'Biometrische paspoortchip gekloond'

Op de DefCon-hackersconferentie heeft de Duitse veiligheidsexpert Lukas Grunwald gisteren een demonstratie gegeven van het klonen van de biometrische chip die gebruikt wordt op een reeks nieuwe paspoorten, waaronder passen die in de EU en de VS worden uitgegeven. De man zegt dat hij twee weken nodig had om uit te vissen hoe de klus geklaard kon worden; de meeste tijd daarvan ging op aan het spitten in publiek beschikbare informatie van de ICAO - de organisatie die de e-paspoortstandaard ontwikkelde. Volgens Grunwald ondermijnt zijn ontdekking de toevoeging van biometrische technologie aan paspoorten, omdat de informatie, die niet versleuteld is, naar een blanco chip gekopieerd kan worden, die op een vervalst paspoort kan worden gezet. Op die conclusie valt evenwel wat af te dingen. Omdat de biometrische informatie in een centrale database is opgeslagen, zou er een belletje moeten gaan rinkelen bij de autoriteiten indien er een e-pas met gewijzigde informatie door de paspoortcontrole gaat. Niettemin stelt Grunwald dat er niet goed over het ontwerp is nagedacht. 'Deze paspoorten zijn een enorme geldverspilling - ze vergroten de veiligheid in geen enkel opzicht', aldus Grunwald.

IT-banen

Reacties (55)

sphere 7 augustus 2006 12:35

Helaas is de conclusie van deze expert niet overeenkomstig de realiteit. Vaak worden er wel fatsoenlijke ontwerpen ingediend, maar afgeschreven na een kosten-baten analyse. Uiteindelijk beslist een meneer in een kantoor dat het met minder ook wel kan.

Deze praktijk is trouwens niet alleen gelimiteerd tot de overheid.

DarkTemple @sphere • 7 augustus 2006 14:29

Die 'fatsoenlijke' ontwerpen zijn natuurlijk nog niet blootgesteld aan de veiligheidsexperts. Pas als ze echt gemaakt worden kunnen de experts ze probreren te kraken/omzeilen etc. Dus zijn die ontwerpen dan wel zo veilig, hoe weet jij dat?

VisionMaster @DarkTemple • 7 augustus 2006 14:53

Andere ontwerpen werken bijv. niet met een RFID chip als enige plek waar iets in is opgeslagen, maar die hebben een secure-vault idee in een tweede chippie, die de RFID chip kan uitlezen. Echter helpt dat je nog niet zo, gezien je dan weer andere dingen moet gaan doen. Wellicht twee weg verkeer of een tijdklok inbouwen naast de RFID chip. Zodat je steeds op iedere tijdstip een unieke waarde hebt, die alleen maar can corresponderen met 1 bepaalde chip, dus met 1 bepaald iemand. Dat algoritme is op de server bekent en kan opgevraagd worden. (wellicht leg ik het onhandig uit, maar goed...).

Hier heb je iets meer voor nodig dan je nu al in handen kan hebben. Want het geheugen van een RFID chip moet je nu dus kunnen manipuleren (dat nummer) doormiddel van een andere chip. Kost allemaal extra ontwikkelingskosten en het idee is om die nieuwe technieken niet TE veel geld te laten kosten bij de implementatie. Want het is al duur genoeg... En tja, dan is de veiligheid dus ook maar simpel.

Mijn oma zegt dan altijd: "Voor een dubbeltje op de eerste rang zitten...."
Side note: het 'dubbeltje' is hier geld en tijd. Want met een expansie op die factoren maak je meer kansen om de techniek wel goed te gebruiken voor deze toepassing.

@sangdrax:
Helemaal mee eens!

Verwijderd @VisionMaster • 7 augustus 2006 15:04

Ook staan RFID chips nog in de kinderschoenen. Het is riskant zulke nieuwe technologie te gebruiken in iets belangrijks als een paspoort.

cire @VisionMaster • 7 augustus 2006 19:26

contactless paspoorten gebruiken smart card technologie die zeker NIET in de kinderschoenen staat.

Frankrijk heeft al smart card betaalkaarten sinds 1992.

En Visa heeft in Azie al 43 miljoen kaarten met chip uitgegeven.

Natuurlijk zijn 'contact' kaarten niet exact hetzelfde als 'contactless', maar de beveiliging hangt hier (voor het grootste deel) niet vanaf.

DeArmeStudent 7 augustus 2006 12:41

En hoeveel biometrische data wordt er opgeslagen in het nieuwe paspoort? DNA? zeker nog niet, een digitale gescande foto? ... Daarbij zijn er heel veel mensen die wel een paspoort hebben, maar zelf zelden of nooit reizen. Als er een cloonpaspoort van zo iemand bestaat waarop wel gereist wordt, zal dit niet zo snel opvallen.
@robinm hierboven:
Dat is juist het punt! als met een gekloond paspoort de gegevens gechecked worden op de centrale database, dan blijken de chip en de database dezelfde info te bevatten en zal dus alleen de beoordeling van de douanebeambte van de overeenkomst van de opgeslagen gegevens met de persoon die voor hem staan de controle zijn, en deze controle is zeker niet waterdicht...

Chicooo @DeArmeStudent • 7 augustus 2006 13:22

Dat is juist het punt! als met een gekloond paspoort de gegevens gechecked worden op de centrale database, dan blijken de chip en de database dezelfde info te bevatten en zal dus alleen de beoordeling van de douanebeambte van de overeenkomst van de opgeslagen gegevens met de persoon die voor hem staan de controle zijn, en deze controle is zeker niet waterdicht

Dit klopt niet helemaal. Zowel de chip als de centrale database bevatten de biometrische kenmerken van de eigenaar. Als je dus de chip 1 op 1 kloont dan zullen de biometrische gegevens op het paspoort niet overeenkomen met die van de persoon met het gekloonde paspoort. Als je ook de chip aanpast komen de gegevens niet meer overeen met die in de centrale database.
Je zult dus zowel de gegevens op de chip als die in de centrale database moeten hacken.
Of je moet natuurlijk je eigen biometrische gegevens gaan aanpassen.

DeArmeStudent @Chicooo • 7 augustus 2006 13:27

Volgens mij zeg je precies hetzelfde als ik

miw @Chicooo • 8 augustus 2006 12:21

Het centrale probleem is dat die RFID chip op afstand uit te lezen is. Je kan dus een valide copie maken, waardoor de electronische check alle lichten op groen zet.
De veiligheid van het miljarden verslindende project komt dus weer neer op een beambte die duizenden paspoorten per uur moet beoordelen op de zichtbare kenmerken. Dit is een vergelijkbare veiligheid als we hadden met ouderwetse paspoorten.
Voor copieerbare met een computer leesbare opslag van data in een paspoort, bestaan veel goedkopere alternatieven (bar-codes, matrix codes).
Dit is dus weer een mega verspilling van belasting gelden.

TheSiemNL 7 augustus 2006 12:36

Ze zouden een pincode moeten koppelen aan het paspoort. Maar ja, ook dat kan gekraakt worden. Er zal nooit een hele veilige manier komen.

needless to say @TheSiemNL • 7 augustus 2006 12:41

In België heb je een pincode.

Nuja, je blijft met dezelfde problemen als ervoor. De chip kan 1-1 gekopiëerd worden, de identiteitskaart zelf niet. Net hetzelfde als met de oude identiteitskaarten. Men kon wel proberen ze te kopiëren, maar 100% lukte dat nooit. Gewoon de pas aandachtig bekijken.

Trouwens, ik dacht dat je foto ook op die chip zat? Gewoon even controleren of die overeenstemt met de foto die op de pas zelf afgedrukt staat. (Heel mijn comementaar is uiteraard gebaseerd op de Belgische electronische identiteitskaart)

VisionMaster @needless to say • 7 augustus 2006 15:02

Op een RFID chip kan nooit zoveel staat. Al helemaal niet een sterk gecomprimeerd GIF-je of jpeg-je. Misschien dat een chesum is verwerkt in de codering van het nummer, maar dat is niet zo slim. Dat kan alsnog net zo eenvoudig worden gekopieerd.

* VisionMaster is benieuwd welke info er allemaal op zo'n chip wel/niet kan staan.

cire @VisionMaster • 7 augustus 2006 19:13

contactless paspoorten zijn gebaseerd op smart card technologie. In 2004 had Samsung al een smardcard die 512 KB (ja, bytes) kon opslaan. Dus daar kan best een JPG pasfototje op.

Chatslet @VisionMaster • 7 augustus 2006 19:22

512 kilobit dat is wat anders

needless to say @VisionMaster • 7 augustus 2006 19:29

Ik weet niet hoe het bij jullie is, maar onze identiteitskaarten zijn niet RFID. Je moet ze in een kaartlezer steken.

quadsimodo 7 augustus 2006 13:09

Nou en? Biometrische identificatie is toch niet om terroristen te vangen?

Biometrische identificatie en RFID chips worden ingevoerd om BURGERS te controleren!

En dan hebben we het niet eens over trajectcontrole (kenteken opgeslagen), camera's op straat enz.
Voor iedereen die nog niet weet hoe laat het is:
http://www.mediablackout.nl/
http://video.google.com/v...Orwell+Rolls+in+His+Grave
http://www.mediablackout.nl/Rules.php

Ik schreef het al eerder (zaterdag bijvoorbeeld): als al die controle, paspoorten, email en internet, werkelijk alleen maar tegen kinderporno en terrorisme bedoeld zijn, WAAROM zit die mr. Tonino, Officier van Justitie, dan niet in de donkerste kerker van Scheveningen? Samen met Sjors Bos en zijn maatjes?

Nee, ik neem deze week nog een nieuw paspoort (vanaf 26 augustus zijn de nieuwe types er), ben ik de komende 5 jaar tenminste verschoond van dit soort Orwelliaanse snufjes.

In de VS wil men in bepaalde kringen dat alle immigranten en gastarbeiders in de toekomst RFID tags gaan dragen (hm, waar doet me dat toch aan denken?).
http://uk.theinquirer.net/?article=32111
Nou ja, misschien gaat die bom dan bij hen, omdat ze niet de Amerikaanse nationaliteit hebben, NIET af:

nieuws: RFID-paspoort laat bom afgaan

Aardig trouwens dat de CCC in Duitsland al 2 jaar geleden heeft gedemonstreerd, ook aan de betreffende parlementariërs, hoe ze in 10 minuutjes een vingerafdruk namaken.
http://www.ccc.de/biometr..._kopieren.xml?language=en
Verrassend simpel!

Ondanks die demonstratie wilde de overheid hoe dan ook die vingerafdruk in het paspoort. Duitsland verdient vet aan die nieuwe paspoorten, het schept daar werkgelegenheid, maar in Nederland is dat geen goede verklaring voor waarom onze parlementsleden massaal ja-knikken. Voor het eerst sinds de Nazitijd MOET elke Nederlander weer een vingerafdruk in zijn paspoort moet hebben.

off-topic:
[Komt dit allemaal omdat Sjors Bos en de zijnen uit een pro-Nazi familie (grootvader Bos was één van de twee Amerikaanse financiers/bankiers van de heer Hitler - hij beheerde Nazikapitaal, tot 1952!!

) afkomstig zijn?

)

PS als we allemaal nu op CCC-wijze dezelfde vingerafdruk gaan gebruiken houden ze er vast snel mee op. En zolang jij het stempeltje zelf in bezit hebt kun je naar eer en geweten zeggen dat het JOUW vingerafdruk is!

edit: linkjes, meer linkjes & PS toegevoegd

Verwijderd @quadsimodo • 7 augustus 2006 14:19

je kan het ook een tikkie overdrijven he

Verwijderd 7 augustus 2006 13:11

hoe het in nederland juist gaat weet ik niet, maar in belgie is de hele idee achter een e-IDcard nu juist dat sommige data, zoals je adres(!) en dergelijke niet meer op de kaart staat, maar alleen op de chip. Dit heeft als voordeel dat je niet elke keer van IDcard moet veranderen als je verhuist, of een kind krijgt, trouwt, enz...
de data op die chip is dus helemaal niet one-time-programmable, maar kan gewijzigd worden.

miw @Verwijderd • 8 augustus 2006 12:26

[off topic]
Juist dat e-ID gebeuren is vreselijk eng. Het is enorm interessant voor identiteitsdieven. Maar ga gerust slapen, brave burgers, de overheid zegt dat het allemaal wel veilig is. Dat kunnen ze ook makkelijk zeggen omdat alle risico's van identiteitsdiefstal bij de burger ligt!
[/off topic]

Verwijderd 7 augustus 2006 13:52

ja handig strax een grote database,.. als die plat ligt.... bij de controles... sorry meneer/mevrouw storing niemand ermeer in of uit

TweakMij 7 augustus 2006 15:03

Om welke persoonlijke gegevens in het nieuwe paspoort het gaat staat hier:
http://www.minbzk.nl/pers...richten/paspoort_met_chip

Welke soorten gegevens er later nog bijkomen, staat er NIET bij.

puchelaar 7 augustus 2006 15:13

Al wie nog een NL paspoort zonder zo'n chippie wil hebben zal dus snel moeten zijn; 26 augustus gaan de maximale tarieven met € 8,- omhoog vanwege deze maatregel...

Of dat inhoudt dat dat ook de uiterste datum is dat je een 'oud' paspoort aan kunt vragen staat er niet bij.

Verwijderd 7 augustus 2006 12:37

we weten nu tenminste waar bin landen ongeveer moet zijn, nog 1 jaar en hij mag zn paspoort vernieuwen.

kan niet w88 op mn 1 miljoen $ tip te incasseren

Verwijderd @Verwijderd • 7 augustus 2006 12:42

Hm wat ik vreemd vind, is dat dit paspoort geldig is van 97 tot 2007 terwijl onze paspoorten maar 5 jaar geldig zijn.
Conclusie: het is vals :-)

Verwijderd @Verwijderd • 7 augustus 2006 13:01

Een Europese ID-kaart was toch 5 jaar, paspoort 10 jaar.

mschol @Verwijderd • 7 augustus 2006 15:32

helaas
paspoort 5 jaar ID kaart heb ik geen idee van...

Verwijderd @Verwijderd • 7 augustus 2006 13:05

Behalve dat is dit een zeer oud model, en die hadden helemaal geen chip.
En is de computer readable data (onderste twee regels) niet correct.
En dan is de foto nog eens niet correct, hoofddeksels mochten toen ook niet.

CyberArt @Verwijderd • 7 augustus 2006 13:35

En Haulerwijk ligt in Friesland

Verwijderd 8 augustus 2006 12:00

Op die conclusie valt evenwel wat af te dingen. Omdat de biometrische informatie in een centrale database is opgeslagen, zou er een belletje moeten gaan rinkelen bij de autoriteiten indien er een e-pas met gewijzigde informatie door de paspoortcontrole gaat

En wat als die centrale database word plat gelegt

Dark Angel 58 @Verwijderd • 8 augustus 2006 17:47

dan moet politie iedereen arresteren

een zware klus voor de politie

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (55)

Sorteer op:

Weergave: