Matige publieke informatie

Kenniseconomie in werking. Uit de 'folder 2b or not 2b'

Openbare bronnen

Niet voor leken

No comment

Aanvragen paspoort

• (nog steeds) een pasfoto in te leveren die aan een aantal (nieuwe) voorwaarden moet voldoen (bijvoorbeeld 'niet lachen'). De praktijkproef 2B wees namelijk uit dat het (ter plekke) laten schieten van foto's door ambtenaren geen geweldige resultaten opleverde;
• als en wanneer tevens de vingerafdrukken worden opgenomen in het paspoort, zal de aanvrager (nu wel ter plekke) gedurende zo'n 20 seconden telkens een wijsvingers in een lezer moeten plaatsen, opdat de vingerscan gemaakt kan worden. (Babies tot 8 maanden bleken het trouwens te vertikken om 20 seconden het knuistje stil te houden Van kinderen tot vier jaar bleken de scans niet van aanvaardbare kwaliteit, evenals die van mensen ouder dan 65.)

Gelaatsfoto en (later) vingerafdrukken worden op twee manieren op de chip geplaatst: als bestand (de foto bijv. in JPEG-formaat) en een telkens hiervan afgeleide cijferreeks, om later controle-mogelijkheden (van ontvangende douanes) te vergemakkelijken

Het paspoort zal tevens het bekende (blauwe) datablad bevatten, waarop (een aantal van) de totaal beschikbare gegevens van de chip weer als leesbare data staan vermeld (zoals naam, geboortedatum, et cetera. 'Lengte' schijnt trouwens als kenmerk te zijn vervallen).

Controle paspoort

Caveat Photoshopper

Terzijde: wat is er gebeurd met 'iris-controle'?

Datastructuur

Nederlands subset

Volgens het document 'Factsheet Biometrie' uit april 2005 van het MinBzk zal het Nederlandse paspoort de volgende velden uit het bovenstaand schema vullen(V=verplicht, O =Optioneel) :

• Naam (voornamen en achternaam) [V]
• Paspoortnummer [V]
• Nationaliteit [V]
• Geboortedatum [V]
• Geslacht [V]
• Datum einde geldigheid paspoort[V]
• Sofi-nummer [O]
• Foto gezicht [V] (direct, per augustus 2006)
• Vingerafdrukken [O] van twee vingers (bij voorkeur wijsvinger L en R). Optioneel volgens ICAO-specificatie, verplicht volgens spec. EC, Nederland voegt deze later dan augustus 2006 toe (bron: Brief Pechtold aan Tweede Kamer , pag. 4).

Zoals te zien in het schema, voorziet de ICAO-specificatie 1.7 in het vastleggen van veel meer informatie dan blijkbaar door Nederland wordt aangeleverd. Zo is er ruimte gereserveerd voor uw adres, telefoonnummer en beroep, een 'Savenvatting persoon', 'Informatie Bewaring/Hechtenis', 'Waarnemingen', 'Belasting/Uitreis voorwaarden' en 'Optionele details' (vertaling van mij). Volgens de informatie uit het 'Factsheet Biometrie' zouden deze velden dus niet gevuld worden met gegevens, net zomin als de velden voor 'Te waarschuwen personen' met hun 'Details' (zie bovenstaand schema LDS 1.7).

Datatypen

De platte tekst en nummers zijn fixed length datatypen ('char' en 'num' , etc. ), allerlei opmerkingen en 'observations' zijn veelal charvar met een maximum van 99 bytes. Voor templates en blobs is meestal een charvar met een maximum van 99999 bytes gedefinieerd..

De 'templates' (een reeks biometrische kengetallen, afgeleid uit zowel de foto als de vingerafdruk) worden opgeslagen in de groepen 2 en 3, de bijbehorende originele digitale foto en originele digitale vingerafdrukken (als JPG/JPG2000 en ANSI/NIST-ITL 1-2000) in groepen 5 (Displayed portrait) en 6 (dat overal 'Reserved for further use' heet, maar op de een na laatste pagina (LDS 1.7, pag. 91) ineens omgedoopt blijkt tot 'Displayed finger(s)').

Het raadsel van de verdwenen handtekening

In de mededeling van het Minbzk omtrent welke informatie er op de chip wordt gezet (zie hierboven), ontbreekt echter iets. Immers, het is een impliciete eis dat alle informatie die met het oog leesbaar op het datablad staat, ook op de chip terecht moet komen. En sinds jaar en dag staat onze handtekening daarop. En laat er nu ook hiervoor ruimte in de datastructuur zijn gereserveerd (Data Group 7, Displayed signature or usual mark). Deze discrepantie heb ik (per email) als volgt voorgelegd aan het ministerie:

1: uit het FactSheet Biometrie blijkt welke gegevens in het NL-paspoort opgenomen
gaan worden. Dit zijn alle gegevens uit DG 1 en 'Personal Number' uit de optionele
DG 2, wat met SOFI-nummer gevuld gaat worden indien beschikbaar. Echter, in DG 7 is
er ruimte voor 'Displayed signature or usual mark'. Nu behoort 'handtekening' tot de
data op het datablad en alle data op het datablad moeten ook in de chip voor komen.
Echter, ik zie nergens vermeld dat de (gescande) handtekening ook daadwerkelijk wordt
opgeslagen. Is dat nu zo of niet?

Hierop ontving ik, na een aantal aansporingen, het volgende antwoord (juni 2005):

Het technische rapport van ICAO, “Development of a Logical Data Structure (LDS)” is
de leidraad voor de inrichting van de chip van het nieuwe reisdocument. De chip
wordt ingericht volgens de LDS. Dit geeft een aantal extra mogelijkheden ten
opzichte van de zogenaamde Machine Leesbare Zone (MRZ). Een van die mogelijkheden
betreft inderdaad (in datagroep 7 MRZ) de opslag van een afbeelding van de
handtekening van de houder van het reisdocument. Het ministerie van de BZK heeft
echter nog geen besluiten genomen over het opnemen van de handtekening.

Niets is zeker behalve ....

In ieder geval blijkt hieruit dat het helemaal nog niet vast staat welke gegevens er nu wel en niet op de chip komen, in weerwil van het gepubliceerde document.

Maar het wordt nog interessanter. In dezelfde email vroeg ik om expliciete bevestiging dat die andere, gevoelige, velden als 'Addres', 'Telephone number(s)', 'Profession', 'Personal Summary', 'Custody Information', 'Endorsements/Observations' en 'Details of person to notify' (de groepen 11, 12 en 16) niet gevuld zouden gaan worden. Het antwoord hierop luidde:

Ik kan niet garanderen dat de door u genoemde optionele velden uit DG2, 11, 12
en 16 worden gevuld, hierover heb ik nog geen besluit genomen.

De opmerkzame lezer heeft al geconstateerd dat het antwoord het tegenovergestelde behelst van wat ik vroeg, maar het moge toch niet als speculatief worden gezien als ik meen te kunnen opmerken dat het nog helemaal niet zeker is wat er over u aan (gevoelige) informatie op die chip komt, die vanaf 2006 bij een douanepost draadloos alles oplepelt en waarvan het oncontroleerbaar is of de ontvangende Staat die ook in een eigen database opslaat.

Controle van uw eigen informatie

Onafhankelijk van het feit wat er u nu wordt medegedeeld over wat er wel en niet op die chip gaat komen, zal menigeen dit toch zo nu en dan wel eens willen controleren. Wederom in dezelfde email vroeg ik daarom:

4: verleent de Staat de mogelijkheid dat de paspoorthouder zijn paspoort op gezette tijden kan
laten 'lezen' om te kijken wat er nou precies in staat (vooral als in versie 2.0 ook de
ontvangende staat data kan toevoegen) en hoe garandeert de Staat aan de houder dat zo'n overzicht volledig is?

De Europese Verordening (EG) Nr. 2252/2004 van de Raad van de 13 december 2004
bepaalt (artikel 4) dat de houder van een reisdocument het recht heeft de daarin
vermelde persoonsgegevens te verifiëren en zo nodig te verzoeken dat deze worden
gerectificeerd dan wel worden geschrapt. Nederland zal (bij de implementatie van de
verordening) aan deze bepaling gaan voldoen. Het ministerie van BZK onderzoekt op
dit moment de wijze waarop dat in praktische zin kan worden gerealiseerd.

Conclusie

Op de chip is ruimte voor, sinds jaar en dag op het paspoort aanwezige, data als naam, paspoortnummer, geldigheidsdatum, etc. Meteen vanaf augustus 2006 zal er een digitale foto van het gezicht bijkomen (inclusief template). 'Later' worden er aan de (dan uit te geven) paspoorten zeer waarschijnlijk twee vingerafdrukken toegevoegd.
Op de chip is ruimte voor veel meer informatie, die erg veel over de houder kan prijsgeven. Ondanks een reeds gepubliceerde, positieve opsomming (d.w.z. wat er WEL in komt), kan (of kon) men de negatieve variant (dus dit en dit komt er NIET in) niet bevestigen.
Ook van de, formeel verplichte, mogelijkheid om de burger te kunnen laten controleren wat er zoal aan gegevens over hem op die chip staan (en, later, door andere landen kunnen worden aangevuld) is praktisch nog niets bekend.

1. integriteit (controleren dat er met de data op de chip niet geknoeid is)
2. substitutie (controleren dat de chip echt bij het paspoort hoort waar het op geplakt zit);
3. compromittering (controleren dat de, volledig correcte, digitale handtekening die bij de hierboven genoemde controles wordt gebruikt, niet afkomstig is van een gestolen certificaat);
4. correlatie (controleren dat het paspoort bij de houder hoort (m.b.v. de biometrische kenmerken));
5. originaliteit: (controleren dat paspoort met chip echt door de uitgevende Staat is uitgegeven (door alle paspoortgegevens on-line te vergelijken met een internationale database van 'echt uitgegeven paspoorten'. Hierin is nog niet voorzien, maar daar wordt aan gewerkt, of in ieder geval over gedacht.)).

Mate van implementatie en controle

ad 1 en 2: Integriteit en substitutie

• de (Windows)-applicatie bij de douane leest m.b.v. een ontvanger draadloos (met een snelheid van ongeveer 10Kb/sec) een aantal blokken data uit de chip en berekent een hash-total van deze data (iedereen die wel eens de MD5-checksum van een bestand heeft berekend moet zich hier iets bij kunnen voorstellen).
• de digitale handtekening, waarmee het op identieke wijze afgeleide controlegetal is aangebracht en gesigneerd op de chip (bij uitgifte), wordt gecontroleerd door de Public Key van het land in kwestie op te halen uit de Public Key Directory.

• de chip in het paspoort niet is gesubstitueerd. Passieve controle baseert zich immers op louter data die uit de chip afkomstig zijn. De data op de chip kunnen na passieve controle integer blijken te zijn, maar dat zegt nog niets over de vraag of die chip wel bij dat paspoort hoort.
• een onderdeel van de data op de chip, het Document Security Object (DSO, dat de controlewaarden bevat), wel bij de chip hoort. Hiertoe wordt de chip op twee plekken (secure memory en in het DSO) voorzien van een private key resp. een hash. Opnieuw wordt de waarde berekend en als deze overeenkomen, hoort het DSO bij de chip.

ad 3: The Certificate Revocation List, controle op compromittering van het certificaat

ad 4: Biometrische kenmerken, controle op correlatie

ad 5: Originaliteit, de laatste stap

De zaak lijkt nu waterdicht: na de bovenstaande vier controles te hebben uitgevoerd, kan de ontvangende Staat er zeker van zijn dat het paspoort valide is en bij de houder hoort. Dat is niet waar.
Als we nog even teruggaan naar stap drie, dan zult u zich ongetwijfeld hebben afgevraagd 'Hoe stelt een Staat eigenlijk vast dat een certificaat gecompromitteerd is, zodat ze het op de Certificate Revocation List kan plaatsen?'.
En het antwoord daarop is: dat is helemaal niet zo makkelijk vast te stellen. Immers, wanneer iemand met zo'n vals paspoort bij een douane komt, dan komt het paspoort door alle controles heen. Nergens beginnen er belletjes te rinkelen of lichtjes te knipperen, want de chip is gewaarmerkt met het correcte certificaat. Dat kan dan weliswaar gestolen zijn, maar het is een exacte (digitale) kopie van het echte, net als dat een gekopieerde CD identiek is aan het origineel.

Wellicht dat een land er per ongeluk achter kan komen, doordat de dief (bijv. een corrupte systeembeheerder) er wellicht bijgelapt wordt door een kompaan. Maar de grensposten kunnen het met de vier bovenstaande controles nooit vaststellen.
Enfin, dit probleem is inherent aan dit systeem van 'black listing' (een lijst maken van 'foute' fenomenen): je moet het eerst maar zien te kunnen constateren. De enige uitweg hierin is dan ook om geen systeem te gebruiken dat gebaseerd is op 'black listing', maar op 'white listing': een volledige lijst van alle 'goede' fenomenen. Hier betekent dat: nationale databases van alle uitgegeven paspoorten en bijbehorende data, die on-line voor andere landen open staan, teneinde te kunnen controleren of het paspoort ook echt door die Staat is uitgegeven.

Nationale database met paspoortgegevens

Nogmaals wordt vermeld dat deze laatste stap nog niet mogelijk is: die nationale databases zijn er nog niet en er bestaat ook geen ICAO-specificatie voor communicatie. Toch wordt er wel aan gedacht, getuige bijvoorbeeld dit EU-document en dit BBC-artikel.

Update: volgens een artikel in de Volkskrant van 24 februari 2006 wordt er al gewerkt aan zo'n database. Volgens een brief van Pechtold is dat niet zo: er worden slechts voorbereidingen getroffen mocht de Kamer ermee akkoord gaan.

De ICAO-documentatie specificeert, wederom, een aantal in complexiteit oplopende beveiligingsmogelijkheden om de privacy van gegevens te kunnen garanderen, waaruit de uitgevende Staat weer een keuze kan maken welk niveau er toegepast wordt.

Verplichte, prescriptieve beveiliging

Geantecipeerde problemen m.b.t. privacy

Beveiligingen

Allereerst dient opgemerkt te worden dat de gebruikte chips volgens de ICAO-specificatie niet op een grotere afstand leesbaar zijn dan 10 cm. Echter, het lijkt erop dat deze beperking alleen opgeld doet als de zender zich aan de ICAO-specificatie houdt: mocht er iemand op het idee komen er meer milliwatts tegenaan te gooien (dus: een sterkere zender te bouwen dan de ICAO toestaat), dan wordt die afstand groter. Er is reeds een aantal artikelen gepubliceerd dat dit aantoont, zoals dit en dit artikel, waarin over '30 feet' wordt gesproken (zo'n 10 meter).

Enfin, afgezien van die twijfelachtige afstandsbeperking voorziet de ICAO-specificatie in drie niveaus van beveiliging, t.w.:

1: Geen beveiliging
Dit is minimum-specificatie (sic) van de ICAO. Alle volgende niveaus zijn immers optioneel. Chips op deze manier uitgerust kennen geen toegangscontrole (dus: elke zender/ontvanger is in staat de gegevens van de chip te plukken [skimming]), kennen geen encryptie van de communicatie [eavesdropping] en kennen geen encryptie van tenminste 1 deel van de data, t.w. vingerafdrukken. De ICAO-documentatie vermeldt bijvoorbeeld: "Everyone who has the appropriate equipment is able to read the chip contents of the MRTD, ..." .(TR-PKI, hfst. 2.2.4)

De Amerikaanse versie van het nieuwe paspoort bleek op deze manier (niet) beveiligd te zijn, wat tot een stroom van kritiek heeft geleid.
Op dit moment lijkt het erop dat de Amerikanen, net zoals de Europeanen (en dus Nederland) het eerstvolgende niveau zullen implementeren, namelijk:

2A: Basic Access Control: toegangscontrole
Dit niveau zou erin moeten voorzien dat zowel 'skimming' als 'eavesdropping' wordt vermeden. Dat gaat als volgt: de chip weigert gegevens prijs te geven voordat de zender/ontvanger heeft bewezen 'legaal' te zijn. Hiertoe dient deze laatste wederom een 'sleutel' aan te bieden aan de chip in het paspoort.
En waar staat deze sleutel? Op de MRZ (Machine Readable Zone) van het paspoort, volgens de ICAO-documentatie. Maar waar dan? Gelukkig zijn de Duitsers wat gründlicher in het verstrekken van informatie. Op de site van het Duitse ministerie van Binnenlandse Zaken vinden we:

"Die Sicherheit dieser Authentisierung und der nachfolgenden Verschlüsselung liegt im Wesent-lichen in der Stärke des Zugriffsschlüssels. Obwohl der Zugriffsschlüssel formal ein 112-Bit-Triple-DES-Schlüssel ist, liegt die Sicherheit des Verfahrens eher auf dem Niveau von normalem DES. Der Grund dafür liegt in der Art und Weise, wie der Zugriffsschlüssel aus der MRZ gebildet wird. Vereinfacht gesagt, berechnet sich dieser als Hash aus der Passnummer, dem Geburtsdatum des Inhabers und dem Ablaufdatum des Reisepasses."

Kortom, die sleutel is een hash, afgeleid uit paspoortnummer, geboortedatum en geldigheidsdatum. En hoe komt de zender/ontvanger aan een sleutel die alleen op die pagina staat? Door het paspoort door een OCR-lezer te halen, met de hand. Ook bestaat de mogelijkheid dat de douanier, die niet over zo'n lezer beschikt, de data 'overtikt' uit uw paspoort.

Nu begrijpt u waarom we in een eerder hoofdstuk schreven: "Van de reiziger vóór u worden de gegevens direct (en draadloos) uit z'n paspoort gelezen, maar u, een ingezetene van de EU, dient eerst uw paspoort te overhandigen, opdat die door een lezer gehaald kan worden."

De idee erachter is dat als iemand die data op die pagina kan lezen, u er wel in toegestemd zult hebben dat dat ook mocht (zoals bij de douane waar u om uw paspoort wordt gevraagd).

Nota bene
Wellicht welt de verontwaardiging u nu naar de keel, na het lezen van het bovenstaande: men verzint een hele complexe, draadloze infrastructuur, maar om het een beetje veilig te krijgen moet het paspoort met de hand door een OCR-lezer worden gehaald. Dan kun je net zo goed alle data op die manier lezen, ben je ook van het probleem van 'skimming' en 'eavesdropping' af.
Welnu, het zijn wederom de Duitsers die hier tenminste iets over opmerken (ibidem):

"Gründe für die Verwendung dieser Technologie anstelle einer herkömmlichen Chipkarte liegen vor allem in der Haltbarkeit, denn die Kontakte der Chipkarte sind nicht für einen 10-jährigen Betrieb ausgelegt. Die kontaktlose Chipkarte ist hingegen verschleißfrei. Ein weiterer nicht zu vernachlässigender Grund für die Verwendung von RF-Chips liegt im Formfaktor: Das Passbuch passt einfach nicht in die herkömmlichen Chipkartenleser."

Het Nederlandse paspoort is en blijft volgens mij slechts vijf jaar geldig. Laten we nou eens vijf keer per jaar op vakantie gaan. Dat is 5x5x2=50. Vaste chip-technologie (zoals op uw pinpas en credit card) is dus blijkbaar niet tegen 50 keer lezen bestand. En er zijn ook geen apparaten voorhanden die zo groot zijn dat er een paspoort in past. Daarom moet het een draadloze chip worden. Ik laat het oordeel over de kracht van deze argumenten (bij uitzondering) aan de lezer.

Duitse illustratie van Basic Access Control (bron: Digitale Sicherheitsmerkmale im ePass)

2B: Basic Access Control: versleutelde communicatie
Basic Access Control biedt naast de hierboven besproken 'toegangscontrole' tevens de mogelijkheid tot het opzetten van een versleutelde communicatie om de data vanuit de chip, draadloos, naar de ontvanger van de douanier te pompen. Deze encryptie zou sterk genoeg moeten zijn om ongeoorloofd meeluisteren, 'eavesdropping' te voorkomen. Echter, onlangs kwam het volgende bericht in het nieuws, waarin we lezen:

"De chip zendt bij het uitlezen via radiosignalen de gecodeerde persoonsgegevens uit. Die signalen kunnen worden opgevangen door mensen die in de buurt van de chiplezer staan. Binnen enkele uren kan de code gekraakt worden en de informatie gebruikt worden door criminelen."

Een interview met de ontdekker van deze 'hack', Marc Witteman, is hier te beluisteren. Ik waarschuw de lezer dat dit een typisch voorbeeld van een slecht interview is: zo zegt Witteman duidelijk dat de Nederlandse paspoortchip eigenlijk heel moeilijk gekopieerd kan worden i.v.m. Active Authentication, waarop de interviewer besluit met 'dan kun je dus op Schiphol een paspoortkopieershop beginnen' (o.i.d.). Luisteren en goed samenvatten is blijkbaar te veel gevraagd.

3: Extended Access Control
Het derde niveau van beveiliging voorziet in het versleutelen van de gegevens op de chip zelf. Alle gegevens? Nee, alleen de vingerafdrukken. Alle andere gegevens (naam, andere data, foto's, etc) staan en blijven onversleuteld op de chip staan. De ICAO-specificatie voorziet er niet eens in dat deze gegevens wel versleuteld kunnen worden.
De idee erachter is dat die gegevens niet versleuteld hoeven worden omdat die allemaal al leesbaar op het datablad staan, dus voor iedereen zichtbaar, dus die worden niet als privacy-gevoelig gezien (bron : TR-PKI, pag. 7).

Om die vingerafdrukken te beveiligen dient elke uitgevende staat bilaterale encryptie-overeenkomsten te sluiten met andere landen. De ICAO-specificatie voorziet er namelijk niet in.
Als en wanneer Nederland besluit in een latere fase de vingerafdrukken toe te voegen, dan KAN de Staat dus besluiten dit extra niveau van beveiliging op de vingerafdrukken te implementeren. Duitsland heeft al gezegd te wel te zullen doen.

Encryptie hier, encryptie daar

Samenvatting

Het Nederlandse paspoort zal het middelste (en, zolang vingerafdrukken nog niet geimplementeerd zijn, hoogst mogelijke) niveau van beveiliging kiezen (Basic Access Control) om twee problemen, 'skimming' en 'eavesdropping', tegen te gaan. BAC voorziet enerzijds in toegangscontrole en anderzijds in encryptie van de communicatie tussen chip en ontvanger. De data op de chip zelf zijn expliciet niet versleuteld en de specificatie voor alle opgenomen data groups (behalve vingerafdrukken) voorziet daar ook niet in.

Zowel de ICAO-specificatie als de Staten die hun implementatie dienovereenkomstig hebben ingericht verzekeren ons, dat de chip op louter 10 cm afstand gelezen kan worden en dan nog alleen door bevoegden, waarbij de gebruikte sterke encryptie de data-overdracht zou moeten beschermen.

Jammergenoeg lijkt een aantal publicaties van vorsers in een andere richting te wijzen: zowel de belofte van die afstand van 10 cm als die van de sterke beveiliging van de Basic Access Control lijken reeds weerlegd.

Het mag als een teleurstelling worden gezien dat het onlangs gepubliceerde evaluatierapport aan deze bevindingen van derden, die toch zoveel pennen aan het schrijven hebben gezet, voorbijgaat.

1: gezichtsherkenning en 'false positives'

Zoals al eerder betoogd, gaat Nederland waarschijnlijk kiezen voor het systeem dat de aanvrager van een paspoort zelf een foto mee moet nemen, die daarop wordt gescand en daarna in het paspoort wordt verwerkt. Tevens worden van deze pasfoto de biometrische data afgeleid.
Maar wat nu als iemand inderdaad z'n foto heeft bewerkt in Photoshop en on-line heeft laten afdrukken? De ambtenaar neemt deze foto in ontvangst en moet dan, voorzover mij is gebleken, met het blote oog beoordelen of die foto klopt. Weliswaar zal hem een aantal technische hulpmiddelen worden verstrekt om contrast, scherpte e.d. te laten meten, maar volgens mij niet een tweede camera, die een verse biometrische snaphot maakt en die vergelijkt met dezelfde data afgeleid uit de paspoortfoto, teneinde te bezien of er wel een correcte gelaatscontrole mogelijk is op basis van die foto.

Wat gebeurt er dan als de paspoorthouder met zijn pas bij de douane aankomt en het douane-systeem (ten ontechte) meent dat de gelaats-scans (die ter plekke genomen en die uit het paspoort) niet overeenkomen? Wat gaan douaniers doen als deze 'false positives' vaak voorkomen (die ze ook nog wel eens af blijken te geven bij niet-geretoucheerde foto's)? Gaan ze net zo reageren als wij allemaal op een auto-alarm: niks meer van aantrekken? Is hierop getest?

Het is al te makkelijk om te stellen 'dat iedereen z'n pasfoto dan maar door de vakman moet laten maken'. Blijkbaar is het mogelijk dit niet te doen, zonder kwade bijbedoelingen.

2: vingerafdrukken en fraude

Wellicht valt de douane in bovenstaand geval terug op het tweede biometrische kenmerk, de vingerafdrukken (die voorlopig nog niet in het paspoort zitten EN niet door elk land zullen worden geïmplementeerd).
Maar er is behoorlijk wat (overtuigende) informatie voorhanden die in op z'n minst de indruk wekt dat met vingerafdrukken een hoop kan worden gerommeld. Wat te denken van bijvoorbeeld deze, deze en deze bijdragen? Is hierop getest?

3: 'invloed van verschillende huidtinten'

In het 'Evaluatierapport Biometrieproef 2b or not 2b' wordt op pagina 20, in het hoofdstuk over de gelaats-scan, het volgende vermeld: 'Over invloed van verschillende huidtinten op de verificatie heeft de proef geen uitsluitsel geboden. Het aantal deelnemers aan de proef met verschillende huidtinten (1% donker en 7% getint) was daarvoor te gering.'

Blijkbaar vond Dhr. Pechtold dit niet relevant genoeg om in zijn brief aan de Tweede Kamer te melden. Klaarblijkelijk beschikt hij over informatie omtrent de distributie naar huidskleur van het fenomeen 'look-alike' fraude die zo'n omissie in de test rechtvaardigt. Wellicht komt het probleem dat men wil bestrijden, 'look-alike' fraude, dan ook hoofdzakelijk bij niet-donkere en niet-getinte lui voor. Stelt u zich namelijks eens voor: ware dat niet zo, dan zou de invoering van het nieuwe paspoort gebaseerd zijn op een niet-representatieve test.

4: Praktijkproef gericht op 'goed gaan'

Wat wilde men nu eigenlijk bestrijden met het nieuwe paspoort? Antwoord: 'look-alike fraude'. Maar als we bovenstaande opmerkingen bezien en we lezen het hele evaluatierapport door, dan bekruipt ons het gevoel dat de test fundamenteel verkeerd is opgezet. Het hele rapport staat bol van de cijfers over hoeveel keurige, volledig legale paspoorten konden worden herkend als biometrisch relevant. Maar nergens wordt er gewag gemaakt van ook maar de intentie om te testen op wat men wilde voorkomen: fraude. Dit is een bekende val waar schrijvers van testscenario's in kunnen lopen: testen om te kijken of het allemaal goed gaat. Maak de bedoeling was om fraude te vermijden, dus als het fout gaat.

Dan moet men ook daarop testen: op situaties die fout gaan (inclusief de onbedoelde gelaatsfoto-verstoring zoals beschreven onder 1). In zo'n geval kan men bijvoorbeeld, gecontroleerd, 'pseudo-fraudeurs' de gelegenheid te geven om met elk onderdeel van het paspoort te laten 'rommelen', opdat men dan, en alleen dan, het systeem pas als 'fraudebestendig' kan waarmerken.

Wellicht is dit wel gebeurd, alleen ik heb er totaal geen mededelingen over kunnen vinden en het genoemde evaluatierapport vermeldt er niets over.

5: Hoe sterk is de keten?

Is het wellicht relevant om te vermelden dat alle individuele Staten niet zelf hun hard- en software maken voor dit nieuwe systeem. Deze systemen worden betrokken van commerciële leveranciers, in het geval van Nederland bijvoorbeeld van Cognitec, BioDentity (overgenomen door Cryptometrics), Identix, Precise Biometric, NEC en BioScrypt.

Als er zoveel leveranciers spulletjes leveren, neemt de kans dat er ergens een fout, een hack af een achterdeurtje zit toe. We kunnen ons hier zorgen over gaan maken, maar dan moeten we ons ook zorgen gaan maken over onze banken, verzekeraars, geautomatiseerde Staatse instanties et cetera. Dat mag, maar het lijkt me, voorlopig, nogal overbodig: we hebben er nog geen aanleiding toe en er zijn voor fraudeurs wellicht goedkopere en makkelijker manieren om een systeem te compromitteren (bijv. een douane-ambtenaar omkopen).

6: Certificaat stelen

Zoals eerder toegelicht, is het een kleine ramp als er een digitaal tekenbevoegd certificaat zou worden gestolen. Het is natuurlijk niet onmogelijk. Op al die 'highly secured facilities' werken ook mensen. De ICAO acht het hoogstonwaarschijnlijk dat zoiets gebeurt, maar houdt er toch rekening mee, getuige de Certificate Revocation List.

Ingeval een certificaat is gestolen, dient de crimineel nog wel over alle benodigde apparatuur te beschikken om het paspoort fysiek aan te passen of na te maken en om de chip te herschrijven (waartoe grote delen van de technische specificaties geheim worden gehouden).

Het is dus technisch mogelijk, maar er zal diep voor in de buidel moeten worden getast en goed voorbereid en opgezet, want er is collaboratie nodig op verschillende plekken. Mijn criminele kennis schiet werkelijk tekort om hier ook maar iets zinnigs over te zeggen, maar als ik zou moeten gokken, dan zou ik eerder verwachten dat men bijv. op een Boliviaans gestolen paspoort probeert binnen te komen: daar is geen visum bij nodig en beschikt nog niet over biometrische gegevens.

Samenvatting

Met het nieuwe biometrische paspoort lijkt de lat een stuk hoger te zijn gelegd voor fraudeurs, t.w. 'look-alikes': wil men nu met het paspoort van iemand anders het land binnenkomen, dan lijken de biometrische kenmerken een moeilijk neembare horde. Maar zeker weten doen we dit niet, want er is gewoonweg niet getest met vervalste paspoorten, chips, foto's en vingerafdrukken, alleen met originele paspoorten en brave burgers (waaronder nota bene te weinig 'verschillende huistinten' om de test relevant te laten zijn).

Het 'per ongeluk' niet meer biometrisch gelijken op de eigen foto en de menselijk te verwachten laksheid van douaniers bij eventueel regelmatige 'false positives' zouden er aanleiding toe kunnen zijn dat de controle op biometrische kenmerken in de praktijk verslapt.

Axioma m.b.t. chip-inhoud

Inventarisatie

1: Problemen met de draadloze chip zelf

2:Problemen buiten de chip om

Conclusie

De waarde van zo'n controle

Er is nog geen jota gepubliceerd over hoe die controle gaat werken, maar ik doe een gok: bij een paspoortuitgevende instantie komt een apparaatje te staan waar u uw paspoort doorheen mag halen, even stil houden en dan spuugt een printer er een velletje papier uit. Daar kunt u naar turen, maar wie garandeert u nu dat de programmeur van die applicatie:

• niets een stukje informatie vergeten is af te drukken
• niet de opdracht heeft gekregen een stukje opzettelijk niet af te drukken
• de informatie hier en daar een beetje kneedt, stript en anders weergeeft.

Kortom, wat is de waarde van dat papiertje? Antwoord: nul. Immers, er wordt ons gevraagd die informatie maar te vertrouwen. Maar dat wilden we niet, we wilden het controleren. Als een controle gebaseerd is op louter vertrouwen, dan is het geen controle meer. Stelt u zich toch eens voor dat een accountant voor de jaarlijkse controle bij een bedrijf arriveert, waarop de boekhouder hem de jaarcijfers al voorschotelt en hem weigert de onderliggende stukken te tonen, eraan toevoegend dat hij de cijfers maar moeten vertrouwen. Wat is dan de waarde van de accountantsverklaring?

Update: via de site Paspoortinformatie van het MinBzk leren we dat er in Nederland een aantal 'uitleesvoorzieningen' in diverse gemeenten geplaatst is. U mag uw paspoort op een lezer leggen en dan worden de gegevens uit de chip op een beeldscherm getoond. Nergen blijkt dat het MinBzk ook maar de geringste moeite heeft genomen om haar positie 'met twee petten op' heeft willen verklaren, toelichten op transparant te maken: u moet maar geloven dat wat er op het scherm getoond wordt, ook echt alles is wat in uw paspoort staat. Nederlanders in het buitenland hebben het nog slechter getroffen: op de ambassades en consulaten staan deze lezers niet EN er wordt expliciet vermeld dat 'buitenlandse' lezers incompatible kunnen zijn.

Oplossing 1: open source

De mooiste oplossing zou zijn dat een Staat alle broncode voor dat overzichtje publiceert op Internet, zodat u en ik die code zouden kunnen doorspitten, compileren en runnen. RFID-lezertje eraan en klaar.

Ik vermoed dat we deze mogelijkheid op onze buik kunnen schrijven. Immers, hiervoor hebben we broncode nodig van onderdelen die de EU en de Staten expliciet geheim houden (bijv. het algoritme om de sleutel af te leiden uit de MRZ voor t.b.v. Basic Access Control. Zie dit onderdeel in 'Beveiliging 2: privacy)). De veiligheid van het nieuwe paspoort is dus gebaseerd op het 'security by obscurity'-principe. Als de broncode gepubliceerd wordt, is de hele veiligheid naar de maan. En een tussenoplossing bestaat niet: een stukje gecompileerd en een stukje broncode. Als dat eerste stukje bijvoorbeeld uit de 'low level read' van sectors op de chip bestaat, dan kan men daar al data hebben gemanipuleerd voordat die doorgegeven worden aan een hoger niveau.

Oplossing 2: closed source

Als de broncode niet algemeen toegankelijk kan worden gemaakt, bestaat er altijd nog de mogelijkheid dat die aan een kleinere kring van derden ter inspectie wordt voorgelegd. Dit is waarschijnlijk onze beste hoop, tenminste, als een Staat er serieus van overtuigd is dat een papiertje waar niemand de volledigheid en accuratesse van kan garanderen niet past in een milde staatsvorm als de democratie.

Wel moet zo'n groep brede geloofwaardigheid hebben, want hun 'stempel' berust op het vertrouwen van de burger (dit sluit bijvoorbeeld de grote accountantskantoren uit, die ook volgens dit principe hun brood verdienden, maar dat zelf te grabbel hebben gegooid).

Terzijde

Het gaat hier steeds om vertrouwen en het feit dat je een Staat niet wilt of zou moeten vertrouwen. Nederlanders hebben, in tegenstelling tot veel andere inwoners van Europese landen, een bijna grenzeloos vertrouwen in de Staat. Een aardige anecdote wil ik u niet onthouden: het moet drie, vier jaar geleden zijn geweest, toen nationale delegaties techneuten bij elkaar kwamen om de 'digitale handtekening' te bespreken (voor Internet/email). Eén van de problemen was: 'wie beheert de moedersleutel' (wie die heeft, kan alle handtekeningen nabootsen en of berichten ontcijferen). De Nederlandse delegatie was er als de kippen bij om voor te stellen de overheid die moedersleutel te laten beheren. De rest van de Europese vertegenwoordigingen klapte daarop gierend van het lachen over tafel. Toen men enigzins was gerecupereerd, bracht men er proestend uit dat als je wilde dat die sleutel meteen gecompromitteerd zou raken, je hem zeker aan de overheid moest geven.

Leermoment

Wij mogen wel vinden dat we de Staat kunnen vertrouwen, maar dat wil nog niet zeggen dat we ook gelijk hebben. Waar gehacked wordt, vallen spaarders. De overheden kunnen opzettelijk informatie willen verbergen, maar dat kan ook per ongeluk. Laten we er eens een paar nader bekijken.

Bugs in software

Het beschrijven van de paspoortchips wordt gestuurd door software en software kan bugs bevatten (daar weet u alles van). Die kans neemt nog eens toe als er nieuwe versies van de software worden aangeleverd (door de externe bedrijven, zie Problemen met Authenticiteit) met nieuwe mogelijkheden en, vaak, nieuwe fouten. Uit de hoge hoed toveren wij bijvoorbeeld:

• velden die niet gevuld mogen worden, blijken per ongeluk wel gevuld (adres, beroep);
• informatie is technisch of semantisch corrupt (foto blijkt onleesbaar na het beschrijven van de chip, of vingerafdrukken zijn technisch in orde, alleen ze horen niet bij de persoon);
• Basic Access Control wordt per ongeluk 'vergeten aan te zetten', zodat een serie paspoorten onbeveiligd tegen ongeauthoriseerd lezen blijkt;
• de chip is gewoon kapot gegaan (zonder dat de houder het paspoort in de microwave heeft laten sudderen)
• abusievelijk wordt een nieuwe serie paspoorten met het oude, reeds op de Certificate Revocation List geplaatste, certificaat ondertekend.
• de opmerking 'armed and dangerous' wordt in het paspoort geplaatst bij een boef in de VS, die tekst blijft per ongeluk in de buffer staan, u bent de volgende en die tekst komt er bij u ook in (versie 2.0).

Deze (bedachte, maar niet onmogelijke) lijst is nog veel langer te maken, maar de idee is duidelijk: het kan fout gaan zelfs als er geen opzet in het spel is

Onduidelijkheid

Het klinkt mooi, 'alles printen wat er op het paspoort staat'. Maar als je het moet gaan doen, lijkt zoiets heel vaak erg schimming. Een paar voorbeelden:

• het Nederlandse paspoort krijgt, grofweg, zo'n 15 procent van de velden beschreven waar ruimte voor is. Moet het overzicht nu alleen die waarden tonen, of alle velden, desnoods met lege waarden?
• moet een 1.7-paspoort ook de waarden voor de blokken uit de 2.0-specificatie oplepelen?
• een pasfoto is een JPEG of JPEG2000 en die hebben de eigenschap weer EXIF-velden te kunnen bevatten (een schier oneindige lijst met tekstvelden, waar foto-omschrijvingen, opmerkingen, namen datum, camera-type, enz. in kunnen worden geplaatst). Moeten die ook op het lijstje?

Kortom, soms is het een kwestie van 'Is de specificatie volledig duidelijk' (en: wordt daar aan gehouden), of 'even niet aan gedacht' (EXIF-velden?)

Samenvatting

De informatie op de paspoortchip moet door de burger gecontroleerd kunnen worden (dat is een eis van de EU). Maar 'who controls the controler'? Aangezien 'open source' zeer waarschijnlijk onmogelijk is ('security by obscurity') zou een Staat er goed aan doen om tenminste onafhankelijke derden in de gelegenheid te stellen deze controle te controleren, opdat de burger dan net iets meer heeft dan alleen een Staat die zichzelf als controleur uitroept. Fouten kunnen namelijk altijd optreden, het hoeft niet altijd om opzet te gaan (maar er is geen reden om die mogelijkheid uit te sluiten).

Algemeen Nederland

• Ministerie van binnenlandse zaken
• Folder 2b or not 2b
• Brief Pechtold TK
• Factsheet biometrie

Algemeen Duitsland

• Site paspoort Duitse Ministerie van binnenlandse zaken

Technisch

• Alle technische documentatie van de ICAO
• De technische specificaties van de EU
• Evaluatierapport Biometrieproef Nederland

Terzijde

• Jaap Spaans (discussie over paspoort met De Graaf)
• Eigen schuld (interessante brief van de VS aan de EU)
• Bits of Freedom (veel informatie over de privacy-problemen met het paspoort)