Let wel dat dit programma niet in staat is om een Nederlands paspoort te clonen. Of om specifieker te zijn; dit programma is niet in staat om het Active Authentication mechanisme te omzeilen (wat men onder andere terug vind in het Nederlands Paspoort).

En wat doen ze; ze zetten er nog meer biometrische gegevens op (met dezelfde beveiliging).

Wat was er toch mis met het oude paspoort, zonder RFID chip, dat we deze technologische vooruitgang moeten ondergaan?

Het programma verwijdert de verwijzing naar Active Autentication (AA) uit de onbeveiligde index. Of AA te omzeilen is is afhankelijk van de kwaliteit van de inspectiesystemen. De huidige Nederlanse self scans controleren *niets* (dus ook niet AA), de referentiesoftware Golden Reader Tool (aanbevolen door ICAO, de opsteller van de chipstandaard) is ook te misleiden.

BZK zegt: "De grenscontrole in Nederland gebruikt een inspectiesysteem (aan de balie) waarmee zowel "Active Authentication" als de elektronische handtekening over de gegevens in de chip gecontroleerd wordt. Derhalve zal een kloon van de chip in de Nederlandse reisdocumenten worden gedetecteerd." (zie http://www.minbzk.nl/actueel/kamerstukken/115017/antwoorden-op_e). Resultaten van onafhankelijke toetsing kan ik niet vinden. De software is ook niet publiek beschikbaar waardoor het zelf toesten ook niet mogelijk is. 't Statement van BZK is i.i.g. dat de niet te toetsen Nederlandse software beter is dan Golden Reader Tool van de BSI, de Duiste AIVD.

het uit kunnen lezen van een paspoort op afstand lijkt mij zonder meer schending van de privacy rechten en zou (met de nadruk op zou) door de rechter dus verboden moeten worden. Ik bedoel via een nokia telefoon uitlezen is wel erg extreem. En dan heb ik het dus niet eens over het aanpassen of klonen.

@Anoniem 17:48

Let wel dat het uitlezen van een paspoort alleen mogelijk is indien paspoortnummer, geboortedatum en verloopdatum bekend (of te raden) zijn: dat zijn namelijk de variabelen in het wachtwoord dat nodig is om het paspoort op afstand te kunnen uitlezen. Tenzij je de Machine Readable Zone van je paspoort op je voorhoofd laat tatoëren, heeft een willekeurige uitlezer waarschijnlijk te weinig idee van deze variabelen om ze te kunnen raden. Zelfs al zou het met aanvullende antenne's en apparaatjes mogelijk zijn om een paspoort op tientallen meters af te lezen, van J. Random uitlezer heb je waarschijnlijk weinig te vrezen. Wel interessant is het als één of ander overheidsorgaan besluit tot gezichtsherkenning op publieke camerabeelden en die beelden matcht tegen (pas)foto's in een nationale paspoortdatabase - in dat geval dan zou uitlezen-op-afstand van het paspoort extra zekerheid kunnen geven over het vermoeden van identiteit dat gebaseerd was op de gezichtsherkenning. Zolang nog niet bij wet is geregeld dat burgers *op afstand* identificeerbaar moeten zijn kun je met een aluminiumfolie-hoesje om het paspoort of een RFID Guardian wat tegemoet komen aan je privacybehoefte :)

Het probleem is dat alleen de brave burger zich iets van verboden aantrekt.
Het blijft mogelijk om je paspoort te lezen.
Als ze het nou eens verbieden om dit soort dingen te onderzoeken of te proberen...(sarcastisch!)
Net zoals "Ik hoef mijn achterdeur niet te sluiten, want inbreken/insluipen/diefstal is verboden, en biedt daardoor al voldoende bescherming."
Maar het blijft een leuke sport.

Of, nog simpeler: het paspoort even in een magnetronoven leggen. Dan is het ook niet meer van een afstand uit te lezen.

Het is al lange tijd bekend dat die gegevens niet onafhankelijk van elkaar zijn en relatief gemakkelijk te kraken. Ik heb dan ook al een jaar of 2 geleden (denk ik) een lezing met demonstratie gezien waarbij de paspoortfoto in de RFID van een willekeurige vrjiwilliger uit de zaal werd uitgelezen en getoond aan iedereen.

Wellicht doel je op de ontdekking van Marc Witteman (Riscure) in 2005 (IIRC) dat paspoortnummers oplopend zijn, en dat er daardoor een verband ontstaat tussen het paspoortnummer en de geboortedatum. Voor zijn (slim gevonden) aanval, die hij presenteerde tijdens What The Hack in 2005, was nog altijd een geboortedatum nodig:

http://wiki.whatthehack.org/index.php/Attacks_on_Digital_Passports

Marc heeft MinBZK geadviseerd om de paspoortnummers voortaan te randomiseren: dat maakt de aanval (zoals in 2005 gepubliceerd) onmogelijk. MinBZK heeft dat advies overgenomen en alle paspoorten sinds augustus 2006 hebben zo'n gerandomiseerd paspoortnummer en zijn dus niet kwetsbaar voor de aanval (zoals in 2005 gepubliceerd).

Of doel je op iets anders?

Dit is dus echt een domme opmerking.
Het moet verdomme verboden worden om dit soort dingen erop te zetten. Keer op keer blijkt de overheid incompetent en/of slordig te zijn. Met techniek denkt de overheid dat ze nog dommere mensen bij de douane kunnen neerzetten. Kunnen ze mensen die een boete open hebben staan van € 35,- een vlucht naar het buitenland ontzeggen. Het geluk is dan misschien dat er op diezelfde vlucht een terrorist wel toegelaten wordt die het hele vliegtuig opblaast.

Blijkbaar is er af en toe een oorlog voor nodig om het aantal domme schapen terug te brengen die zich dit soort gedrag van de overheid laat welgevallen..