Sinds gisteren worden in het Nederlandse paspoort ook vingerafdrukken, oftewel biometrische gegevens, opgenomen. Dit is bedoeld om met name look-a-like fraude tegen te gaan, maar er blijken ook nieuwe gevaren op te duiken…
Digitaal
Bij de aanvraag van een nieuw paspoort of identiteitskaart moet iedereen nu voortaan ook zijn vingerafdrukken laten inscannen. Deze worden dus niet, zoals bijv. bij het persoonsbewijs uit de tijd van de Duitse bezetting, met een inktafdruk op het paspoort zelf geplaatst. De ingescande vingerafdrukken worden tegenwoordig opgeslagen in de chip die in de nieuwe paspoorten en id-kaarten zit.
Gegevens
Naast twee vingerafdrukken worden op de chip bovendien je foto (in kleur), voornamen en achternaam, geboortedatum, geslacht, nationaliteit, document- nummer, burgerservicenummer (voorheen SoFinummer), einddatum van de geldigheid en het land van uitgifte opgeslagen.
(op de chip is echter ook nog ruimte voor adres, telefoonnummer, beroep, contactpersonen, uitreisvoorwaarden en wat de overheid nog zoal nodig mocht vinden…)
RFID-chip
Deze gegevens worden opgeslagen op de contactloze RFID-chip, die sinds 26 augustus 2006 in alle Europese paspoorten en identiteitsbewijzen zit en die herkenbaar is aan dit logootje:
De meeste van deze chips worden, net als de RFID-chips in toegangspasjes, gemaakt door NXP, dat al 100 miljoen contactloze paspoortchips van het type SmartMX heeft geleverd aan 23 landen. Of ook Nederland deze chip gebruikt is niet bekend c.q geheim.
In een eerdere log schreef ik al dat RFID-chips niet heel erg veilig zijn – met een RFID-reader kunnen ze namelijk vanaf enige afstand uitgelezen en daarmee zelfs gekopieerd worden!
Kopieren
Zo bleek bijvoorbeeld dat de RFID-chip van het nieuwe Amerikaanse paspoort niet van slechts 10 centimeter, maar van wel 10 meter afstand te kunnen worden uitgelezen. En de Duitse veiligheidsexpert Lukas Grunwald bleek in 2006 al binnen twee weken de Duitse paspoortchip te kunnen kopixc3xabren.
Bescherming
In Amerika hebben paspoorten daarom inmiddels een kaft die geen radiografischestraling doorlaat en is overheidspersoneel verplicht om ID- en toegangspasjes in een beschermend hoesje te bewaren (in Nederland te bestellen bij Chipsafe, maar via Ebay zijn er ook beschermende portefeuilles te koop).
Ik weet niet of ook de nieuwe Nederlandse paspoorten een beschermende kaft hebben, maar het zou geen gek idee zijn als de overheid voor de nieuwe identiteitskaarten (gratis) zo’n beschermendhoesje zou meeleveren.
Beveiligingen
Gelukkig betekent het kopixc3xabren nog niet dat dan ook meteen de gegevens van de chip veranderd kunnen worden. Deze zijn namelijk op diverse manieren beveiligd door middel van cryptografie:
1. Basis Access Control (BAC) voor de versleuteling van de draadloze overdracht.
2. Passive Authentication (PA) en Active Authentication (AA) ter controle van de echtheid van de gegevens op de chip.
3. Extended Access Control (EAC) waardoor de vingerafdrukken alleen via geautoriseerde apparatuur kunnen worden uitgelezen.
Desondanks staan de meeste gegevens, behalve de vingerafdrukken, echter wel onversleuteld (dus gewoon leesbaar) op de chip. Het idee daarachter is dat de namen en data ook gewoon leesbaar in het paspoort zelf staan.
1. Draadloze overdracht
Uit een deel van deze openlijke gegevens, namelijk paspoortnummer, geboorte- datum en geldigheidsdatum, wordt bovendien via een hashfunctie de (112 bits) sleutel gegenereerd, die wordt gebruikt om de draadloze overdracht tussen chip en reader te versleutelen (middels het 3DES-algoritme).
Door openlijke gegevens voor de sleutel te gebruiken kon de chip in het nieuwe Engelse paspoort echter al binnen 48 uur gekraakt worden (het schijnt dat Nederland de methode inmiddels verbeterd heeft).
De Machine Readable Zone (MRZ) van een paspoort
Om de sleutel voor de beveiligde overdracht te genereren, moet eerst de Machine Readable Zone (MRZ) van het paspoort door een optische scanner worden gehaald om zo paspoortnummer, geboortedatum en geldigheidsdatum af te lezen. Maar als het paspoort hiervoor dus toch al ergens langsgeschoven moet worden, waarom heeft men er dan niet gewoon zo’n goudkleurige contactchip op gemaakt? Dan waren we van al die gevaren van de draadloze RFID-chip af, en de ruimte voor zo’n contactchip was nota bene al gereserveerd!
2. Echtheid van de gegevens
Omdat alleen een beveiligde overdracht dus niet voldoende veilig bleek, heeft o.a. Nederland gekozen voor extra beveiligingsmethoden:
– Verplicht moet worden gecontroleerd of de gegevens op de chip niet gewijzigd zijn (Passive Authentication door vergelijking van een hash uit de chip met een hash van de public key van het land van uitgifte).
– Optioneel kan worden gecontroleerd of de gegevens op de chip ook bij het betreffende paspoort horen (Active Authentication door vergelijking van een hash van de MRZ met een hash uit de chip).
3. Biometrische gegevens
Met dit alles is echter nog steeds niet gecontroleerdof het paspoort met chip nu ook daadwerkelijk bij de drager ervan hoort. Om dat vast te stellen is nog een laatste controle nodig, namelijk de Extended Access Control.
Daarbij worden controlegetallen (de template) uit de chip vergeleken met controlegetallen van een door de douane uitgevoerde scan van gezicht en/of vingerafdruk van de drager.
Maar omdat de template van de vingerafdrukken (als enige wel) versleuteld (waarmee?) op de chip staat, kan deze controle alleen plaatsvinden met apparatuur die beschikt over de public key van het land dat de gegevens van de vingerafdrukken versleuteld heeft… Dit betekent dus dat alleen de landen die van Nederland de nodige certificaten hebben gekregen de biometrische paspoorten kunnen controleren.
Public Key
Voor de drie laatstgenoemde echtheidscontroles wordt gebruik gemaakt van digitale handtekeningen op basis van de public
key encryptiemethodes RSA en DSA. Hoewel hiervoor een tamelijk ingewikkelde Public Key Infrastructure (PKI) nodig is (hoever staat het daarmee?), zijn dat in principe zeer veilige methodes, al blijft het een risico dat geheime en niet-geheime gegevens samen verwerkt worden.
Conclusie
Al met al zijn we dus opgezadeld met een systeem waar nogal wat haken en ogen aan zitten, maar waar we dus wel verplicht onze lichaamskenmerken aan moeten toevertrouwen.
De cryptografische beveiligingsmethoden zijn op zichzelf wel veilig genoeg, de gevaren liggen vooral in de onzorgvuldige toepassing ervan, alsook in de draadloze RFID-chip en de ongewisheid over wat (buitenlandse) overheden met de gegevens kunnen gaan doen.
En dan zijn er nog de beperkingen van biometrische gegevens op zich (waarover ik al eerder schreef), en het feit dat Nederland de vingerafdrukken ook in een centrale database gaat opslaan (waar o.a. de stichting Vrijbit en het College Bescherming Persoonsgegevens tegen protesteren).
Links
– www.paspoortinformatie.nl
– biopaspoort.blogspot.com
– On the Security of E-Passports
– Paspoort met RFID-chip gepresenteerd
– Vingerafdrukken alle Nederlanders in een database
– Chip op nieuwe paspoort niet veilig genoeg
– Actie tegen biometrisch paspoort (PDF)
– Vingerafdrukken Hirsh Ballin en Plasterk gekopieerd
– NXP wil af van Philips-kroonjuwelen
Update:
Inmiddels heb ik ook ontdekt waarom voor de RFID-chip is gekozen: uit dit artikel blijkt dat de VS wel biometrische gegevens in paspoorten eiste, maar de concrete uitwerking open liet. De Europese Unie kwam toen met de RFID-chip aanzetten (daar zouden meer gegevens op kunnen dan op een streepjescode of magneetstrip) en die werd vervolgens door de International Civil Aviation Organization (ICAO) goedgekeurd en tot standaard verheven (controles via RFID zouden reizigersstromen minder verstoren dan andere methodes).
Homow Universalizzz 