Britse identiteitskaart in 12 minuten gekraakt
De "onkraakbare" Britse identiteitskaart is binnen 12 minuten door een Nederlandse en Britse beveiligingsonderzoeker gekraakt en gekloond. Niet alleen konden Adam Laurie en Jeroen van Beek de kaart klonen, maar ook van valse gegevens voorzien. De Britse overheid ontkent echter dat de informatie op de kaart te vervalsen is. De identiteitskaart in kwestie is voor 51.000 buitenlanders die op dit moment in Groot-Brittannië werken of studeren. Het ontwerp zal echter ook voor de nationale ID-kaart gebruikt worden, die later dit jaar verschijnt. De kaart is voorzien van een microchip met de naam, geboortedatum van de houder, fysieke eigenschappen, vingerafdruk, immigratiestatus, recht op zorg en meer.
Volgens de Britse regering is de ID-kaart de oplossing voor vervalste identiteitsbewijzen. Laurie had alleen een Nokia mobiele telefoon en een laptop nodig om de gegevens op een lege kaart te kopiëren en te wijzigen, zonder dat de paslezers het verschil merken. Hoe de onderzoeker precies de beveiliging wist te kraken, maakt hij niet bekend. Dit zou namelijk misbruik door criminelen in de hand werken.
Wat betreft het wijzigen van de gegevens had Laurie de hulp van Van Beek nodig. De gegevens zijn via een sleutel beveiligd, wat aanpassingen moet voorkomen. Met hulp van de in Amsterdams wonende consultant en het werk van computerwetenschapper Peter Guttman, konden de onderzoekers de gegevens toch aanpassen, zonder dat die als vervalst zouden worden opgemerkt.
"Niet waar"
Een woordvoerder van het Ministerie van Binnenlandse Zaken noemt het verhaal onzin. "We zijn ervan overtuigd dat de persoonlijke gegevens op de chip niet zijn aan te passen en er is geen bewijs dat dit is gebeurd." De identiteitskaart bevat volgens de woordvoerder een aantal beveiligingsmaatregelen die extreem moeilijk zijn na te maken. Daarnaast passen de kaartlezers "chip authenticatie" toe, zodat gekopieerde kaarten herkend worden. "We hebben het volste vertrouwen dat de identiteitskaart één van de meest veilige is, die aan alle strenge internationale standaarden voldoet."
Zo gebruikt men een 4096-bit root certificaat en is de chip met een 256-bit elliptische curve encryptie beschermd. Voordat de chip de aanwezige informatie vrijgeeft, moet de kaartlezer een recent uitgegeven digitaal certificaat van de kaartuitgever laten zien. Het certificaat verzekert de identiteit van de eigenaar van de publieke sleutel waarmee de data versleuteld is. Volgens de woordvoerder zijn de digitale certificaten een dag tot een maand geldig.
Update: tekst aangepast
En dat een woordvoerder iets zegt. Tsja, daar wordt hij voor betaald. Als hem wordt opgedragen om te zeggen dat de zon in het westen opkomt zal hij dat nog doen ook. Wiens brood men eet...
"passen authenticatie toe"... Dus als je door de Douane gescand bent, en je wil even terug, heb je een digitale wachttijd voordat je weer naar binnen mag?
Dat gaat een hoop ellende opleveren met rokers op vliegvelden....
Hoe kan het paspoort nu weten welke dag het is? Die chip zal wel geen eigen klok + energiebron hebben, dus die kun je alles wijsmaken. Je kunt hem hooguit programmeren dat hij alleen mag antwoorden op certificaten die zeggen na een bepaalde datum (datum van uitgifte paspoort of zo).
Sinds wanneer mag je weer terug door de douane om te gaan roken......
Dit lijkt vooral een aanval te zijn op uitleesapparatuur, zoals de Golden Reader Tool, die de authenticiteitscheck niet goed uitvoert of het resultaat van deze check niet goed naar de gebruiker communiceert. Daarmee is de kaart niet gekraakt, lijkt me: de kloon is in principe door de (Britse) autoriteiten te herkennen. Of mis ik iets?
Even goed lezen. Ze hebben het over het Britse ministerie van Binnenlandse Zaken.
Het is wel goed dat ze assymmetrische encryptie gebruiken. De OV-Chipkaart gebruikt homebrew symmetrische encryptie als beveiliging; maar toch is het veilig volgens Tineke Huizinga!
anders geloof ik er geen fuk van.
anders geloof ik er geen fuk van.
Ik denk niet dat ze dat gaan vrijgeven.
Een ander probleem is het root certificaat, Laurie kan eigen checksums en een eigen certificaat gebruiken, omdat niet geverifieerd wordt of dit certificaat ook echt klopt.
Zie ook: http://news.zdnet.co.uk/security/0,1000000189,39709652,00.htm
http://www.samsimpson.com/blog/pgp-faq.html (werkt op het moment niet)
"Don't believe anything until it is officially denied."
Hoe de onderzoeker precies de beveiliging wist te kraken, maakt hij niet bekend. Dit zou namelijk misbruik door criminelen in de hand werken.
Dat slaat toch nergens op, als deze kaarten al massaal gebruikt worden (en nog veel massaler in de toekomst) moet toch juist nu bekend worden of het echt kan en hoe dat dan in zijn werk gaat zodat de kaarten ingetrokken kunnen worden en het systeem herzien kan worden.
Hoe de onderzoeker precies de beveiliging wist te kraken, maakt hij niet bekend. Dit zou namelijk misbruik door criminelen in de hand werken.
Dat slaat toch nergens op, als deze kaarten al massaal gebruikt worden (en nog veel massaler in de toekomst) moet toch juist nu bekend worden of het echt kan en hoe dat dan in zijn werk gaat zodat de kaarten ingetrokken kunnen worden en het systeem herzien kan worden.
Nix broodje aap. Al langer bekend ook en vaak demonstreerd. Bovendien zullen Jeroen en Adam echt geen lulkoek verspreiden, dat werkt niet echt in hun voordeel. Dit zijn beiden behoorlijk bekende researchers met een enorme trackrecord. Deze kraak is gewoon een variant op de paspoort hack van jeroen van vorig jaar. Nix nieuws eigenlijk.
Nix broodje aap. Al langer bekend ook en vaak demonstreerd. Bovendien zullen Jeroen en Adam echt geen lulkoek verspreiden, dat werkt niet echt in hun voordeel. Dit zijn beiden behoorlijk bekende researchers met een enorme trackrecord. Deze kraak is gewoon een variant op de paspoort hack van jeroen van vorig jaar. Nix nieuws eigenlijk.
Het gaat hier om dezelfde technologie als in het Nederlandse paspoort?
Al is het wel zo, dan blijf ik erbij dat ze het public moeten maken zodat deze gestoorde trend een halt kan worden toegeroepen.
Ze willen misbruik door criminelen niet in de hand werken.. maar de criminelen weten wel dat het te kraken is, gaan we gewoon zitten wachten tot het overal misbruikt word en luisteren hoe de overheid al deze claims af doet als fabeltjes?
Nix broodje aap. Al langer bekend ook en vaak demonstreerd. Bovendien zullen Jeroen en Adam echt geen lulkoek verspreiden, dat werkt niet echt in hun voordeel. Dit zijn beiden behoorlijk bekende researchers met een enorme trackrecord. Deze kraak is gewoon een variant op de paspoort hack van jeroen van vorig jaar. Nix nieuws eigenlijk.
Het gaat hier om dezelfde technologie als in het Nederlandse paspoort?
Al is het wel zo, dan blijf ik erbij dat ze het public moeten maken zodat deze gestoorde trend een halt kan worden toegeroepen.
Ze willen misbruik door criminelen niet in de hand werken.. maar de criminelen weten wel dat het te kraken is, gaan we gewoon zitten wachten tot het overal misbruikt word en luisteren hoe de overheid al deze claims af doet als fabeltjes?
Het is een internationale standaard, daarom duikt het verhaal bij ieder land steeds weer op. De claim is een halve waarheid: zoals de eerste reageerder schrijft het is vergelijkbaar met het maken van een (slecht) kopietje. Daarmee kom je de grens ook niet over.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
