Pieter Edelman
30 July 2013

Een Britse rechter heeft Radboud-onderzoekers Roel Verdult en Baris Ege en ex-collega Flavio Garcia verboden om volgende maand op de Usenix-onferentie in Washington hun artikel te presenteren waarin ze het Megamos-crypto-algoritme ontmantelen. Dit is een bedrijfseigen cryptografiealgoritme dat door verschillende fabrikanten wordt ingezet in draadloze startonderbrekers. Met name de duurdere automodellen gebruiken vaak transponders met deze technologie.

Megamos stamt uit de jaren negentig en is volgens de onderzoekers sterk verouderd. Delen van de technologie worden vandaag de dag echter nog steeds toegepast. De drie onderzoekers beschrijven in hun paper de fatale zwaktes van de technologie en tonen aan hoe de beveiliging te omzeilen is. Zij zeggen de fouten te hebben gevonden na analyse van openbare bronnen.

De Volkswagen Groep is bang dat de publicatie tot grootschalige autodiefstallen zal leiden. In eerste instantie vroeg het de onderzoekers om een afgezwakte versie van het artikel te publiceren, maar toen zij weigerden, spande het bedrijf een kort geding aan bij de Britse rechtbank – Garcia werkt vandaag de dag aan de universiteit van Birmingham.

De onderzoekers zijn het uiteraard niet eens met de uitspraak. Zij stellen dat hun paper niet voldoende informatie bevat om een auto te stelen. Bovendien hebben zij de fabrikant negen maanden geleden al ingelicht over het probleem, meer dan genoeg tijd om maatregelen te nemen, zo vinden ze. Ze stellen dan ook dat de uitspraak van de Engelse rechter ernstige beperkingen oplegt aan de vrijheid van academisch onderzoek. Wel respecteren ze het vonnis.

Er loopt op het moment nog een bodemprocedure om ook toekomstige andere publicaties te verhinderen.

Update: de onderzoekers hebben hun paper teruggetrokken van de conference-proceedings. Verdult zal wel een presentatie geven op de Usenix-conferentie over het onderwerp, maar niet ingaan op de kern van het probleem.