Man, al in 2005 was duidelijk dat die chip gewoon te lezen was. Je had er toen een laptop voor nodig, ook om de sleutel te kraken. Nou, een smartphone heeft tegenwoordig een veelvoud aan snellere CPUs aan boord dan een laptop uit 2005. We wisten het toen al, was gewoon op de staatstelevee. Het maakt echt geen drol uit of de bekende "apps" de data "niet opslaan"; als je wel iets wil opslaan knutsel je je eigen "app". Daar helpt echt geen google of apple store tegen.

Het kost de kamer dus veertien jaar om wakker te worden. Die chip in je paspoort is draadloos en dus gewoon uitleesbaar.

Vandaar dus ook dat de Amerikaanse paspoorten een RFID-jasje in de kaft ingebouwd gekregen hebben. Daar wilden onze politici hier in de EU en ook in Nederland niet aan. Dank jullie wel, slaapkoppen in de tweede kamer.

Het gaat niet zozeer over het uitlezen van de chip,
ze willen van het analoge paspoort/id kaart af.

De smartphone of een slim device is de toekomstige
vervanger van alle ID-kaarten en je paspoort.

Zodat alle burgers in het digitale systeem terecht komen
en dat je als burger dan volledig te controleren bent op je gedrag.

Het streven naar de supermens = een keurige brave burger
zonder enige mogelijkheid tot protest,er word voor jou gedacht en er word voor jou beslist,
je word een individue.

Wij weten wie jij bent,en wie je moet zijn,wij bepalen hoe jij je leven moet leiden.

The Matrix

"Maarten Wegdam, ceo van ReadID, stelt dat de QR-code de kans op identiteitsdiefstal vergroot, omdat een QR-code eenvoudiger is aan te passen dan een chip."
Die chip is ook wel aan te passen. Hetzij door de chip zelf te overschrijven, hetzij door het ding door te branden en een alternatief chipje in het boekje te frommelen. Ziet eruit als zo'n stickertje op een verpakking of in een bibliotheekboek, al heb je een iets ingewikkelder model chipje nodig dan gebruikelijk in zo'n sticker. aliexpress kan ze ongetwijfeld per rol van 1000 leveren. Belangrijker: Die chip is van een afstandje, met gesloten boekje, dwars door je portemonnee of je broekzak heen te lezen.

Behalve als je de kaart cq het boekje eerst inpakt, natuurlijk, maar wie doet dat en vooral waarom dring je als overheid iets aan alle burgers vanaf 14 jaar verplicht op dat vervolgens niet alleen tegen diefstal maar ook tegen draadloos uitlezen moet worden beschermd? Zo maak je het de burger er niet makkelijker op. Terwijl het ding ook nog eens niet in het belang van de burger zelf is. Hmmm. Maargoed.

Dus je jat wat identiteiten, bijvoorbeeld in het OV in de spits, gewoon met je smartphone, en vervolgens maak je kaartjes na zonder chip maar met QR-code, lekker makkelijk. Lijkt me dat chip en QR-code saampjes het risico op identiteitsdiefstal meer vergroten dan elk afzonderlijk opgeteld, dus ze met elkaar op dat vlak vergelijken lijkt me niet zinvol. Raar dat die "CEO" dat dan wel probeert.

En waarom zit er een bedrijf achter dit hobby-"app"-ding? Wat is z'n verdienmodel? Ook dit aspect aan de hele zaak stinkt.

Yup, https://www.wired.com/2006/09/71521/

Het is dus al vanaf 2006 mogelijk de chip te copieren / clonen. Zelfs bommen laten afgaan op basis van een land is nog toffer.

Maar, laat ik de vraag anders stellen. Waarom kunnen wij de chip zelf uitlezen en zit daar geen encryptie op? Dat is volgens mij een veel belangrijker vraag dan zeuren over apps die iets kunnen uitlezen. Dat kan nl altijd!

Net zo als BSN niet meer human leesbaar op de paspoort maar via QR code. Nou nou wat een extra veiligheid. QR codes scannen gaat net zo snel als normaal lezen. Sterker nog, ik verwacht dat QR codes zelf van een grotere afstand zijn te scannen en normale letters. En met de error correctie in QR codes, is het ook nog eens makkelijker om op afstand uit te lezen.

Man, man man wat een overheid hebben we weer.

TheYOSH

Dat krijg je met al die Nederlandse politicussen die in amerika opgeleid worden,
het was balkenellende die het in heeft gevoerd, door amerika ingefluistert.
Stoppen kun je het niet wat hun in het geheim bespreken.

Het lijkt me dat juist met het oog op de mogelijkheid van uitlezen van de chip met NFC met een app door jan en alleman
het BSN daaruit verdwijnt,
zodat voor onbevoegden die deze chips stiekem uitlezen terwijl een ID-document in je broekzak zit er een essentieel element voor identiteitsfraude ontbreekt, namelijk het BSN.

Om het BSN te kunnen uitlezen moet ook de QR-code namelijk optisch toegankelijk zijn,
hetgeen bijv. het geval is als je je ID ter inzage hebt overhandigd ter inspectie bij daartoe bevoegd personeel.

Waarom QR-code? Omdat het eveneens een standaard machine readable code is
net zoals ook de informatie op de chip geautomatiseerd kan worden uitgelezen.
Wel moet alle machinerie bij banken etc. hier op worden aangepast wat weer het nodig kost
en wat uiteindelijk wel weer uit de zakken van belastingbetalers zal moeten komen.


(wat er verder allemaal nog ontbreekt aan de beveiliging wordt overgelaten aan de aluhoedjes)

Het probleem ligt niet in dat deze apps bestaan. De apps implementeren simpelweg een publiek beschikbare standaard. Lees en begrijp de standaard en een app als ReadID is binnen een week gebouwd.

Er zijn een aantal redenen dat het niet erg is dat dit soort apps beschikbaar zijn:

Je kunt een document niet zomaar uitlezen. Een statement dat je zomaar iedereens document kunt uitlezen is niet waar. Je zal namelijk eerst optische een code op het document moeten scannen dit is de MRZ. Deze MRZ is nodig om je te authenticeren tegen de chip in het document. Zonder optische toegang tot het document is het uitlezen van de chip dus niet mogelijk.

Het probleem ligt daarna in de uitleesprocedures op het moment dat een identiteit gevalideerd wordt. Alleen de data uit de chip zou niet genoeg mogen zijn om bijvoorbeeld een bankrekening te openen. De bank dient in dat geval ook te verifieren dat ze met een echt document te maken hebben.
Dit kan door de optische echtheidskenmerken te controleren of te controleren dat je met een echte chip te maken hebt op het moment van uitlezen. De chip bevat naast de getekende persoonsgegevens ook een private sleutel om een challenge response mee uit te voeren, deze protocollen heten Active Authentication (AA) of Chip Authentication (CA). Deze komen er grofweg op neer dat je:
1. Random data genereerd voor de activiteit waarvoor de identiteit van iemand geauthenticeerd dient te worden.
2. Deze random data naar de chip stuurd
3. De chip er met zijn private sleutel een handtekening over deze random data zet
4. De instantie die het document aan het authenticeren is de handtekening controleerd met de publieke sleutel
5. Daarnaast Passive Authentication uitvoert om te controleren dat de publieke sleutel die van chip ontvangen is. Door de uitgever van het document in de chip is gezet. Passive Authentication is de controle van de handtekening over de statisch data in het document. Deze handtekening is gezet met een Private Document Signing key die in een Hardware Security Module (HSM) bij de uitgever van het document zit.
6. Het certificaat van de Document Signing Key valideert. Inclusief de complete chain tot aan een CSCA certificaat van Nederland. Te vinden op https://www.npkd.nl/ of van een ander land te vinden in de ICAO PKD: https://www.icao.int/Security/FAL/PKD/Pages/default.aspx

Alleen indien je de chip dynamisch geauthenticeerd hebt via of AA of CA dan zou je er een transactie mee mogen doen. Het probleem zit dus voor een groot deel in de uitleesprocedures. Om identiteitsfraude tegen te gaan zouden deze uitleesprocedures dus verbeterd moeten worden. En indien deze niet juist gevolgd zijn zou een slachtoffer van ID fraude gecompenseerd moeten worden door de instantie die veroorzaakt heeft om het document degelijk te authenticeren.


Daarnaast is ReadID of eigenlijk Innovalor geen liefdadigheidsinstelling zoals gesuggereerd wordt. Het is gewoon een commercieel bedrijf wat de functionaliteit van hun app publiek beschikbaar gemaakt heeft als demo. Het business model is om voor bedrijven de documenten uit te lezen en dan ook de dynamische challenge response met het document te doen voor een bepaald doel. En nee ik werk niet bij ReadID/Innovalor.

De ambtenaren hebben ook weer iets gelezen...

Zoals eerder genoemd: oud nieuws. Uitlezen kon al met je Nokia (geen grap).

Daarnaast: als je niet wil dat derden de informatie kunnen lezen, dan moet je die informatie niet toegankelijk maken voor derden.

Situatie: de overheid voert iets in niet waterdicht is, daar maken derden gebruik van EN DAN MOETEN DE DERDE AANGEPAKT WORDEN. Tsjee, wat een niveau weer...

Deze volg ik even niet. De QR code bevat het BSN nummer, maar als je dat aanpast, kom je op een ander persoon uit. Dus waarom zou je de QR code willen aanpassen voor identiteitsdiefstal? Het is gewoon de machine leesbare versie van het nummer dat er ook nog in de voor mensen leesbare versie naast staat.

Gokje: ID-vervalsing op naam etc. van de persoon die bij de vervalste QR-code hoort?....

Je geeft prima aan waarom het weten van een bsn niet het wettelijke verplichte overtuiging bij de verwerker van de juiste persoon is. Als je de naam Rutte noemt is dat geen bewijs dat je Rutte bent. Daar ligt de faal en de toenemende mogelijkheden van identiteitsfraude.

Er zit WEL encryptie op! Daarom leest die app niet alleen de chip maar ook te tekst die op de kaart staat. Die tekst is
nodig om de encryptiekey te kunnen bepalen.
Je kunt dus (ook met die app) niet even een kaart scannen die iemand in broekzak of handtas heeft.

Als de encryptiemethode en de manier om de key te bepalen niet publiek waren, dan zou dat "geheim" wel heel goed
bewaard moeten worden om al die douaneposten die de info willen uitlezen te voorzien van deze info. Dan zou die
wellicht uiteindelijk ook wel in verkeerde handen komen, en dan zou er vast geen app mee gemaakt worden.

Dat je de 'publieke informatie' kan uitlezen, en eventueel simuleren op een andere chip, wil nog niet zeggen dat je de authenticity keys kan kopiëren. Deze zij volgens mij met Common Criterial EAL level 6+ beveiligd. Om een paspoort te klonen heb je daarom behoorlijk wat apparatuur, tijd en geld nodig.

Uhm. Dit was toch al bekend?

https://www.rijksoverheid.nl/onderwerpen/paspoort-en-identiteitskaart/vraag-en-antwoord/qa-fout-productieproces-paspoort-en-identiteitskaart: er wordt zelfs naar dit soort apps "gratis app BZK-ID" verwezen door de overheid.

Er hoeft helemaal niets 'gekraakt' te worden. De code's om de chip iut te lezen staan - as designed - op het pasoort zelf: je paspoortnummer, je geboortedatum en de vervaldatum. Wat je dan te zien krijgt is alle data die je ook kunt zien op het paspport zelf. Er staat echter nog veel meer op het paspoort (bv. de vingerafdrukken). Maar die krijg je niet te zien met je telefoon...

Kortom: niets nieuws onder de zon.

I.p.v. het gebruikelijke gemopper op de overheid door de IT-mopperkonten hier die altijd wel wat te mopperen hebben, zouden zij de koppen eens bij elkaar kunnen steken op bijv. dit forum door met hun kennis van zaken een landelijke stroming in gang te zetten die duidelijke motiveert naar de politiek dat er anno 2019 een Ministerie van IT moet komen omdat de kennis om een veilige nationale IT-structuur van de grond te krijgen nu veel te versnipperd, lees: ondoelmatig is.

Want: welk Ministerie is nu eindverantwoordelijk hiervoor? Zou best het Ministerie van Algemene Zaken kunnen zijn. Daarin ligt dan al besloten dat IT een 'eronderdonderdje' is voor de overheid want bij het Ministerie van Algemene zaken ligt allles gedumpt waarvoor de Senaat (Eerste Kamer) een seperaat Ministerie niet noodzakelijke acht. Of misschien is wel eindverantwoordelijk het Ministerie van Justitie? Laat die zich a.u.b. kunnen richten op handhaving van de openbare orde.

Kortom: ik weet niet waar de eindverantwoordelijkheid huist, maar wat ik als gevorderde computergebruiker wel weet is dat de noodzakelijke kennis nu veel te ondoelmatig wordt aangewend zo het doelmatige kennis is om tot een geolied landelijk IT beleid te komen, getuige de aanhoudende kritiek hier.

Nu blijft het maar modderen bij onze overheid aangaande IT omdat iedereen die het landelijk beleid stuurt wel iets zinnigs te melden meent te hebben i.p.v. beroepsmatig (IT) weet waar het naadje van de kous zit en Abraham de mosterd haalt.

Goed punt.

Wat heeft dit met het onder voorwaarden kunnen uitlezen van de paspoortchip te maken? Je paspoort moet altijd door anderen uitgelezen kunnen worden als je als eigenaar daar toestemming voor geeft. De meest gevoelige gegevens uit je paspoort krijg je pas als je en toegang tot het paspoort hebt EN bepaalde extra gegevens hebt opgegeven.

Dat jij niet weet wie verantwoordelijk is heeft weinig te maken met het ontbreken van een ministerie van it. Lees de staatscourant en de wet en je weet onder welke verantwoordelijkheid de beslissingen over paspoorten worden genomen. En om nog een stap verder te gaan, we zijn onderdeel van de EU, waar je er ook informatie over kan vinden hoe toegang tot paspoortgegevens geregeld is. Verder hoop ik dat je snapt dat de kamerleden/wetgevers die nu vragen stellen zelf verantwoordelijk zijn voor het ontstaan van de wetgeving en dus ook de wetgeving leveren die bepalend is of en hoe ministeries bestaansrecht heeft. Wie minder gemopper wil kan beter volksvertegenwoordigers kiezen die geen boter op hun hoofd hebben als ze beslissen over it of hoe de overheid daarbij te werk moet gaan. Met dit soort onvermogen gaat een ministerie van it geen oplossing zijn.

grappig,, een app is oei oei, maar een QR code kan gewoon gelezen worden met de camera en pleurt alle data op je scherm, en dat is wel ok...
gekke henkies bij de overheid.

Een beetje wijn bij de vis. Maar wat nu als al de computersystemen wegvallen? Dan heb je geen digitaal paspoort meer...
Lijkt mij niet handig, maar omdat we toch allemaal zo graag naar volledig digitaal willen i.v.m. terrorismebestrijding en BIG data. Ga je gang, doe maar! Ze komen vanzelf achter al de grote nadelen.. Privacy hebben we toch al niet meer.

Het genereren van een QR-code is vergt geen hardware.
Een chip maken is iets moeilijker. Hoewel;
11 jaar geleden had zelf Elvis Presley een chip in z'n paspoort.
https://www.hln.be/geld/economie/elvis-presley-checkt-in-op-luchthaven-schiphol~a61c87df/

Nah, we hebben wel eens vaker een paspoort-affaire gehad, daar gaat nu geen kabinet meer over struikelen.

Het euvel is meer dat allerlei departementen denken dat ze het wel zelf kunnen en dat ze toch wel echt uniek zijn. De wens om ICT centraal te regelen is er en is deels vormgegeven. Maar wordt nog ernstig dwarsgezeten door de departementen. Daarnaast heeft ook de overheid moeite om mensen aan te trekken.