Schiphol-hacker: e-paspoort kan heel veilig zijn
Bij gebruik van alle beveiligingslagen
03 oktober 2008 | Janneke Scheepers
Het e-paspoortsysteem is veiliger dan het systeem zonder chip, als er voldoende beveiligingslagen worden toegepast. Dat meent Jeroen van Beek, die vorige maand met een gekloonde chip een paspoortscanner op Schiphol heeft 'misleid'.
Van zijn stunt heeft hij een video gepubliceerd en ook staat code online waarmee knutselaars zelf aan de slag kunnen. Veiligheidsgevaar is er niet: de machine wordt niet gebruikt voor controledoeleinden. Dat het apparaat gekloonde chips niet herkent, komt doordat het niet alle controles uitvoert die door de International Civil Aviation Organization (ICAO) zijn beschreven.
Douaneapparatuur
Het toont volgens Van Beek aan hoe belangrijk het is dat de geavanceerdere uitleesapparatuur van de douane deze controles wél uitvoert. Hij doelt met name op actieve authenticatie en gebruik van de Public Key Directory (PDK) van de ICAO.
Actieve authenticatie is een manier om te controleren of de inhoud van de chip gekopieerde gegevens bevat. Het is een optionele maatregel en Nederland heeft ervoor gekozen hem te implementeren in de uitgegeven chips. Om effectief te zijn, moet het uitleesapparaat ook geschikt zijn gemaakt voor de technologie.
Dit is het geval bij de apparatuur van de Nederlandse douane. Die controleert zowel actieve authenticatie als de elektronische handtekening over de gegevens in de chip, volgens het ministerie van Binnenlandse Zaken. De kloonchips in de Nederlandse reisdocumenten worden daardoor gedetecteerd. Ook de instanties die de paspoorten uitgeven, krijgen deze apparatuur.
Database
Daarnaast beveelt ICAO aan om een centrale database - de PKD - te gebruiken met daarin publieke sleutels van deelnemende landen, legt de onderzoeker uit. Met deze publieke sleutels kan een uitleesstation vaststellen of de digitale handtekening in de chip is gezet door een te vertrouwen partij. Van Beek: "Van de meer dan 45 landen met een e-paspoort zijn er slechts negen lid van de ICAO PKD. En van die negen zijn er volgens de ICAO slechts vijf die de data daadwerkelijk gebruiken."
Ieder voor zich
Hij vervolgt: "Voordat iedereen lid is van de PKD en deze ook daadwerkelijk gebruikt, lijkt het mij zeer onhandig om echte set-ups te gebruiken. Want wie garandeert dat bijvoorbeeld de publieke sleutel van Iran aanwezig is in alle scanapparatuur in Nigeria?"
Het zint hem niet dat er geen uniforme eisen zijn waaraan de uitleesapparatuur dient te voldoen; hier is iedere overheid zelf verantwoordelijk voor. "In juli heeft een official van de Nederlandse overheid ons verteld dat Nederland momenteel niet over een standaard voor uitleesstations beschikt. Daar maak ik mij zorgen over."
Veiliger dan nu
Zal het e-paspoortsysteem in de toekomst waterdicht zijn? "Niets is honderd procent veilig", antwoordt Van Beek. "Ik geloof wel dat als specifieke door ICAO beschreven optionele mechanismen worden ingeschakeld (Active Authentication, ICAO PKD), het systeem veiliger is dan het systeem zonder chip."
bron: ZDNet
Lees verder op ZDNet »
» Bèta Windows 8 mist startknop
news
Uit gelekte screenshots blijkt dat Microsoft de startknop die al aanwezig is sinds Windows 95 uit de binnenkort te verschijnen bèta van Windows 8 heeft gehaald.
» 'iPad 3 wordt in maart gelanceerd'
news
De kans is groot dat de volgende iPad in de eerste week van maart al wordt voorgesteld.
» Op Facebook verlies je al jouw rechten
news
Wie zichzelf als particulier, bedrijf of zelfstandige promoot via Facebook, stuit op zeer strikte voorwaarden. De site bezit alles en mag je voor het minste buitengooien.
Review: Never Dead
Game
"Schiet me maar aan flarden, ik raap me wel terug bijeen!", Huh? Innovatie is leuk, maar een hoofdrolspeler die zijn eigen lichaam verzamelt, is nieuw. Brengt Never Dead nog meer nieuwigheden of blijft het hier bij?
