Het kraken van de UZI-pas blijkt relatief eenvoudig door het gedrag van de chip te bestuderen. De ontdekker waarschuwde er al langer voor.
Erik Westhovens onderzocht de chip uit irritatie over de houding van Minister Ab Klink rond de techniek van het Elektronisch Patiënten Dossier (EPD), stelt hij tegenover Webwereld. Al weet hij veel van beveiliging toch heeft hij niet de ambitie om als expert door het leven te gaan.
Uiteindelijk wist hij zo de private sleutel (het vertrouwelijke certificaat van een pas) en pincode te achterhalen. Daarbij moest Westhovens intelligent te werk gaan om niet buiten te spel te worden gezet. De chip die op een pas zit zal na drie mislukte aanmeldpogingen worden geblokkeerd.
Om toch de hack uit te voeren besloot de expert stroommetingen te doen op de chip. Bij elke gebeurtenis legt Westhovens vast waar spanning toeneemt en hoeveel. Die informatie was voor hem genoeg om de werking van de hele chip in kaart te brengen en hoe het certificaat in elkaar steekt. "Met een paar uur heb je dat dan in handen."
Dat het zo "simpel" is, komt volgens Westhovens omdat er een gesloten algoritme gebruikt wordt en niet een publiek, algemeen aanvaard, mechanisme. Lekt het geheim van de wering uit dan is er ook meteen grote schade aan de kaart toegebracht. Het maakt dan niet uit dat het certificaat op basis van het publiek bekende RSA-algoritme is getekend.
Voor Westhovens is het dan ook een eenvoudig onderzoek en begrijpt hij niet waarom Minister Klink de Tweede Kamer schreef: "In een laboratoriumsituatie zijn experts in staat gebleken om de private sleutel van een chip te achterhalen."
"Kijk ik heb van alles, maar geen gerenommeerd laboratorium", stelt hij geërgerd. "Ik heb één pc-tje en twee laptops. Dat is alles." Volgens hem is dan ook niet veel nodig om de hack te plegen. De testapparatuur is eenvoudig te krijgen.
De hardware was nodig voor de netwerksystemen, die zijn bedrijf maakt: "We willen ook gebruik maken van de Uzi-pas om informatie op weg te schrijven." Daarom bestelde hij een ontwikkelaarskit bij het bureau voor het EPD en kreeg twee lezers in plaats van een opgestuurd en drie Uzi-passen, waarmee zorgverleners zich moeten aanmelden, in plaats van een.
"Dat ik hier mee bezig ben heeft een reden", zegt Westhovens. Hij doelt op de bewering dat het aanmelden voor het EPD goed beveiligd is. "Ik maak me druk over beveiliging op het moment dat mensen onzinnige dingen gaan roepen in de Tweede Kamer."
Voor hem is het duidelijk dat de problemen er al langer waren en hij stelt dat hij het Ministerie van VWS al in November 2008 op de hoogte bracht van de problemen met de pas. Inmiddels is de ernst doorgedrongen en zullen alle passen vervangen moeten worden. Daardoor lijkt het EPD drie maanden extra vertraging op te lopen. Dezelfde technologie wordt ook gebruikt voor de Defensiepas, taxipas en de elektronische tachograaf.
Overigens zegt de expert geen tegenstander van het elektronisch dossier te zijn: "Het EPD moet er komen, maar dan moet je er wel mensen op zetten met verstand van zaken."
