Promovendus Roel Verdult zoekt constant naar zwaktes in beveiligingscodes. En daarmee heeft hij al meerdere successen behaald, waarvan de OV-chipkaartkraak de bekendste is. 21 april promoveert hij op de vraag hoe (on)veilig de beveiligingscodes van organisaties nou eigenlijk zijn.

Bedrijven vrezen hem. Hebben ze net een mooie berekening bedacht om hun informatie mee te versleutelen, dan lukt het Roel Verdult weer om die alsnog te kraken, of zoals hij het zelf liever noemt: ‘de zwakke plekken in het algoritme te vinden.’ Dat probleem is makkelijk te verhelpen volgens Verdult. Maak het algoritme gewoon openbaar, dan kan de hele wereld meedenken hoe de het algoritme beter kan. Zodat een groot beveiligingslek voorkomen kan worden.

Digitale veiligheid voor dummies
Eerst wat digitale veiligheid voor dummies. Telefoons, autosleutels, studentenpas: in veel producten die we gebruiken zit een chip. Die bevat bepaalde informatie over de gebruiker en kan worden verzonden. Bijvoorbeeld, jij verzendt een berichtje naar je nichtje. De informatie wordt verstuurd en je nichtje kan het bericht lezen. Maar om te voorkomen dat ook een kwaadwillende met grote antenne het bericht kan ontvangen en lezen, worden de berichten versleuteld. Die beveiliging bestaat uit twee componenten. Aan de ene kant heb je de versleutelingstechniek, in de vorm van een wiskundige formule: het algoritme. En aan de andere kant de geheime sleutel: de versleutelingscode. Jij maakt een tekst, het algoritme maakt er een code van met allerlei tekens. Als je die door de formule haalt, dan krijg je een leesbare tekst. Maar om die tekst te lezen heb je de versleutelingscode nodig. De code bestaat uit geheimtaal die je vroeger bij wiskunde ook gebruikte: 1=a, 2=b, et cetera. Alleen dan iets ingewikkelder.

Bedrijven houden hun versleutelingstechniek angstvallig geheim. Naar de reden kan Verdult alleen maar gissen. ‘Misschien zijn ze bang dat andere organisaties er met hun technologie vandoor gaan, of zien ze de noodzaak niet om het te verbeteren.’ Hoe dan ook, veel organisaties krijgen te maken met hackers die aantonen dat er (ontwerp)fouten zitten in hun infrastructuur die de boel onveilig maken. Of ze krijgen te maken met Verdult die aantoont dat bijvoorbeeld de chip in de OV-chipkaart en de beveiliging van de startonderbreker van Porsches en Volkswagens makkelijk te kraken zijn.

Dat Verdult de zwakheden van de beveiliging openbaar maakt wordt hem niet altijd in dank afgenomen. Verdult werd bij beide voorbeelden voor de rechter gedaagd. In het geval van de OV-chipkaart oordeelde de rechter dat Verdult de resultaten openbaar mocht maken, bij de startonderbreker mocht dat in eerste instantie niet niet, al is inmiddels een akkoord bereikt over een wetenschappelijke publicatie, aanstaande zomer.

Verdult onderzocht de beveiliging in de chips voor zijn promotieonderzoek. 21 april promoveert hij. En daarna? ‘Ik geef parttime advies aan bedrijven over hoe zij hun veiligheid kunnen verbeteren en daarnaast blijf ik ook een paar dagen in de week onderzoek doen. Achterdeurtjes identificeren in belangrijke beveiligingssystemen. Dat blijf ik toch interessant vinden.’ / Jolene Meijerink 

Roel Verdult promoveert 21 april om 14.30 uur in de Aula.