Menü

Mifare-Hersteller NXP verklagt Sicherheitsforscher

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 120 Beiträge
Von

Der Chipfabrikant NXP, ehemals die Philips-Halbleitersparte und bekannt unter anderem für die Mifare-RFID-Chips, hat eine Forschergruppe der Radboud Universität im niederländischen Nimwegen verklagt. Der Konzern will nach eigenen Angaben so verhindern, dass die Wissenschaftler ihre Forschungsergebnisse zur mangelhaften Sicherheit des weltweit milliardenfach verkauften Mifare Classic wie geplant im Oktober publizieren. Dem Web-Magazin Webwereld.nl sagte NXP-Presseprecher Martijn van der Linden: "Wir halten die Veröffentlichung für unverantwortbar."

Der Mifare-Classic-Chip war zu Beginn des Jahres in die Schlagzeilen geraten, nachdem Wissenschaftler aus dem CCC-Umfeld in Zusammenarbeit mit der University of Virginia seinen geheimen Verschlüsselungsalgorithmus aus der Hardware ableiteten und eklatante Sicherheitsmängel darin entdeckten (c't berichtete in Heft 8/08). Auch die Arbeiten der Radboud-Forscher basieren auf diesen Veröffentlichungen. Schätzungen zufolge ist der Chip weltweit milliardenfach im Einsatz, insbesondere als Nahverkehrszahlungsmittel, Mensakarte und Gebäudezugangskontrolle.

In Sicherheitskreisen versucht man derweil, den Schritt von NXP nachzuvollziehen. Einerseits könnte die medienwirksame Klage weitere Publikationen zur Mifare-Classic-Schwäche verlangsamen oder verhindern. NXP plant, zur kommenden Jahreswende den zum Classic-Chip kompatiblen "Mifare Plus" auf den Markt zu bringen, der gemeinhin als sicher gilt. Andererseits könnte das Vorgehen auch möglichen Rechtsschritten großer Mifare-Kunden gegen NXP den Wind aus den Segeln nehmen.

Ob NXP die Veröffentlichung der Details verhindern kann, ist allerdings fraglich. Sie erschließen sich laut Karsten Nohl, einem der Entdecker der Schwachstellen, mit ausreichender Expertise aus den bereits veröffentlichten Arbeiten. Die einzige Auswirkung sei, "dass die Gruppen, die ohnehin schon an Mifare forschen, in Zukunft nichts mehr vorab an NXP schicken", so Nohl.

Siehe dazu auch:

(cr)