Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties
Bron: Guardian

Op de DefCon-hackersconferentie heeft de Duitse veiligheidsexpert Lukas Grunwald gisteren een demonstratie gegeven van het klonen van de biometrische chip die gebruikt wordt op een reeks nieuwe paspoorten, waaronder passen die in de EU en de VS worden uitgegeven. De man zegt dat hij twee weken nodig had om uit te vissen hoe de klus geklaard kon worden; de meeste tijd daarvan ging op aan het spitten in publiek beschikbare informatie van de ICAO - de organisatie die de e-paspoortstandaard ontwikkelde. Volgens Grunwald ondermijnt zijn ontdekking de toevoeging van biometrische technologie aan paspoorten, omdat de informatie, die niet versleuteld is, naar een blanco chip gekopieerd kan worden, die op een vervalst paspoort kan worden gezet. Op die conclusie valt evenwel wat af te dingen. Omdat de biometrische informatie in een centrale database is opgeslagen, zou er een belletje moeten gaan rinkelen bij de autoriteiten indien er een e-pas met gewijzigde informatie door de paspoortcontrole gaat. Niettemin stelt Grunwald dat er niet goed over het ontwerp is nagedacht. 'Deze paspoorten zijn een enorme geldverspilling - ze vergroten de veiligheid in geen enkel opzicht', aldus Grunwald.

Artist impression biometrisch paspoort

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (55)

Helaas is de conclusie van deze expert niet overeenkomstig de realiteit. Vaak worden er wel fatsoenlijke ontwerpen ingediend, maar afgeschreven na een kosten-baten analyse. Uiteindelijk beslist een meneer in een kantoor dat het met minder ook wel kan.

Deze praktijk is trouwens niet alleen gelimiteerd tot de overheid.
Die 'fatsoenlijke' ontwerpen zijn natuurlijk nog niet blootgesteld aan de veiligheidsexperts. Pas als ze echt gemaakt worden kunnen de experts ze probreren te kraken/omzeilen etc. Dus zijn die ontwerpen dan wel zo veilig, hoe weet jij dat?
Andere ontwerpen werken bijv. niet met een RFID chip als enige plek waar iets in is opgeslagen, maar die hebben een secure-vault idee in een tweede chippie, die de RFID chip kan uitlezen. Echter helpt dat je nog niet zo, gezien je dan weer andere dingen moet gaan doen. Wellicht twee weg verkeer of een tijdklok inbouwen naast de RFID chip. Zodat je steeds op iedere tijdstip een unieke waarde hebt, die alleen maar can corresponderen met 1 bepaalde chip, dus met 1 bepaald iemand. Dat algoritme is op de server bekent en kan opgevraagd worden. (wellicht leg ik het onhandig uit, maar goed...).

Hier heb je iets meer voor nodig dan je nu al in handen kan hebben. Want het geheugen van een RFID chip moet je nu dus kunnen manipuleren (dat nummer) doormiddel van een andere chip. Kost allemaal extra ontwikkelingskosten en het idee is om die nieuwe technieken niet TE veel geld te laten kosten bij de implementatie. Want het is al duur genoeg... En tja, dan is de veiligheid dus ook maar simpel.

Mijn oma zegt dan altijd: "Voor een dubbeltje op de eerste rang zitten...."
Side note: het 'dubbeltje' is hier geld en tijd. Want met een expansie op die factoren maak je meer kansen om de techniek wel goed te gebruiken voor deze toepassing.

@sangdrax:
Helemaal mee eens!
Ook staan RFID chips nog in de kinderschoenen. Het is riskant zulke nieuwe technologie te gebruiken in iets belangrijks als een paspoort.
contactless paspoorten gebruiken smart card technologie die zeker NIET in de kinderschoenen staat.

Frankrijk heeft al smart card betaalkaarten sinds 1992.

En Visa heeft in Azie al 43 miljoen kaarten met chip uitgegeven.

Natuurlijk zijn 'contact' kaarten niet exact hetzelfde als 'contactless', maar de beveiliging hangt hier (voor het grootste deel) niet vanaf.
En hoeveel biometrische data wordt er opgeslagen in het nieuwe paspoort? DNA? zeker nog niet, een digitale gescande foto? ... Daarbij zijn er heel veel mensen die wel een paspoort hebben, maar zelf zelden of nooit reizen. Als er een cloonpaspoort van zo iemand bestaat waarop wel gereist wordt, zal dit niet zo snel opvallen.
@robinm hierboven:
Dat is juist het punt! als met een gekloond paspoort de gegevens gechecked worden op de centrale database, dan blijken de chip en de database dezelfde info te bevatten en zal dus alleen de beoordeling van de douanebeambte van de overeenkomst van de opgeslagen gegevens met de persoon die voor hem staan de controle zijn, en deze controle is zeker niet waterdicht...
Dat is juist het punt! als met een gekloond paspoort de gegevens gechecked worden op de centrale database, dan blijken de chip en de database dezelfde info te bevatten en zal dus alleen de beoordeling van de douanebeambte van de overeenkomst van de opgeslagen gegevens met de persoon die voor hem staan de controle zijn, en deze controle is zeker niet waterdicht

Dit klopt niet helemaal. Zowel de chip als de centrale database bevatten de biometrische kenmerken van de eigenaar. Als je dus de chip 1 op 1 kloont dan zullen de biometrische gegevens op het paspoort niet overeenkomen met die van de persoon met het gekloonde paspoort. Als je ook de chip aanpast komen de gegevens niet meer overeen met die in de centrale database.
Je zult dus zowel de gegevens op de chip als die in de centrale database moeten hacken.
Of je moet natuurlijk je eigen biometrische gegevens gaan aanpassen.
Het centrale probleem is dat die RFID chip op afstand uit te lezen is. Je kan dus een valide copie maken, waardoor de electronische check alle lichten op groen zet.
De veiligheid van het miljarden verslindende project komt dus weer neer op een beambte die duizenden paspoorten per uur moet beoordelen op de zichtbare kenmerken. Dit is een vergelijkbare veiligheid als we hadden met ouderwetse paspoorten.
Voor copieerbare met een computer leesbare opslag van data in een paspoort, bestaan veel goedkopere alternatieven (bar-codes, matrix codes).
Dit is dus weer een mega verspilling van belasting gelden.
Volgens mij zeg je precies hetzelfde als ik :Y)
Ze zouden een pincode moeten koppelen aan het paspoort. Maar ja, ook dat kan gekraakt worden. Er zal nooit een hele veilige manier komen.
In BelgiŽ heb je een pincode.

Nuja, je blijft met dezelfde problemen als ervoor. De chip kan 1-1 gekopiŽerd worden, de identiteitskaart zelf niet. Net hetzelfde als met de oude identiteitskaarten. Men kon wel proberen ze te kopiŽren, maar 100% lukte dat nooit. Gewoon de pas aandachtig bekijken.

Trouwens, ik dacht dat je foto ook op die chip zat? Gewoon even controleren of die overeenstemt met de foto die op de pas zelf afgedrukt staat. (Heel mijn comementaar is uiteraard gebaseerd op de Belgische electronische identiteitskaart)
Op een RFID chip kan nooit zoveel staat. Al helemaal niet een sterk gecomprimeerd GIF-je of jpeg-je. Misschien dat een chesum is verwerkt in de codering van het nummer, maar dat is niet zo slim. Dat kan alsnog net zo eenvoudig worden gekopieerd.

* VisionMaster is benieuwd welke info er allemaal op zo'n chip wel/niet kan staan.
contactless paspoorten zijn gebaseerd op smart card technologie. In 2004 had Samsung al een smardcard die 512 KB (ja, bytes) kon opslaan. Dus daar kan best een JPG pasfototje op.
512 kilobit dat is wat anders :z
Ik weet niet hoe het bij jullie is, maar onze identiteitskaarten zijn niet RFID. Je moet ze in een kaartlezer steken.
Nou en? Biometrische identificatie is toch niet om terroristen te vangen? :Y) Biometrische identificatie en RFID chips worden ingevoerd om BURGERS te controleren! |:( En dan hebben we het niet eens over trajectcontrole (kenteken opgeslagen), camera's op straat enz.
Voor iedereen die nog niet weet hoe laat het is:
http://www.mediablackout.nl/
http://video.google.com/v...Orwell+Rolls+in+His+Grave
http://www.mediablackout.nl/Rules.php

Ik schreef het al eerder (zaterdag bijvoorbeeld): als al die controle, paspoorten, email en internet, werkelijk alleen maar tegen kinderporno en terrorisme bedoeld zijn, WAAROM zit die mr. Tonino, Officier van Justitie, dan niet in de donkerste kerker van Scheveningen? Samen met Sjors Bos en zijn maatjes?

Nee, ik neem deze week nog een nieuw paspoort (vanaf 26 augustus zijn de nieuwe types er), ben ik de komende 5 jaar tenminste verschoond van dit soort Orwelliaanse snufjes. 8-)

In de VS wil men in bepaalde kringen dat alle immigranten en gastarbeiders in de toekomst RFID tags gaan dragen (hm, waar doet me dat toch aan denken?).
http://uk.theinquirer.net/?article=32111
Nou ja, misschien gaat die bom dan bij hen, omdat ze niet de Amerikaanse nationaliteit hebben, NIET af: }>
nieuws: RFID-paspoort laat bom afgaan

Aardig trouwens dat de CCC in Duitsland al 2 jaar geleden heeft gedemonstreerd, ook aan de betreffende parlementariŽrs, hoe ze in 10 minuutjes een vingerafdruk namaken.
http://www.ccc.de/biometr..._kopieren.xml?language=en
Verrassend simpel! }> Ondanks die demonstratie wilde de overheid hoe dan ook die vingerafdruk in het paspoort. Duitsland verdient vet aan die nieuwe paspoorten, het schept daar werkgelegenheid, maar in Nederland is dat geen goede verklaring voor waarom onze parlementsleden massaal ja-knikken. Voor het eerst sinds de Nazitijd MOET elke Nederlander weer een vingerafdruk in zijn paspoort moet hebben. :(

off-topic:
[Komt dit allemaal omdat Sjors Bos en de zijnen uit een pro-Nazi familie (grootvader Bos was ťťn van de twee Amerikaanse financiers/bankiers van de heer Hitler - hij beheerde Nazikapitaal, tot 1952!! :7) afkomstig zijn? :?)

PS als we allemaal nu op CCC-wijze dezelfde vingerafdruk gaan gebruiken houden ze er vast snel mee op. En zolang jij het stempeltje zelf in bezit hebt kun je naar eer en geweten zeggen dat het JOUW vingerafdruk is! ;)

edit: linkjes, meer linkjes & PS toegevoegd
je kan het ook een tikkie overdrijven he ;)
hoe het in nederland juist gaat weet ik niet, maar in belgie is de hele idee achter een e-IDcard nu juist dat sommige data, zoals je adres(!) en dergelijke niet meer op de kaart staat, maar alleen op de chip. Dit heeft als voordeel dat je niet elke keer van IDcard moet veranderen als je verhuist, of een kind krijgt, trouwt, enz...
de data op die chip is dus helemaal niet one-time-programmable, maar kan gewijzigd worden.
[off topic]
Juist dat e-ID gebeuren is vreselijk eng. Het is enorm interessant voor identiteitsdieven. Maar ga gerust slapen, brave burgers, de overheid zegt dat het allemaal wel veilig is. Dat kunnen ze ook makkelijk zeggen omdat alle risico's van identiteitsdiefstal bij de burger ligt!
[/off topic]
ja handig strax een grote database,.. als die plat ligt.... bij de controles... sorry meneer/mevrouw storing niemand ermeer in of uit ;)
Om welke persoonlijke gegevens in het nieuwe paspoort het gaat staat hier:
http://www.minbzk.nl/pers...richten/paspoort_met_chip

Welke soorten gegevens er later nog bijkomen, staat er NIET bij. ;)
Al wie nog een NL paspoort zonder zo'n chippie wil hebben zal dus snel moeten zijn; 26 augustus gaan de maximale tarieven met § 8,- omhoog vanwege deze maatregel...

Of dat inhoudt dat dat ook de uiterste datum is dat je een 'oud' paspoort aan kunt vragen staat er niet bij.
Perfecte veiligheid is toch niet mogelijk. Waarom zou dit niet werken. Zo moeten alleen zorgen voor een goed controlle apparaat die de gegevens vergelijkt met de centrale data
en als je dan toch bij een centrale database moet, waarom moet die persoonlijke data dan nog in het paspoort staan?
Dan kun je beter een fatsoenlijke checksum toepassen op de data die standaard al in een paspoort staat.
@TD-er: Zoals ook al in het artikel, dan moet de data op de pas overeenkomen met die van de database. dat is op zich een goede check.

Maar goed, even zorgen dat je een infiltrant hebt die in die database kan kijken, of beter nog die de database kan bewerken en je kan nog makkelijker je passport als echt doen overkomen.

Beamte: Hmmm lijkt echt, maar niet zeker, even een check doen, ow gegevens lijkt toch te kloppen met de database en weer verlaat een tevreden klant het pand.
het is mogelijk om de chip te kopiŽren, maar kan ik de biometrische gegevens ook aanpassen ???

Wat ben ik met een gekopieerde chip als het de vingerafdruk / oorafdruk / iris- of retina scan van iemand anders bevat ??
Je bekijkt het averechts.

Je moet niet iemand anders biometrische gegevens op jouw passport hebben, maar net joķw gegevens op iemand anders' passport (waardoor je dus fake identiteit hebt)
Nee je kunt de gegevens niet wijzigen, want er staat een digitale handtekening over. (Tenzij je een briljant wiskundige bent...)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True