beschikt over optische echtheidskenmerken aan de hand waarvan een portier of bewaker de echtheid van de pas kan controleren. Hierdoor blijft de betrouwbaarheid van de toegangsverlening gewaarborgd. Deze optische echtheidskenmerken staan los van de Mifare Classic technologie. DOS- aanvallen hebben daarom beperkte gevolgen voor kaarthouders of voor de bedrijfsvoering bij Defensie.

3
Is het waar dat de invoering van deze defensiepas met onveilige chip een tijdelijke pas is in afwachting van een veiligere? Zo ja, kunt u mij uitleggen waarom u er voor kiest om meer dan 20 miljoen euro in een onveilige tussenoplossing te investeren? 9
Is het waar dat het de bedoeling was dat deze chipkaart vanaf september 2008 ingevoerd zou worden? Is het waar dat er inmiddels opnieuw vertraging is ontstaan hierbij? Bent u bereid om af te zien van het verder invoeren van deze onveilige

Pagina 3/7

Ministerie van Defensie

tussenoplossing? Per wanneer zullen militairen een deugdelijke toegangspas tot hun beschikking hebben? Bent u bereid tot het moment dat er een deugdelijke pas beschikbaar is geen geld meer te investeren in een onveilige tussenoplossing? Zo neen, waarom niet?
Zoals uiteengezet in de beantwoording van schriftelijke vragen van het lid Boekestijn (Handelingen TK 2008-2009, aanhangsel 556) is de tot op heden gebruikte pas van Defensie, de MFSC, dringend aan vervanging toe. Nieuwe kaarten zijn niet meer voorradig en de fabrikant ondersteunt de MFSC niet meer. Defensie kan dan ook niet doorgaan met het gebruik van de MFSC. Met het `project defensiepas' wordt een nieuwe toegangspas ingevoerd. De eerste nieuwe defensiepassen zijn eind september jl. uitgereikt. Het streven is iedere defensiemedewerker zo snel mogelijk te voorzien van een nieuwe pas. De invoering van de defensiepas verloopt daarmee volgens plan. Een nadeel van de nieuwe defensiepas is uiteraard dat de hiervoor gebruikte Mifare Classic chip kan worden gekraakt. De gevolgen hiervan zijn echter vooralsnog beperkt. Defensie heeft maatregelen genomen om de beveiliging van de objecten zoveel mogelijk te garanderen. De beveiliging van Defensie kent een gelaagd stelsel. De verschillende militaire objecten zijn naar hun belang verdeeld in categorieën, waarbij de beveiligingseisen hoger worden naarmate het belang van de objecten toeneemt. Bij objecten waar enig risico onaanvaardbaar is, wordt sinds kort het gebruik van de MFSC of nieuwe defensiepas gecombineerd met een beveiligingsmaatregel die los staat van het gekraakte chipsysteem, bijvoorbeeld een beveiliging door middel van een pincode. Het project defensiepas omvat meer dan de vervanging van een pas voor fysieke toegang. Met de nieuwe defensiepas wordt ook een infrastructuur gebouwd waarmee onder andere de toegang tot informatiesystemen beter kan worden beveiligd. Met deze infrastructuur wordt het mogelijk gebruik te maken van de elektronische handtekening. Ook zorgt de infrastructuur voor betrouwbare communicatie binnen en met de overheid. Dit wordt mogelijk gemaakt door een zogenaamde Public Key Infrastructure (PKI) die volledig voldoet aan de PKI-Overheid standaard. Hiertoe is de defensiepas voorzien van een contactchip waarvan de beveiliging niet ter discussie staat.
De Mifare Classic chip wordt in de nieuwe pas alleen gebruikt voor fysieke toegangscontrole. De met deze chip en de fysieke toegangscontrole gemoeide projectkosten bedragen ca. 4,5 miljoen. De overige projectkosten zijn toe te schrijven aan de ontwikkeling van de Public Key Infrastructure en de integratie daarvan in de ICT-infrastructuur van Defensie.

Pagina 4/7

Ministerie van Defensie

Op termijn zal de defensiepas moeten worden vervangen. Defensie zal zich aansluiten bij de ontwikkeling van de Rijkspas. De minister van Binnenlandse Zaken en Koninkrijksrelaties heeft in haar brief van 22 september jl. (Kamerstuk 31 700 VII nr.4) uiteengezet dat grote organisaties met veel locaties, toegangen, poortjes en kaartlezers meer tijd nodig zullen hebben om de Rijkspas in te voeren. Dit is ook het geval bij Defensie. Op dit moment wordt bij Defensie een plan opgesteld voor de invoering van toegangssystemen die het gebruik van de nieuwe chiptechnologie kunnen ondersteunen. Aan de hand daarvan zal duidelijk worden wanneer Defensie zich kan aansluiten bij de Rijkspas. Overigens zal de Public Key Infrastructure ook na invoering van de Rijkspas bij Defensie in gebruik kunnen blijven.

4
Bent u bereid in de toekomst te kiezen voor een toegangspas die ontwikkeld is op basis van open standaarden en publiek aanvaarde encryptiealgoritmen? Zo neen, waarom niet?
Zoals uiteengezet in het antwoord op de vragen 3 en 9 zal Defensie zich aansluiten bij de Rijkspas. Er wordt dan ook nauw contact onderhouden met het project Rijkspas over open standaarden en publiek aanvaarde encryptiealgoritmen. Voor Defensie zijn open standaarden en publiek aanvaarde encryptiealgoritmen in ieder geval vanzelfsprekende uitgangspunten. Defensie is bij de nieuwe toegangspas echter afhankelijk van de keuzes die in het project Rijkspas worden gemaakt.

6
Is het u bekend dat de Mifare chip in de defensiepas op afstand af te lezen is en na aanpassingen in sectoren op de kaart onklaar gemaakt worden? 1) Is het mogelijk het hele toegangssysteem van een militair terrein of wapendepot plat te leggen? Worden bij een Denial of Service alle toegangsmogelijkheden tot bijvoorbeeld de wapenkamers vergrendeld of juist open gesteld? Zo ja, welke maatregelen gaat u treffen? Gaat u Radio Frequency Identification shields (RFID-shields) invoeren? 7
Is het waar dat bij een Denial of Service mogelijk het volledige elektronische netwerk niet werkt, waardoor alleen fysieke controle toepasbaar is? Hoeveel extra inzet van beveiligingsmedewerkers die fysiek aanwezig zijn bij ingangen van gebouwen zou hierbij nodig zijn? Hoeveel extra personeel heeft u momenteel al ingezet om het

Pagina 5/7

Ministerie van Defensie

huidige beveiligingslek tegen te gaan? 3) Wat zijn de extra kosten die hiermee gepaard gaan?

De beveiligingskenmerken in de Mifare Classic chip zijn op afstand te lezen, waardoor het mogelijk wordt met speciale apparatuur en programmatuur de pas te klonen. Het beveiligingsconcept van de defensiepas en het toegangscontrolesysteem is echter zo opgezet dat deze aanval slechts invloed kan hebben op een afzonderlijke defensiepas en niet op het integrale achterliggende toegangscontrolesysteem. Een dergelijke aanval kan het toegangscontrolesysteem dan ook niet platleggen en kan de toegang tot wapenkamers niet beïnvloeden.

Als gevolg van de gekraakte Mifare chiptechnologie is per defensielocatie een risicoanalyse uitgevoerd en zijn in een aantal gevallen, afhankelijk van de situatie, aanvullende beveiligingsmaatregelen getroffen. Daarbij kan het gaan om organisatorische of technische maatregelen, of om de inzet van extra beveiligingsmedewerkers, dan wel een combinatie van deze maatregelen. De aanschaf van RFID-shields is nog in studie. Het aantal extra beveiligingsmedewerkers is afhankelijk van de situatie en varieert soms per dag als gevolg van de activiteiten en werkzaamheden ter plaatse. De extra kosten kunnen op dit moment nog niet inzichtelijk worden gemaakt.

8
Is het u bekend dat door het kraken en klonen van de chip er een lek in de toegangsbeveiliging is ontstaan waardoor de staatsveiligheid op dit moment niet gewaarborgd is, en er dus een acuut probleem ontstaat omdat er netwerktoegang en follow-me printing mogelijk is en er te achterhalen valt wie er bijvoorbeeld een badge van een ministerie of de politie heeft? Zo ja, wat gaat u doen om dit te voorkomen?

Zoals uiteengezet in de antwoorden op de vragen 3 en 9 en de vragen 6 en 7 zijn er maatregelen genomen ten aanzien van de beveiligingsrisico's. Verder zijn de fysieke toegang tot een defensielocatie en de toegang tot de ICT-infrastructuur van Defensie organisatorisch en technisch gescheiden veiligheidsdomeinen. Naast de Mifare Classic chip die gebruikt wordt voor toegangsbeveiliging, is de nieuwe defensiepas voorzien van een contactchip voor Public Key Infrastructure waarmee onder andere de toegang tot informatiesystemen zal worden beveiligd. De beveiliging van deze contactchip staat niet ter discussie. Daarom levert

Pagina 6/7

Ministerie van Defensie

de gekraakte Mifare Classic chiptechnologie in de nieuwe defensiepas geen extra risico's op voor de ICT-infrastructuur en zijn er geen mogelijkheden tot bijvoorbeeld follow-me printing. De huidige MFSC pas wordt niet gebruikt voor toegang tot de ICT-infrastructuur en levert dus ook geen extra risico's op.

1) Brief van minister Binnenlandse Zaken van 31/10/08 aan de Kamer 2) Verwijzing naar (web)artikelen:
http://www.computable.nl/artikel/ict_topics/security/2735292/1276896/gekraaktechip- geeft-toegang-tot-wapendepots.html
http://www.beveiligingnieuws.nl/beveiliging/8690/Vertraging_invoering_Defensiepas_d oor_Mifare_Classic_chip.html
http://vermast.net/index.php?menu_id=83&nieuws_id=964 Trouw, 24-10-2008: Defensie houdt chip ondanks waarschuwing fabrikant 3) Zie antwoorden op vragen van het lid Van Velzen (SP) hierover van 21 oktober 2008.

Toelichting:
Deze vragen dienen ter aanvulling op eerdere vragen ter zake van het lid Boekestijn (VVD), ingezonden 15 oktober 2008 (vraagnummer 2008Z04428 / 2080902840)

Pagina 7/7


---- --