Onderzoek TNO wijst uit: Nedap AEOS maximaal bestand tegen DESFire relay-aanvallen

NFC-ondersteunde credit cards kregen onlangs veel aandacht vanwege haar kwetsbaarheid voor relay-aanvallen. De veelgebruikte NXP DESFire EV1 kaarten gebruiken dezelfde technologie en kennen dezelfde kwetsbaarheid. Dit leidde tot bezorgdheid in de toegangscontrole industrie. Bij een relay-aanval wordt de afstand tussen smart card en kaartlezer op frauduleuze wijze verlengd. Hierdoor kan er op afstand ongeoorloofd toegang worden verleend tot bijvoorbeeld gebouwen. Onderzoek uitgevoerd door het Nederlandse kennisinstituut TNO toonde aan dat het beveiligingsplatform AEOS van Nedap maximaal bestand is tegen relay-aanvallen.

Het is al langer bekend dat zogeheten proximity-communicatie – zoals omschreven in het ISO/IEC 14443 protocol – gevoelig is voor relay-aanvallen. Twee smartphones met ingebouwde NFC-technologie zijn al voldoende om de afstand tussen kaart en lezer onbeperkt te verlengen. Door het verlengen van deze communicatie afstand treedt echter vertraging op. Door standaard in al haar kaartlezers een veel striktere delay-tijd toe te kennen dan het ISO/IEC 14443-protocol voorschrijft, beperkt Nedap de mogelijkheid tot relay-aanvallen sterk.

Evenals in 2009, toen Nedap als eerste fabrikant reageerde op de mogelijke beveiligingsrisico’s van de Mifare Classic-chip, streeft Nedap ook nu naar de beste bescherming van haar klanten. Hiertoe heeft Nedap, naar aanleiding van het TNO-onderzoek, de delay-tijden van haar kaartlezers nog verder teruggebracht, zonder concessies te doen aan de gebruiksvriendelijkheid. Doordat AEOS haar kaartlezers via het systeem van nieuwe firmware kan voorzien, kunnen klanten zich met één druk op de knop nu nog beter beschermen tegen relay-aanvallen.

Proximity check
Om de mogelijkheid van relay-aanvallen te voorkomen, past NXP in haar Mifare Plus X-technologie een controle toe tussen kaart en lezer om vast te stellen of de kaart daadwerkelijk in nabijheid van de lezer is. Ook de inmiddels aangekondigde opvolger van de veelgebruikte DESFire EV1-chip, de DESFire EV2-chip, beschikt naar verwachting over deze ingebouwde proximity check. Tot de introductie van die kaart bij bedrijven is het de verantwoordelijkheid van gebruikers om samen met hun leveranciers de beveiligingsrisico’s in kaart te brengen. Fabrikanten staan voor de taak om oplossingen te ontwikkelen om zulke risico’s te minimaliseren.