image

Nederlandse tool kloont paspoort chip

woensdag 24 december 2008, 13:53 door Redactie, 11 reacties

De Nederlandse beveiligingonderzoeker Jeroen van Beek, die eerder al aantoonde dat het elektronische paspoort niet goed is beveiligd, heeft nu een programma ontwikkeld waarmee de inhoud van de chip is te klonen. eCL0WN is een ePassport tool voor Nokia NFC telefoons en laat gebruikers de inhoud van de chip lezen en klonen.

Op dit moment is het nog niet mogelijk om de JPEG-2000 afbeeldingen in het Duitse en Nederlandse paspoort te bekijken, Van Beek hoopt deze functionaliteit in de toekomst toe te voegen. De software is getest met de Nokia 6131 NFC en Nokia 6212 NFC telefoons en leest BAC-beveiligde ePassport bestanden EF.COM, EF.SOD, EF.DG1 en EF.DG2. Verder verwijdert de tool Active Authentication (AA) en Extended Access Control (EAC) gerelateerde bestanden, waardoor deze beveiliging bij bepaalde systemen is te omzeilen. Meer over het onderzoek van Van Beek is op deze pagina te vinden.

Reacties (11)
24-12-2008, 14:40 door Anoniem
Let wel dat dit programma niet in staat is om een Nederlands paspoort te clonen. Of om specifieker te zijn; dit programma is niet in staat om het Active Authentication mechanisme te omzeilen (wat men onder andere terug vind in het Nederlands Paspoort).
24-12-2008, 15:44 door Anoniem
En wat doen ze; ze zetten er nog meer biometrische gegevens op (met dezelfde beveiliging).

Wat was er toch mis met het oude paspoort, zonder RFID chip, dat we deze technologische vooruitgang moeten ondergaan?
24-12-2008, 16:12 door Anoniem
Door AnoniemLet wel dat dit programma niet in staat is om een Nederlands paspoort te clonen. Of om specifieker te zijn; dit programma is niet in staat om het Active Authentication mechanisme te omzeilen (wat men onder andere terug vind in het Nederlands Paspoort).

Het programma verwijdert de verwijzing naar Active Autentication (AA) uit de onbeveiligde index. Of AA te omzeilen is is afhankelijk van de kwaliteit van de inspectiesystemen. De huidige Nederlanse self scans controleren *niets* (dus ook niet AA), de referentiesoftware Golden Reader Tool (aanbevolen door ICAO, de opsteller van de chipstandaard) is ook te misleiden.

BZK zegt: "De grenscontrole in Nederland gebruikt een inspectiesysteem (aan de balie) waarmee zowel "Active Authentication" als de elektronische handtekening over de gegevens in de chip gecontroleerd wordt. Derhalve zal een kloon van de chip in de Nederlandse reisdocumenten worden gedetecteerd." (zie http://www.minbzk.nl/actueel/kamerstukken/115017/antwoorden-op_e). Resultaten van onafhankelijke toetsing kan ik niet vinden. De software is ook niet publiek beschikbaar waardoor het zelf toesten ook niet mogelijk is. 't Statement van BZK is i.i.g. dat de niet te toetsen Nederlandse software beter is dan Golden Reader Tool van de BSI, de Duiste AIVD.
24-12-2008, 17:48 door Anoniem
het uit kunnen lezen van een paspoort op afstand lijkt mij zonder meer schending van de privacy rechten en zou (met de nadruk op zou) door de rechter dus verboden moeten worden. Ik bedoel via een nokia telefoon uitlezen is wel erg extreem. En dan heb ik het dus niet eens over het aanpassen of klonen.
24-12-2008, 21:19 door Anoniem
@Anoniem 17:48

Let wel dat het uitlezen van een paspoort alleen mogelijk is indien paspoortnummer, geboortedatum en verloopdatum bekend (of te raden) zijn: dat zijn namelijk de variabelen in het wachtwoord dat nodig is om het paspoort op afstand te kunnen uitlezen. Tenzij je de Machine Readable Zone van je paspoort op je voorhoofd laat tatoëren, heeft een willekeurige uitlezer waarschijnlijk te weinig idee van deze variabelen om ze te kunnen raden. Zelfs al zou het met aanvullende antenne's en apparaatjes mogelijk zijn om een paspoort op tientallen meters af te lezen, van J. Random uitlezer heb je waarschijnlijk weinig te vrezen. Wel interessant is het als één of ander overheidsorgaan besluit tot gezichtsherkenning op publieke camerabeelden en die beelden matcht tegen (pas)foto's in een nationale paspoortdatabase - in dat geval dan zou uitlezen-op-afstand van het paspoort extra zekerheid kunnen geven over het vermoeden van identiteit dat gebaseerd was op de gezichtsherkenning. Zolang nog niet bij wet is geregeld dat burgers *op afstand* identificeerbaar moeten zijn kun je met een aluminiumfolie-hoesje om het paspoort of een RFID Guardian wat tegemoet komen aan je privacybehoefte :)
25-12-2008, 13:22 door Anoniem
Door Anoniemhet uit kunnen lezen van een paspoort op afstand lijkt mij zonder meer schending van de privacy rechten en zou (met de nadruk op zou) door de rechter dus verboden moeten worden. Ik bedoel via een nokia telefoon uitlezen is wel erg extreem. En dan heb ik het dus niet eens over het aanpassen of klonen.

Het probleem is dat alleen de brave burger zich iets van verboden aantrekt.
Het blijft mogelijk om je paspoort te lezen.
Als ze het nou eens verbieden om dit soort dingen te onderzoeken of te proberen...(sarcastisch!)
Net zoals "Ik hoef mijn achterdeur niet te sluiten, want inbreken/insluipen/diefstal is verboden, en biedt daardoor al voldoende bescherming."
Maar het blijft een leuke sport.
25-12-2008, 13:34 door Anoniem
Zolang nog niet bij wet is geregeld dat burgers *op afstand* identificeerbaar moeten zijn kun je met een aluminiumfolie-hoesje om het paspoort of een RFID Guardian wat tegemoet komen aan je privacybehoefte :)

Of, nog simpeler: het paspoort even in een magnetronoven leggen. Dan is het ook niet meer van een afstand uit te lezen.
25-12-2008, 13:59 door Anoniem
Door Anoniem
Het programma verwijdert de verwijzing naar Active Autentication (AA) uit de onbeveiligde index. Of AA te omzeilen is is afhankelijk van de kwaliteit van de inspectiesystemen. De huidige Nederlanse self scans controleren *niets* (dus ook niet AA), de referentiesoftware Golden Reader Tool (aanbevolen door ICAO, de opsteller van de chipstandaard) is ook te misleiden.[/quote]
Dan gebruik je toch een paspoort uit een land dat geen active authentication gebruikt (VS, VK, Duitsland, Frankrijk, etc.) ??
25-12-2008, 20:59 door Anoniem
Door Anoniem@Anoniem 17:48

Let wel dat het uitlezen van een paspoort alleen mogelijk is indien paspoortnummer, geboortedatum en verloopdatum bekend (of te raden) zijn: dat zijn namelijk de variabelen in het wachtwoord dat nodig is om het paspoort op afstand te kunnen uitlezen.

Het is al lange tijd bekend dat die gegevens niet onafhankelijk van elkaar zijn en relatief gemakkelijk te kraken. Ik heb dan ook al een jaar of 2 geleden (denk ik) een lezing met demonstratie gezien waarbij de paspoortfoto in de RFID van een willekeurige vrjiwilliger uit de zaal werd uitgelezen en getoond aan iedereen.
01-01-2009, 18:53 door Anoniem
Door Anoniem
Door Anoniem@Anoniem 17:48

Let wel dat het uitlezen van een paspoort alleen mogelijk is indien paspoortnummer, geboortedatum en verloopdatum bekend (of te raden) zijn: dat zijn namelijk de variabelen in het wachtwoord dat nodig is om het paspoort op afstand te kunnen uitlezen.

Het is al lange tijd bekend dat die gegevens niet onafhankelijk van elkaar zijn en relatief gemakkelijk te kraken. Ik heb dan ook al een jaar of 2 geleden (denk ik) een lezing met demonstratie gezien waarbij de paspoortfoto in de RFID van een willekeurige vrjiwilliger uit de zaal werd uitgelezen en getoond aan iedereen.

Wellicht doel je op de ontdekking van Marc Witteman (Riscure) in 2005 (IIRC) dat paspoortnummers oplopend zijn, en dat er daardoor een verband ontstaat tussen het paspoortnummer en de geboortedatum. Voor zijn (slim gevonden) aanval, die hij presenteerde tijdens What The Hack in 2005, was nog altijd een geboortedatum nodig:

http://wiki.whatthehack.org/index.php/Attacks_on_Digital_Passports

Marc heeft MinBZK geadviseerd om de paspoortnummers voortaan te randomiseren: dat maakt de aanval (zoals in 2005 gepubliceerd) onmogelijk. MinBZK heeft dat advies overgenomen en alle paspoorten sinds augustus 2006 hebben zo'n gerandomiseerd paspoortnummer en zijn dus niet kwetsbaar voor de aanval (zoals in 2005 gepubliceerd).

Of doel je op iets anders?
28-10-2010, 17:37 door Anoniem
het uit kunnen lezen van een paspoort op afstand lijkt mij zonder meer schending van de privacy rechten en zou (met de nadruk op zou) door de rechter dus verboden moeten worden.
Dit is dus echt een domme opmerking.
Het moet verdomme verboden worden om dit soort dingen erop te zetten. Keer op keer blijkt de overheid incompetent en/of slordig te zijn. Met techniek denkt de overheid dat ze nog dommere mensen bij de douane kunnen neerzetten. Kunnen ze mensen die een boete open hebben staan van € 35,- een vlucht naar het buitenland ontzeggen. Het geluk is dan misschien dat er op diezelfde vlucht een terrorist wel toegelaten wordt die het hele vliegtuig opblaast.

Blijkbaar is er af en toe een oorlog voor nodig om het aantal domme schapen terug te brengen die zich dit soort gedrag van de overheid laat welgevallen..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.