Het nieuwe Britse paspoort, voorzien van een microchip die misbruik door terroristen en criminelen moet voorkomen, is ondanks beweringen van de overheid eenvoudig te kraken. Vorige week verloor diezelfde Britse overheid 3000 lege paspoorten, maar dat zou geen probleem moeten zijn omdat de kaart tegen identiteitsfraude beschermd is. Onderzoek van de Britse krant The Times laat nu zien dat het paspoort binnen enkele minuten te kraken is.

Door een beveiligingslek in de chip kan een aanvaller de informatie op de chip aanpassen, zonder dat dit wordt opgemerkt. De onderzoeker die de test uitvoerde plaatste op twee Britse paspoorten de foto's van Osama Bin Laden en een zelfmoordterrorist. Volgens het Britse Ministerie van Binnenlandse Zaken zijn aangepaste chips eenvoudig te herkennen, omdat de key codes niet overeenkomen met een internationale database. Slechts tien van de 45 landen die een e-paspoort gebruiken hebben zich voor het Public Key Directory systeem aangemeld en vijf gebruiken het ook daadwerkelijk. Pas als alle landen meedoen is het systeem volledig veilig, zo beweert The Times.

De Nederlandse beveiligingonderzoeker Jeroen van Beek wist met een publiekelijk beschikbaar programma, een kaartlezer van 47 euro en twee RFID-chips van 12 euro twee paspoorten te manipuleren en klonen. "We beweren niet dat terroristen dit al vandaag de dag bij alle paspoorten kunnen doen of dat dit ze morgen lukt. Maar het laat zien dat beveiliging op een publieke en open manier moet worden aangepakt," aldus Van Beek.

Identiteitsdiefstal

Door de problemen met het digitale paspoort lopen reizigers kans op identiteitsdiefstal als ze hun paspoort verstrekken bij hotels en autoverhuurders. Criminelen zouden de informatie eenvoudig kunnen klonen, waarbij de naam en geboortedatum op de nep-chip wordt geplaatst, maar met de foto, vingerafdruk en andere biometrische gegevens van de crimineel. De lege paspoorten die naar verschillende ambassades waren gestuurd, werden tijdens het transport gestolen en hebben een straatwaarde van zo'n 6 miljoen euro.

Nederlandse chips veiliger

Nederland geeft ook elektronische reisdocumenten (MRTD’s) uit. De chips bevatten altijd de persoonlijke gegevens die ook op het document zijn afgedrukt en een digitale foto. Afhankelijk van de uitgever (het land) bevat de chip optionele gegevens. Vanaf juni 2009 zullen de chips in reisdocumenten van EU-lidstaten ook een digitale representatie van vingerafdrukken bevatten. Nederlanders hoeven zich minder zorgen te maken, de paspoorten hier zijn namelijk voorzien van een optioneel mechanisme (z.g.n. Active Authentication) waardoor het klonen van Nederlandse chips niet zondermeer mogelijk is.

Volgens Nederlandse onderzoekers is er niets mis met het ontwerp, maar zijn de ontdekte zwakheden "het resultaat van het - al dan niet bewust –niet implementeren van alle beveiligingsmaatregelen." Dit probleem doet zich vooral voor in de gebruikte uitleesapparatuur. Iedere overheid is zelf verantwoordelijk voor de uitleesapparatuur en de eisen die daaraan gesteld worden. Voor zover bekend is er nog geen definitieve set van eisen beschikbaar voor de Nederlandse apparatuur.

"Om in de toekomst de veiligheid van het elektronische paspoort te kunnen garanderen is het noodzakelijk dat dergelijke belangrijke publieke systemen open geëvalueerd kunnen worden. In het verleden is onder meer met de stemcomputers en de OV-chipkaart gebleken dat gesloten systemen uiteindelijk niet goed beveiligd Hoewel een gedeelte van de paspoort specificatie beschikbaar is tegen betaling is de uitlees apparatuur niet open gedocumenteerd en geëvalueerd. Het is noodzakelijk dat niet alleen het document maar het gehele systeem kan worden bestudeerd," aldus de onderzoekers.

Update: reacte Os3.nl toegevoegd