Nederlands biometrisch paspoort

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
Nederlands biometrisch paspoort voorzien van het EPassport logo.svg logo

Inleiding[bewerken]

Het Nederlands biometrisch paspoort is een paspoort met een flinterdunne RFID-chip, die wordt aangebracht op een van de pagina's. Deze draadloze chip bevat onder andere alle gegevens die op de houderspagina staan weergegeven, aangevuld met extra (niet zichtbare) gegevens.

Doel van het biometrisch paspoort[bewerken]

De EU had al vóór de aanslagen op 11 september 2001 het voornemen een fraudebestendiger paspoort voor alle EU-landen voor te schrijven. Na laatstgenoemde datum is dit streven in een stroomversnelling geraakt, niet in de laatste plaats doordat de Verenigde Staten dreigden Europese paspoorten zonder biometrische kenmerken uit te sluiten van het Visa Waiver Program. Het biometrisch paspoort moet erin voorzien dat zogenaamde 'look-alike fraude' wordt tegengegaan: iemand die op het paspoort reist van iemand die een beetje op hem lijkt. Mensen blijken niet bijster goed in het constateren van dat soort verschillen. Gelaatsscans en vingerafdrukken, geanalyseerd door computers, moeten erin voorzien dat zoiets niet langer mogelijk is. (Zie ook: Biometrie)

Versies van het Nederlands biometrisch paspoort[bewerken]

Er zijn twee generaties van Nederlandse biometrische paspoorten in omloop:

  • Generatie 1. De eerste generatie werd op 28 augustus 2006 in Nederland geïntroduceerd. De chips in deze documenten bevatten de naam van de houder, paspoortnummer, nationaliteit, geboortedatum, geslacht, geldigheidsdatum, burgerservicenummer (het voormalig sofinummer) en een gelaatsscan. Daarnaast bevat de chip een aantal beveiligingsgerelateerde bestanden waarmee vastgesteld kan worden of het een originele chip betreft en of de data ongewijzigd zijn. Hoewel op de chip ook ruimte is gereserveerd voor adres, telefoonnummer, beroep, bewaring/hechtenis, belastingvoorwaarden en allerlei andere details, zullen deze velden, naar verluidt, leeg gelaten worden. De gelaatsscan is een als JPEG_2000-bestand opgeslagen digitale foto waarbij elektronisch een aantal geometrische kenmerken (zoals de positie van de ogen, afstanden tussen de ogen, neus en mondhoeken) wordt gemeten. Tevens worden de contouren van het gelaat vastgelegd. Bij verificatie (in het geval van controle) wordt een digitale foto van de betreffende persoon gemaakt en vergeleken met de in (de chip in) het paspoort opgeslagen foto door dezelfde kenmerken te vergelijken. De Paspoortwet bevat geen artikel dat de gegevens van de contouren expliciet vermeldt. Dit is opvallend na de commotie die over biometrie in de Tweede Kamer in het voorjaar van 2006 is ontstaan. De chip is beveiligd met behulp van Basic Access Control (zie hoofdstuk Beveiliging).
  • Generatie 2. Na een besluit van de Europese Comissie zijn EU-leden verplicht om per 28 juni 2009 alleen biometrische paspoorten van een tweede generatie uit te geven. Deze generatie bevat naast de gegevens van generatie 1 ook een digitale representatie van twee vingerafdrukken van de houder van het document. De vingerafdrukken zijn een als WSQ-bestand opgeslagen digitale foto. Bij verificatie (in het geval van controle) worden vingerafdrukken van de betreffende persoon gemaakt en vergeleken met de in (de chip in) het paspoort opgeslagen foto's. De vingerafdrukken zijn extra beveiligd m.b.v. Extended Access Control (zie hoofdstuk Beveiliging). Alle gegevens behalve de vingerafdrukken zijn echter ook via Basic Access Control uit te lezen. Nederland geeft sinds 28 juni 2009 diplomatieke paspoorten en dienstenpaspoorten van de tweede generatie uit. Voor burgers is uitgifte van reisdocumenten van de tweede generatie begonnen op 21 september 2009.

Voor beide generaties geldt dat een chip een typische opslagcapaciteit heeft van 72 kilobyte.

Inzage paspoortgegevens[bewerken]

Iedereen heeft heeft recht op inzage in de gegevens die zijn opgeslagen in de paspoortchip[1]. De Nederlandse overheid lijkt echter niet aan haar wettelijke plicht te voldoen aangezien de instanties waar de reisdocumenten worden aangevraagd geen faciliteiten bieden om gegevens die in de chip zijn opgeslagen uit te lezen. Om de juistheid van de in de chip opgeslagen gegevens toch te controleren kan men gebruik maken van op internet in omloop zijnde softwareprogramma's.

Bijzonderheden en controversie Nederlands paspoort[bewerken]

De International Civil Aviation Organization heeft een specificatie[2][3][4] verzorgd die erin voorziet dat landen zich aan een aantal standaarden houden. De EU heeft binnen deze specificatie een aantal keuzes gemaakt (waar alle EU-paspoorten aan moeten voldoen) en Nederland heeft binnen die EU-specificatie ook weer een (klein) aantal keuzes gemaakt. Een controversiële keuze was dat Nederland – in tegenstelling tot andere Europese landen – alle vingerafdrukken centraal wilde opslaan[5], dit idee is voorlopig terzijde geschoven[6]. Ook het decentraal opslaan (bij gemeenten) wordt niet meer gedaan. Vingerafdrukken worden sinds 23 juni 2011 alleen nog maar tijdelijk centraal opgeslagen tijdens het aanvraagproces[7]. Merk op dat er bij de aanvraag van een reisdocument ook na 2012 niet twee (zoals opgelagen in de chip) maar vier vingerafdrukken worden opgenomen. Het doel en de bestemming van de extra twee vingerafdrukken is onduidelijk.

Beveiliging[bewerken]

Het biometrische paspoort gebruikt aan aantal mechanismen om aanvallen te voorkomen en /of te detecteren:

  • Niet traceerbare chipkarakteristieken. De paspoortchip reageert tijdens iedere sessie met een willekeurig gekozen chipnummer (card ID). Hierdoor is het niet mogelijk om een chip te volgen op basis van het chipnummer. Het gebruik van willekeurige chipnummers is volgens ICAO niet verplicht. In de huidige Nederlandse chips worden wel willekeurige chipnummers gebruikt.
  • Basic Access Control (BAC). BAC beveiligt toegang tot de gegevens in de chip en beveiligt het communicatiekanaal. Toegang tot gegevens is alleen mogelijk na het opgeven van de voor die chip juiste sleutel. De sleutel is afgeleid van de geboortedatum van de houder, het documentnummer en de vervaldatum van het document. Na het opgeven van de juiste sleutel wordt alle informatie versleuteld verstuurd zodat de gegevens niet (makkelijk) afgeluisterd kunnen worden. Gebruik van BAC is volgens ICAO niet verplicht. In de EU - en dus ook in Nederlandse paspoortchips - is gebruik van BAC wel verplicht. Merk op dat er uitzonderingen zijn: de eerste Belgische biometrische paspoorten waren zonder sleutel en niet versleuteld uit te lezen.[8]
  • Passive Authentication (PA). PA voorkomt het ongemerkt wijzigen van gegevens in de paspoortchip. De chip bevat een speciaal bestand (SOD) waarin controlegetallen zijn opgeslagen (zogenaamde hashes). Over deze controlegetallen is een elektronische handtekening gezet door de uitgever van de chip. Deze handtekening is weer getekend met een elektronische handtekening van het uitgevende land. Als een bestand in de chip gewijzigd is (bijvoorbeeld de foto) kan dit gedetecteerd worden doordat een controlegetal niet meer klopt. Om zeker te weten dat de SOD nog te vertrouwen is moet inspectieapparatuur vervolgens de elektronische handtekeningen controleren. Om dit te doen moet een inspectiesysteem toegang hebben tot de publieke sleutels van alle landen die biometrische paspoorten gebruiken. Gebruik van PA is volgens de ICAO verplicht.
  • Active Authentication (AA). AA maakt het mogelijk om onderscheid te maken tussen originele en gekloonde chips. De chip bevat een geheime sleutel die niet gelezen of gekopieerd kan worden maar waarvan het bestaan toch gemakkelijk aangetoond kan worden (een zogenaamd RSA sleutelpaar). Gebruik van AA is volgens ICAO en de EU niet verplicht. In Nederlandse chips wordt AA wel toegepast.
  • Extended Access Control (EAC). EAC voegt functionaliteit toe waarmee de echtheid van zowel de chip als de uitleesterminal kunnen worden vastgesteld. Verder gebruikt het sterkere crypto dan BAC voor het versturen van gegevens. EAC wordt typisch gebruikt voor de beveiliging van privacygevoelige gegevens als vingerafdrukken. Gebruik van EAC is volgens ICAO optioneel. In de EU - en dus ook in Nederlandse paspoortchips - is gebruik van EAC verplicht voor vingerafdrukken sinds 28 juni 2009.
  • Elektrisch afschermen van de chip. Dit voorkomt het ongeautoriseerd uitlezen van gegevens. Sommige landen - w.o. de VS[9] - hebben een dunne laag metaalfolie in de kaft van het document verwerkt. Hierdoor is het uitlezen van een gesloten document met de huidige technieken vrijwel onmogelijk. Het gebruik van een zogenaamde Kooi van Faraday is volgens de ICAO niet verplicht.

Problemen[bewerken]

De volgende problemen met het paspoort zijn gesignaleerd:

  • Niet traceerbare chipkarakteristieken. In 2008 heeft een team van de Radboud / Lausitz universiteit aangetoond dat het mogelijk is om vast te stellen waar een chip vandaan komt zonder te zijn aangemeld met de juiste BAC-sleutel.[10] Om dit doel te bereiken heeft het team een lijst gemaakt van foutmeldingen die de chips uit de verschillende landen teruggegeven na het toesturen van ongeldige commando's.
  • Basic Access Control(BAC). In 2005 heeft Marc Witteman laten zien dat de documentnummers van Nederlandse paspoorten op dat moment voorspelbaar waren.[11] Dit maakte het voor een aanvaller mogelijk om de BAC-sleutel te raden of te kraken met ongeautoriseerde toegang tot de chip als gevolg. In 2006 heeft Adam Laurie software gepubliceerd waarmee alle mogelijke sleutels binnen een gegeven reeks automatisch getest kunnen worden: een implementatie van een van Wittemans aanvallen. Laurie heeft aangetoond dat de aanval praktisch kan werken door het paspoort van een journalist van de Daily Mail uit te lezen terwijl het paspoort zich in een verzegelde envelop bevond.[12]
  • Passive Authentication (PA). In 2006 heeft Lukas Grunwald gedemonstreerd dat het mogelijk is om paspoortgegevens te kopiëren naar een standaard ISO 14443 smartcard.[13] Grunwald gebruikte als bron een paspoort dat geen gebruik maakte van Active Authentication (anti-cloning) en heeft de uitgelezen data niet gewijzigd om zo de controlegetallen en de digitale handtekening geldig te laten blijven. In 2008 heeft Jeroen van Beek gedemonstreerd dat niet alle paspoort inspectiesystemen een adequate controle van de digitale handtekening uitvoert. Voor zijn demonstratie heeft Van Beek valse paspoortgegevens aangemaakt - inclusief controlegetallen - en ondertekend met zijn eigen sleutels van een niet bestaand land. De aanval kan alleen gedetecteerd worden als de landsleutels goed gecontroleerd worden. De ICAO heeft een centrale database, de ICAO PKD,[14] in het leven geroepen waar alle landsleutels verzameld kunnen worden. Slechts 10 van de 45 landen gebruiken deze database.[15] Van Beek heeft de inhoud van de originele paspoortchip niet gewijzigd: in plaats daarvan is een ePassport emulator[16] gebruikt. In 2008 heeft The Hacker's Choice alle bovenstaande PA-aanvallen geïmplementeerd en de code gepubliceerd[17] zodat iedereen de resultaten kan verifiëren. The Hacker's Choice heeft ook een video online gezet waarin de problematiek geïllustreerd wordt door een paspoort te scannen waarna de gegevens van Elvis Presley op een terminal verschijnen.[18][19]
  • Active Authentication (AA). In 2005 heeft Marc Witteman gepresenteerd dat de geheime AA-sleutel achterhaald kan worden door gebruik te maken van "power analysis".[11] Na een succesvolle aanval kan ook een AA-beveiligd paspoort gekloond worden. In 2008 heeft Jeroen van Beek gedemonstreerd dat (volgens ICAO) optionele beveiligingsmechanismen / -bestanden uitgeschakeld kunnen worden door de verwijzingen uit de onbeveiligde index (COM) te verwijderen.[20] Hierdoor kan een aanvaller - onder andere - AA uitschakelen. De aanval is beschreven in supplement 7 van ICAO's Doc 9303 (R1-p1_v2_sIV_0006)[21] en kan voorkomen worden door de software van inspectiesystemen aan te passen. Merk op dat supplement 7 naast een oplossing ook kwetsbare voorbeelden bevat: het gebruik van sommige ICAO voorbeeldcode resulteert in kwetsbare software.
  • Extended Access Control (EAC). In 2007 heeft Lukas Grunwald een aanval beschreven waarmee EAC-chips onbruikbaar kunnen worden gemaakt.[22] Grunwald zegt dat met behulp van een gestolen EAC-sleutel - benodigd om onder andere vingerafdrukken uit te lezen - mogelijk is om valse certificaten naar de paspoortchip te kopiëren die pas ver in de toekomst geldig worden. De aangevallen chip is vervolgens niet meer leesbaar tot de valse data van het valse certificaat.

Merk op dat aanvallen op de "Passport card"[23] niet van toepassing zijn op het biometrische paspoort: passport cards gebruiken een heel andere technologie.

Referenties[bewerken]

  1. Inzage - Paspoortinformatie.nl
  2. ICAO Document 9303, Part 1, Volume 1 (OCR machine-readable passports)
  3. ICAO Document 9303, Part 1, Volume 2 (e-passports)
  4. ICAO Document 9303, Part 3 (credit-card sized ID cards)
  5. "Vingerafdrukken voor de database", NRC Handelsblad, 21 september 2009.
  6. "Geen vingerafdruk meer voor identiteitskaart", Security.nl, 28 september 2012
  7. Opslag - Paspoortinformatie.nl
  8. Belgian Biometric Passport does not get a pass
  9. "Metal shields and encryption for US passports", New Scientist, 28 oktober 2005
  10. "Fingerprinting Passports", Henning Richter, Wojciech Mostowski and Erik Poll
  11. a b "Attacks on Digital Passports", Marc Witteman, 28 juli 2005, What the Hack
  12. RFID-based Passports – What a bad bad idea
  13. "Hackers clone E-Passports"
  14. ICAO Public Key Directory (PKD)
  15. "‘Fakeproof’ e-passport is cloned in minutes", Daily Times, 7 augustus 2008
  16. ePassport emulator
  17. The Hacker's Choice ePassport tools
  18. The Hackers Choice (THC) ePassport RFID Vulnerability Demonstration
  19. Elvis has left the border: ePassport faking guide unleashed
  20. ePassport reloaded goes mobile
  21. Doc 9303 supplement 7
  22. Security by politics - why it will never work
  23. Hacker war drives San Francisco cloning RFID passports

Externe links[bewerken]