Honderdduizenden Belgische paspoorten lek

Universiteit: "Onmiddellijk uit de omloop halen"

11 juni 2007 | Nico Vandenabeele Ook de kaarten van de tweede generatie, uitgegeven na juli 2006, vertonen ernstige beveiligingsproblemen. De tweede generatie ondersteunt weliswaar het vereiste beveiligingsmechanisme Basic Access Control (BAS), maar door een ongelukkige implementatie is het voor kwaadwillenden vrij eenvoudig om door middel van een brute force attack ook die paspoorten te kraken.

Om de gegevens die zijn opgeslagen in de RFID-chip te lezen, moet de kaartlezer beschikken over de juiste sleutels. Die sleutels haalt de kaartlezer uit twee gecodeerde lijnen onder aan de eerste pagina van het paspoort, de zogenaamde Machine Readable Zone (MRZ). Wie de gegevens op de RFID-chip wil lezen, moet dus in principe ook het paspoort in handen hebben.

De MRZ omvat echter enkel de geboortedatum, de vervaldatum en het paspoortnummer. Met een brute force attack is het mogelijk om deze informatie te raden. Dit gebrek werd eerder al vastgesteld bij onder meer het Nederlandse en Duitse paspoort, geven de onderzoekers toe, maar het Belgisch paspoort is nog makkelijker te kraken.

Onderzoekers van de UCL slaagden erin om met dezelfde apparatuur in slechts een uur tijd ook een paspoort van de tweede generatie te lezen - op voorwaarde dat de geboortedatum en vervaldatum bekend zijn. "Maar die gegevens zijn vaak makkelijk te achterhalen", waarschuwen de onderzoekers.

Het team van de UCL pleit voor de toevoeging van een extra, willekeurige code in de MRZ om de beveiliging van de biometrische paspoorten te verbeteren. Dit is bijvoorbeeld al het geval voor Amerikaanse paspoorten.

Tot slot wijzen onderzoekers Glidas Avoine, Kassem Kalach en professor Jean-Jeaques Quisquater erop dat de Belgische overheid onnodig veel informatie in de RFID-chips stopt. De Belgische paspoorten bevatten onder meer een digitale foto en handtekening, geboorteplaats, uitgiftedatum en -plaats. "Diefstal van deze informatie opent de deur naar tal van misbruiken", waarschuwen de onderzoekers.

Het onderzoeksteam van de UCL plant donderdag een demonstratie van de gebreken. Een woordvoerder van het Belgische ministerie van Buitenlandse Zaken was niet meteen beschikbaar voor commentaar. Lees meer artikels over : paspoort, beveiliging, ucl, biometrisch, kraken

bron: ZDNet