Universitätsforscher dürfen ihre Forschungsergebnisse zum NXP Mifarechip veröffentlichen

Am 18. Juli 2008 hat der Niederländische Gerichtshof in Nijmegen in seiner Vorabentscheidung die Eingangsklage im Fall des Chipherstellers NXP gegen die Veröffentlichung der Universität von Nijmegen über die Sicherheitsprobleme beim Mifare Classic Chip abgewiesen.

NXP hatte vom Richter gefordert, die Universität von Nijmegen anzuweisen, die Veröffentlichung ihrer Forschungsergebnisse über die Art und Weise, wie die Sicherheitsvorrichtungen der Karten, die den NXP Chip verwenden, geknackt werden kann zu stoppen; die Firma führte ins Feld, dass die Veröffentlichung Kriminellen dabei helfen würde, leicht ins System einzubrechen und damit öffentliche Verkehrsmittel in betrügerischer Absicht zu verwenden. NXP ist der Ansicht, dass die Veröffentlichung erheblichen Schaden anrichten und außerdem Sicherheitsrisiken für NXP und deren User auf der ganzen Welt mit sich bringen würde.

Das Gericht Rechtbank Arnhem entschied, dass die Verhinderung der Veröffentlichung des Artikels der Universität das Recht der Forscher auf freie Meinungsäußerung, verankert in Artikel 10 der Europäischen Menschenrechtskonvention, verletzen würde. Einschränkungen in solchen Fällen können nur angeordnet werden, um eine dringende soziale Notwendigkeit zu schützen, die überzeugend dargelegt werden muss.

Der Richter war der Ansicht, dass die Radboud Universität Nijmegen die erforderliche Vorsicht walten habe lassen und dass die Veröffentlichung der Ergebnisse wissenschaftlicher Forschungen und die darauffolgende Verständigung der Öffentlichkeit über die ernsthaften Defizite des Chips bedeutenden Belangen diene und dabei behilflich sei, Maßnahmen gegen die Risiken der Sicherheitslücken des betroffenen Chips zu treffen. Der potentielle Schaden, den NXP geltend macht, ist nicht auf die Veröffentlichung der Forschungsergebnisse, sondern auf die Herstellung eines Chips zurückzuführen, der Defizite erkennen ließ, was unter die direkte Verantwortlichkeit von NXP selbst fällt.

„Ich kann mir nicht vorstellen, dass irgendjemand tatsächlich glaubt, dass man die Veröffentlichung von Nachbautechniken verhindern kann,“ sagte Karsten Nohl, der letztes Jahr an der Auflösung des Algorithmus des Chips mitgearbeitet hat, bei der Last HOPE Hackerkonferenz am 18. Juli. „Ich freue mich wirklich sehr, dass das Gericht das Recht auf offene Forschung und das Recht auf Veröffentlichung hochgehalten hat. (...) Ich freue mich außerdem, dass das Gericht verstanden hat, dass die Veröffentlichung von Schwachstellen eine ganz wesentliche Rolle bei der Sicherheitsentwicklung spielt; ein anderslautendes Gerichtsurteil hätte diese Entwicklung der Sicherheit bei Smart Cards erheblich aufgehalten und viel zu viele Systeme angreifbar gemacht.“ sagte er gegenüber CNET News.

NXP zeigte sich enttäuscht über das Urteil und ließ wissen, dass ein Wechsel des Systems nicht für alle User einfach werden würde; für einige von ihnen werde die Umstellung Monate in Anspruch nehmen, für andere sogar Jahre.

Henri Ardevol, Generaldirektor für automatische Fahrpreiserfassung bei NXP, sagte: „Der Wechsel in ein anderes Format stellt eine Option dar. (...) Wir haben Mifare Plus Anfang dieses Jahres eingeführt, es ist dafür vorgesehen, von Mifare Classic auf ein höheres Sicherheitslevel aufzusteigen ... Wir werden Pläne dafür erstellen, wie diese Umstellungen zu bewerkstelligen sein werden.“ Es sei außerdem noch zu früh um zu sagen, ob NXP Berufung gegen das Urteil einlegen würde.

Der Artikel wird Anfang Oktober 2008 im Rahmen einer wissenschaftlichen Konferenz in Malaga veröffentlicht werden.

Dutch Scientists Can't Be Blamed for Deficient Mifare Chip (18.07.2008)

Dutch court allows publication of Mifare security hole research (18.07.2008)

Oyster hack will be published, rules Dutch court (22.07.2008)

Radboud University Nijmegen Press release - Security Flaw in Mifare Classic (18.07.2008)

unwatched - Klage gegen niederländische Universität um Veröffentlichungen über Chiptechnologien zu stoppen (16.07.2008)