Nederlands biometrisch paspoort

Nederlands biometrisch paspoort voorzien van het logo

Het Nederlands biometrisch paspoort is een biometrisch paspoort met een flinterdunne RFID-chip, die wordt aangebracht op een van de pagina's. Deze draadloze chip bevat onder andere alle gegevens die op de houderspagina staan weergegeven, aangevuld met extra (niet zichtbare) gegevens.

Doel van het biometrisch paspoort

[bewerken | brontekst bewerken]

De EU had al vóór de aanslagen op 11 september 2001 het voornemen een fraudebestendiger paspoort voor alle EU-landen voor te schrijven. Na laatstgenoemde datum is dit streven in een stroomversnelling geraakt, niet in de laatste plaats doordat de Verenigde Staten dreigden Europese paspoorten zonder biometrische kenmerken uit te sluiten van het Visa Waiver Program. Het biometrisch paspoort moet erin voorzien dat zogenaamde 'look-alike fraude' wordt tegengegaan: iemand die op het paspoort reist van iemand die een beetje op hem lijkt. Mensen blijken niet bijster goed in het constateren van dat soort verschillen. Gelaatsscans en vingerafdrukken, geanalyseerd door computers, moeten erin voorzien dat zoiets niet langer mogelijk is.

Versies van het Nederlands biometrisch paspoort

[bewerken | brontekst bewerken]

Er zijn twee generaties van Nederlandse biometrische paspoorten in omloop:

  • Generatie 1. De eerste generatie werd op 28 augustus 2006 in Nederland geïntroduceerd. De chips in deze documenten bevatten de naam van de houder, paspoortnummer, nationaliteit, geboortedatum, geslacht, geldigheidsdatum, burgerservicenummer (het voormalig sofinummer) en een gelaatsscan. Daarnaast bevat de chip een aantal beveiligingsgerelateerde bestanden waarmee vastgesteld kan worden of het een originele chip betreft en of de data ongewijzigd zijn. Hoewel op de chip ook ruimte is gereserveerd voor adres, telefoonnummer, beroep, bewaring/hechtenis, belastingvoorwaarden en allerlei andere details, zullen deze velden, naar verluidt, leeg gelaten worden. De gelaatsscan is een als JPEG 2000-bestand opgeslagen digitale foto waarbij elektronisch een aantal geometrische kenmerken (zoals de positie van de ogen, afstanden tussen de ogen, neus en mondhoeken) wordt gemeten. Tevens worden de contouren van het gelaat vastgelegd. Bij verificatie (in het geval van controle) wordt een digitale foto van de betreffende persoon gemaakt en vergeleken met de in (de chip in) het paspoort opgeslagen foto door dezelfde kenmerken te vergelijken. De Paspoortwet bevat geen artikel dat de gegevens van de contouren expliciet vermeldt. Dit is opvallend na de commotie die over biometrie in de Tweede Kamer in het voorjaar van 2006 is ontstaan. De chip is beveiligd met behulp van Basic Access Control (zie hoofdstuk Beveiliging).
  • Generatie 2. Na een besluit van de Europese Commissie zijn EU-leden verplicht om per 28 juni 2009 alleen biometrische paspoorten van een tweede generatie uit te geven. Deze generatie bevat naast de gegevens van generatie 1 ook een digitale representatie van twee vingerafdrukken van de houder van het document. De vingerafdrukken zijn een als WSQ-bestand opgeslagen digitale foto. Bij verificatie (in het geval van controle) worden vingerafdrukken van de betreffende persoon gemaakt en vergeleken met de in (de chip in) het paspoort opgeslagen foto's. De vingerafdrukken zijn extra beveiligd m.b.v. Extended Access Control (zie hoofdstuk Beveiliging). Alle gegevens behalve de vingerafdrukken zijn echter ook via Basic Access Control uit te lezen. Nederland geeft sinds 28 juni 2009 diplomatieke paspoorten en dienstenpaspoorten van de tweede generatie uit. Voor burgers is uitgifte van reisdocumenten van de tweede generatie begonnen op 21 september 2009.

Voor beide generaties geldt dat een chip een typische opslagcapaciteit heeft van 72 kilobyte.

Inzage paspoortgegevens

[bewerken | brontekst bewerken]

Iedereen heeft recht op inzage in de gegevens die zijn opgeslagen in de paspoortchip en zo nodig te verzoeken dat deze worden gerectificeerd dan wel geschrapt.[1][2][3] De Nederlandse overheid lijkt echter niet aan haar wettelijke plicht te voldoen aangezien de instanties waar de reisdocumenten worden aangevraagd en afgehaald vaak geen faciliteiten bieden om gegevens die in de chip zijn opgeslagen uit te lezen. Om de juistheid van de in de chip opgeslagen gegevens toch te controleren kan men gebruikmaken van op internet in omloop zijnde softwareprogramma's.

Bijzonderheden en controversie Nederlands paspoort

[bewerken | brontekst bewerken]

De International Civil Aviation Organization heeft een specificatie[4][5][6] verzorgd die erin voorziet dat landen zich aan een aantal standaarden houden. De EU heeft binnen deze specificatie een aantal keuzes gemaakt (waar alle EU-paspoorten aan moeten voldoen) en Nederland heeft binnen die EU-specificatie ook weer een (klein) aantal keuzes gemaakt. Een controversiële keuze was dat Nederland – in tegenstelling tot andere Europese landen – alle vingerafdrukken centraal wilde opslaan,[7] dit idee is voorlopig terzijde geschoven.[8] Ook het decentraal opslaan (bij gemeenten) wordt niet meer gedaan. Vingerafdrukken worden sinds 23 juni 2011 alleen nog maar tijdelijk centraal opgeslagen tijdens het aanvraagproces.[9] Merk op dat er bij de aanvraag van een reisdocument ook na 2012 niet twee (zoals opgeslagen in de chip) maar vier vingerafdrukken worden opgenomen. Het doel en de bestemming van de extra twee vingerafdrukken is onduidelijk.

Het biometrische paspoort gebruikt een aantal mechanismen om aanvallen te voorkomen en /of te detecteren:

  • Niet traceerbare chipkarakteristieken. De paspoortchip reageert tijdens iedere sessie met een willekeurig gekozen chipnummer (card ID). Hierdoor is het niet mogelijk om een chip te volgen op basis van het chipnummer. Het gebruik van willekeurige chipnummers is volgens ICAO niet verplicht. In de huidige Nederlandse chips worden wel willekeurige chipnummers gebruikt.
  • Basic Access Control (BAC). BAC beveiligt toegang tot de gegevens in de chip en beveiligt het communicatiekanaal. Toegang tot gegevens is alleen mogelijk na het opgeven van de voor die chip juiste sleutel. De sleutel is afgeleid van de geboortedatum van de houder, het documentnummer en de vervaldatum van het document. Na het opgeven van de juiste sleutel wordt alle informatie versleuteld verstuurd zodat de gegevens niet (makkelijk) afgeluisterd kunnen worden. Gebruik van BAC is volgens ICAO niet verplicht. In de EU - en dus ook in Nederlandse paspoortchips - is gebruik van BAC wel verplicht. Merk op dat er uitzonderingen zijn: de eerste Belgische biometrische paspoorten waren zonder sleutel en niet versleuteld uit te lezen.[10]
  • Passive Authentication (PA). PA voorkomt het ongemerkt wijzigen van gegevens in de paspoortchip. De chip bevat een speciaal bestand (SOD) waarin controlegetallen zijn opgeslagen (zogenoemde hashes). Over deze controlegetallen is een elektronische handtekening gezet door de uitgever van de chip. Deze handtekening is weer getekend met een elektronische handtekening van het uitgevende land. Als een bestand in de chip gewijzigd is (bijvoorbeeld de foto) kan dit gedetecteerd worden doordat een controlegetal niet meer klopt. Om zeker te weten dat de SOD nog te vertrouwen is moet inspectieapparatuur vervolgens de elektronische handtekeningen controleren. Om dit te doen moet een inspectiesysteem toegang hebben tot de publieke sleutels van alle landen die biometrische paspoorten gebruiken. Gebruik van PA is volgens de ICAO verplicht.
  • Active Authentication (AA). AA maakt het mogelijk om onderscheid te maken tussen originele en gekloonde chips. De chip bevat een geheime sleutel die niet gelezen of gekopieerd kan worden maar waarvan het bestaan toch gemakkelijk aangetoond kan worden (een zogenaamd RSA sleutelpaar). Gebruik van AA is volgens ICAO en de EU niet verplicht. In Nederlandse chips wordt AA wel toegepast.
  • Extended Access Control (EAC). EAC voegt functionaliteit toe waarmee de echtheid van zowel de chip als de uitleesterminal kunnen worden vastgesteld. Verder gebruikt het sterkere crypto dan BAC voor het versturen van gegevens. EAC wordt typisch gebruikt voor de beveiliging van privacygevoelige gegevens als vingerafdrukken. Gebruik van EAC is volgens ICAO optioneel. In de EU - en dus ook in Nederlandse paspoortchips - is gebruik van EAC verplicht voor vingerafdrukken sinds 28 juni 2009.
  • Elektrisch afschermen van de chip. Dit voorkomt het ongeautoriseerd uitlezen van gegevens. Sommige landen - w.o. de VS[11] - hebben een dunne laag metaalfolie in de kaft van het document verwerkt. Hierdoor is het uitlezen van een gesloten document met de huidige technieken vrijwel onmogelijk. Het gebruik van een zogenaamde Kooi van Faraday is volgens de ICAO niet verplicht.

De volgende problemen met het paspoort zijn gesignaleerd:

  • Niet traceerbare chipkarakteristieken. In 2008 heeft een team van de Radboud / Lausitz universiteit aangetoond dat het mogelijk is om vast te stellen waar een chip vandaan komt zonder te zijn aangemeld met de juiste BAC-sleutel.[12] Om dit doel te bereiken heeft het team een lijst gemaakt van foutmeldingen die de chips uit de verschillende landen teruggegeven na het toesturen van ongeldige commando's.
  • Basic Access Control(BAC). In 2005 heeft Marc Witteman laten zien dat de documentnummers van Nederlandse paspoorten op dat moment voorspelbaar waren.[13] Dit maakte het voor een aanvaller mogelijk om de BAC-sleutel te raden of te kraken met ongeautoriseerde toegang tot de chip als gevolg. In 2006 heeft Adam Laurie software gepubliceerd waarmee alle mogelijke sleutels binnen een gegeven reeks automatisch getest kunnen worden: een implementatie van een van Wittemans aanvallen. Laurie heeft aangetoond dat de aanval praktisch kan werken door het paspoort van een journalist van de Daily Mail uit te lezen terwijl het paspoort zich in een verzegelde envelop bevond.[14]
  • Passive Authentication (PA). In 2006 heeft Lukas Grunwald gedemonstreerd dat het mogelijk is om paspoortgegevens te kopiëren naar een standaard ISO 14443 smartcard.[15] Grunwald gebruikte als bron een paspoort dat geen gebruik maakte van Active Authentication (anti-cloning) en heeft de uitgelezen data niet gewijzigd om zo de controlegetallen en de digitale handtekening geldig te laten blijven. In 2008 heeft Jeroen van Beek gedemonstreerd dat niet alle paspoort inspectiesystemen een adequate controle van de digitale handtekening uitvoeren. Voor zijn demonstratie heeft Van Beek valse paspoortgegevens aangemaakt - inclusief controlegetallen - en ondertekend met zijn eigen sleutels van een niet bestaand land. De aanval kan alleen gedetecteerd worden als de landsleutels goed gecontroleerd worden. De ICAO heeft een centrale database, de ICAO PKD,[16] in het leven geroepen waar alle landsleutels verzameld kunnen worden. Slechts 10 van de 45 landen gebruiken deze database.[17] Van Beek heeft de inhoud van de originele paspoortchip niet gewijzigd: in plaats daarvan is een ePassport emulator[18] gebruikt. In 2008 heeft The Hacker's Choice alle bovenstaande PA-aanvallen geïmplementeerd en de code gepubliceerd[19] zodat iedereen de resultaten kan verifiëren. The Hacker's Choice heeft ook een video online gezet waarin de problematiek geïllustreerd wordt door een paspoort te scannen waarna de gegevens van Elvis Presley op een terminal verschijnen.[20][21]
  • Active Authentication (AA). In 2005 heeft Marc Witteman gepresenteerd dat de geheime AA-sleutel achterhaald kan worden door gebruik te maken van "power analysis".[13] Na een succesvolle aanval kan ook een AA-beveiligd paspoort gekloond worden. In 2008 heeft Jeroen van Beek gedemonstreerd dat (volgens ICAO) optionele beveiligingsmechanismen / -bestanden uitgeschakeld kunnen worden door de verwijzingen uit de onbeveiligde index (COM) te verwijderen.[22] Hierdoor kan een aanvaller - onder andere - AA uitschakelen. De aanval is beschreven in supplement 7 van ICAO's Doc 9303 (R1-p1_v2_sIV_0006)[23] en kan voorkomen worden door de software van inspectiesystemen aan te passen. Merk op dat supplement 7 naast een oplossing ook kwetsbare voorbeelden bevat: het gebruik van sommige ICAO voorbeeldcode resulteert in kwetsbare software.
  • Extended Access Control (EAC). In 2007 heeft Lukas Grunwald een aanval beschreven waarmee EAC-chips onbruikbaar kunnen worden gemaakt.[24] Grunwald zegt dat met behulp van een gestolen EAC-sleutel - benodigd om onder andere vingerafdrukken uit te lezen - mogelijk is om valse certificaten naar de paspoortchip te kopiëren die pas ver in de toekomst geldig worden. De aangevallen chip is vervolgens niet meer leesbaar tot de valse datum van het valse certificaat.

Merk op dat aanvallen op de "Passport card"[25] niet van toepassing zijn op het biometrische paspoort: passport cards gebruiken een heel andere technologie.

  1. VERORDENING (EG) Nr. 2252/2004 VAN DE RAAD van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten - Artikel 4, lid 1, 29 december 2004
  2. Inzage - Paspoortinformatie.nl
  3. Kan ik de gegevens die in de chip in het paspoort staan inzien? - Gemeente Diemen www.diemen.nl, 12 januari 2011
  4. ICAO Document 9303, Part 1, Volume 1 (OCR machine-readable passports)
  5. ICAO Document 9303, Part 1, Volume 2 (e-passports)
  6. ICAO Document 9303, Part 3 (credit-card sized ID cards)[dode link]
  7. "Vingerafdrukken voor de database", NRC Handelsblad, 21 september 2009.
  8. "Geen vingerafdruk meer voor identiteitskaart", Security.nl, 28 september 2012
  9. Opslag - Paspoortinformatie.nl
  10. Belgian Biometric Passport does not get a pass
  11. "Metal shields and encryption for US passports", New Scientist, 28 oktober 2005
  12. "Fingerprinting Passports", Henning Richter, Wojciech Mostowski and Erik Poll
  13. a b "Attacks on Digital Passports", Marc Witteman, 28 juli 2005, What the Hack
  14. RFID-based Passports – What a bad bad idea
  15. "Hackers clone E-Passports"
  16. ICAO Public Key Directory (PKD)
  17. "‘Fakeproof’ e-passport is cloned in minutes", Daily Times, 7 augustus 2008
  18. ePassport emulator
  19. The Hacker's Choice ePassport tools
  20. The Hackers Choice (THC) ePassport RFID Vulnerability Demonstration
  21. Elvis has left the border: ePassport faking guide unleashed
  22. ePassport reloaded goes mobile
  23. Doc 9303 supplement 7[dode link]
  24. Security by politics - why it will never work
  25. Hacker war drives San Francisco cloning RFID passports
[bewerken | brontekst bewerken]
Mediabestanden die bij dit onderwerp horen, zijn te vinden op de pagina Biometrisch paspoort op Wikimedia Commons.