Duitse expert kraakt nieuwe rfid-paspoort
Chips eenvoudig te kopiëren
04 augustus 2006 | Remco Mourits
Een Duitse beveiligingsexpert heeft laten zien hoe het nieuwe paspoort met rfid-chip kan worden vervalst, zo meldt Wired News. De Nederlandse overheid wil dit paspoort eind augustus invoeren. Duitsland is er al mee begonnen, en vele andere landen zullen spoedig volgen. De Verenigde Staten, de grootste pleitbezorger voor het nieuwe paspoort, gaat deze vanaf oktober verstrekken.
Lukas Grunwald, werkzaam voor DN-Systems in Duitsland, toonde zijn ontdekking op de Black Hat-sessies, die momenteel in Las Vegas worden gehouden. Black Hat staat wel bekend als de 'hackers-conferentie', aangezien beveiligingsexperts hier laten zien hoe systemen kunnen worden gekraakt.
Het controversiële e-paspoort maakt gebruik van
Radio Frequency Identification (rfid), een techniek die vooral bekendheid geniet als opvolger van de streepjescode. Een rfid-chip kan informatie opslaan en draadloos versturen via radiogolven. De informatie is eenvoudig uit te lezen met een scanner.
De toepassing van rfid moet het vervalsen van informatie in paspoorten moeilijker maken. Grunwald stelt echter dat de data in de chips eenvoudig is te kopiëren. "Volgens mij zijn die rfid-paspoorten geldverspilling. Ze verbeteren de veiligheid helemaal niet", zo stelt hij.
Er zijn plannen om de data op de chip van encryptie te voorzien. Om versleutelde gegevens bij paspoortcontroles wereldwijd te kunnen uitlezen, is echter een ingewikkelde infrastructuur nodig. Dat kost tijd en geld; voorlopig is de informatie dus niet versleuteld. "En als je de data kan lezen, kan je deze ook kopiëren en op een nieuwe chip zetten", aldus Grunwald.
Hij claimt er slechts twee weken over te hebben gedaan om een paspoort op deze manier te kopiëren. De meeste tijd was hij naar eigen zeggen kwijt aan het lezen van de specificaties van de e-paspoorten. Deze zijn openbaar; ze staan op de website van de International Civil Aviation Organization (ICAO), een internationale luchtvaartorganisatie die de standaard ontwikkelde.
In een demonstratie voor Wired News, las hij de informatie uit met een officiële rfid-reader voor douane-posten. Hij kocht deze simpelweg bij de fabrikant, het Duitse ACG Identification Technologies. Grunwald claimt echter dat zo'n reader eenvoudig zelf is te maken door een antenne op een standaard rfid-reader te plaatsen. Dit kost zo'n 150 euro.
Vervolgens las Grunwald de data uit met de officiële software, die hij ook had weten te verkrijgen. In vier seconden had deze Golden Reader Tool de informatie opgehaald. Vervolgens nam Grunwald een lege pagina uit een paspoort, waarin hij een rfid-chip had gestopt. Vervolgens zette hij de data op de door de ICAO gespecificeerde wijze op de chip. Hij gebruikte hiervoor de rfid-reader, die ook informatie kan schrijven. Het eindresultaat: een paspoortpagina die door de rfid-reader niet van het origineel is te onderscheiden, aldus Wired News.
Op de Black Hat conferentie sprak ook Frank Moss, op het Amerikaanse ministerie van binnenlandse zaken verantwoordelijk voor het paspoort. Hij stelde dat al lang bekend was dat de informatie kan worden gekopieerd en dat de foto en gedrukte informatie in het paspoort daarom belangrijk blijven om fraude te voorkomen.
Lees meer artikels over :
paspoort, rfid
bron: ZDNet, Wired News
