Beveiliging 1: authenticiteit

Het zijn vooral de (ontvangende) Staten die er, om hen moverende redenen, belang aan hechten het paspoort te kunnen controleren op authenticiteit. Hiertoe dient de ontvangende staat theoretisch vijf verschilende controles uit te voeren, waar er (binnen de huidige specificatie) in vier wordt voorzien.

Deze hebben betrekking op (terminologie van mij):



  1. integriteit (controleren dat er met de data op de chip niet geknoeid is)
  2. substitutie (controleren dat de chip echt bij het paspoort hoort waar het op geplakt zit);
  3. compromittering (controleren dat de, volledig correcte, digitale handtekening die bij de hierboven genoemde controles wordt gebruikt, niet afkomstig is van een gestolen certificaat);
  4. correlatie (controleren dat het paspoort bij de houder hoort (m.b.v. de biometrische kenmerken));
  5. originaliteit: (controleren dat paspoort met chip echt door de uitgevende Staat is uitgegeven (door alle paspoortgegevens on-line te vergelijken met een internationale database van 'echt uitgegeven paspoorten'. Hierin is nog niet voorzien, maar daar wordt aan gewerkt, of in ieder geval over gedacht.)).




Mate van implementatie en controle

Er wordt hier nadrukkelijk gewezen op het feit dat binnen de specificatie een Staat (of verzameling van Staten) vrij is om het nieuwe paspoort te voorzien van een aantal (digitale) echtheidskenmerken, oplopend in complexiteit, en dat de ontvangende Staat vrij is in het wel of niet willen/kunnen controleren van één of meer onderdelen hiervan.
Zo zullen de VS zeer waarschijnlijk snel het grootst mogelijke aantal controles uitvoeren op het Nederlandse paspoort, dat een bovengemiddeld aantal echtheidskenmerken heeft geimplementeerd (of zal implementeren). Dat laat onverlet dat de houder van zo'n paspoort in een ander land nog steeds voorbijgewuifd kan worden door een somnambulerende douanier, die nauwelijks de moeite neemt om naar het paspoort te kijken, laat staan over de technische middelen beschikt om alle mogelijke controles uit te voeren.
Dit hoofdstuk is grotendeels gebaseerd op dit ICAO-document (hieronder 'TR-PKI') en dit document van de EU.





ad 1 en 2: Integriteit en substitutie

Om de twee eerstgenoemde controles (op integriteit en substitutie) mogelijk te maken, voorziet de ICAO-specificatie in een vorm van beveiliging die gebaseerd is op digitale handtekeningen, die op zijn beurt weer gebaseerd is op een beveiligingsmethode die bekend staat als 'public key cryptografie'




De ICAO Public Key Infrastructure (PKI)

Om een PKI op te zetten begint elk Staat (of verzameling van Staten) op het hoogste niveau met het uitgeven van een (self-signed) root-certificaat (de moedersleutel). Hiermee verklaart de Staat zichzelf bevoegd.

Van dit certificaat worden daarna 'tekenbevoegde' certificaten (voor instanties die paspoorten mogen aanmaken, zoals de SDU) afgeleid (te plaatsen in 'highly secured facilities') en public keys (voor instanties die de data in het paspoort op authenticiteit moeten controleren, zoals ALLE buitenlandse douaneposten). Die public keys (van alle landen) worden (zonder toegangscontrole, zie TR-PKI , pag. 13) op een centrale locatie (on-line) bijeen gezet (Public Key Directory), opdat douanes deze telkens kunnen downloaden.


Passive authentication (verplicht) : controle op integriteit
Om de eerste (en meest basale) controle (die op integriteit van de gegevens op de chip) te kunnen uitvoeren, specificeert de ICAO de verplichte 'Passive authentication', die hierop neerkomt:

  • de (Windows)-applicatie bij de douane leest m.b.v. een ontvanger draadloos (met een snelheid van ongeveer 10Kb/sec) een aantal blokken data uit de chip en berekent een hash-total van deze data (iedereen die wel eens de MD5-checksum van een bestand heeft berekend moet zich hier iets bij kunnen voorstellen).
  • de digitale handtekening, waarmee het op identieke wijze afgeleide controlegetal is aangebracht en gesigneerd op de chip (bij uitgifte), wordt gecontroleerd door de Public Key van het land in kwestie op te halen uit de Public Key Directory.

Komen nu de twee hashes overeen, dan zegt dat zoiets als dat men er zeker van kan zijn dat er in ieder geval niet met de gegevens op de chip is geknoeid. (De chip wordt trouwens na uitgifte 'op slot' gezet; een logische beveiliging, geen fysieke).


Active authentication(optioneel):controle op chip-subsititutie

Mocht het uitgevend land de benodigde voorzieningen voor deze manier van verificatie hebben aangebracht op de chip EN het ontvangende land beschikt over de apparatuur om dit te kunnen verwerken, dan kan deze methode gebruikt worden om vast te stellen dat:



  • de chip in het paspoort niet is gesubstitueerd. Passieve controle baseert zich immers op louter data die uit de chip afkomstig zijn. De data op de chip kunnen na passieve controle integer blijken te zijn, maar dat zegt nog niets over de vraag of die chip wel bij dat paspoort hoort.
  • een onderdeel van de data op de chip, het Document Security Object (DSO, dat de controlewaarden bevat), wel bij de chip hoort. Hiertoe wordt de chip op twee plekken (secure memory en in het DSO) voorzien van een private key resp. een hash. Opnieuw wordt de waarde berekend en als deze overeenkomen, hoort het DSO bij de chip.
Voor Active Authentication is vereist dat het paspoort met de MRZ (Machine Readable Zone, het OCR-gedeelte met al die '<<<<<<'-tekens) door een lezer wordt gehaald. Uit die data wordt weer een hash berekend, die weer wordt vergeleken met de corresponderende hash in het DSO op de chip (en daarom moet ook dat DSO weer op echtheid gecontroleerd worden). Als deze controles slagen, kan het ontvangende land ervan uitgaan dat de chip op het paspoort niet is gesubstitueerd. Niet ten onrechte vermeldt de ICAO-documentatie ook nog een tussenweg: Passive Authentication, gecombineerd met visuele vergelijking van de data op de chip (getoond op het beeldscherm van de douanier) met het datablad in het paspoort.


Tijdens de 2B-proef heeft Nederland het paspoort van voldoende data voorzien om 'Active authentication' toe te kunnen passen. Wellicht kunnen we hieruit afleiden dat het definitieve paspoort ook deze mogelijkheid zal bieden.


ad 3: The Certificate Revocation List, controle op compromittering van het certificaat

Als een root-certificaat of tekenbevoegd certificaat gecompromitteerd is (verkocht, gestolen, gehacked, etc.), dan moeten landen dat doorgeven (minimaal eens per 90 dagen) o.g.v. een zgn. 'Certificate Revocation List'. Dit is een lijst waarop landen aangeven dat paspoorten, getekend met dat-en-dat certificaat, onbetrouwbaar (maar niet onecht hoeven te) zijn. Ontvangende Staten dienen deze lijst tijdens de paspoortcontrole te checken, zodat mogelijk onbetrouwbare paspoorten kunnen worden gesignaleerd.

Probleem is dan dat er 'echte' paspoorten rouleren en 'onechte echte', want ze zijn allebij met hetzelfde certificaat getekend, dat ooit 'echt' was. Simpeler gezegd, een echte paspoort-chip is niet meer van een onechte te onderscheiden.

De uitgevende Staat in kwestie kan dan trouwens helemaal opnieuw beginnen (nieuwe certificaten, paspoorten naspeuren/intrekken/heruitgeven) en alle douaneposten (tot in de meeste verafgelegen plekken) moeten dan nieuwe public key ophalen. Alle paspoorten met oude certificaat (echte en minder echte) moeten intussen 'op een andere manier' worden gecontroleerd.



ad 4: Biometrische kenmerken, controle op correlatie

Tot zover heeft een douanier kunnen controleren dat de data op de chip niet aangepast zijn, dat de chip bij het paspoort hoort en dat de chip in het paspoort niet is vervaardigd met een gestolen certificaat. Maar dat zegt nog steeds niets over de man die voor hem staat. Wat nu als dat helemaal zijn paspoort niet is? Wat nu als die man echter wel een beetje op die foto lijkt?

Dit probleem (de 'look-alike fraude') kan men oplossen door de biometrische kenmerken in het paspoort te vergelijken met nieuwe, ter plekke te verwerven, biometrische data. Zoals reeds vermeld zullen met het Nederlandse paspoort de volgende biometrische controles mogelijk zijn:

gelaats-controle
er wordt ter plekke een nieuwe gelaats-scan van de paspoorthouder genomen. Hieruit wordt een aantal controle-getallen gegenereerd (o.a. stand van de mond t.o.v. de neus, afstand tussen de ogen, etc.). Deze controle-getallen worden vergeleken met dezelfde controlegetallen die op de chip staan opgenomen (de 'template'). Mochten deze (binnen een marge) overeenkomen, dan is het gezicht op het paspoort hetzelfde als het gezicht van de houder die zich aandient bij de douanier.

vingerafdruk-controle
Op een later tijdstip wordt het Nederlandse paspoort tevens voorzien van vingerafdrukken van beide wijsvingers. Hiermee kan de douanier een vergelijkbare controle als met de foto uitvoeren: de paspoorthouder legt z'n wijsvinger in een vingerscanner, die berekend weer een aantal controlegetallen, die worden weer met de waarden die in het paspoort staan vergeleken, et cetera.





ad 5: Originaliteit, de laatste stap

De zaak lijkt nu waterdicht: na de bovenstaande vier controles te hebben uitgevoerd, kan de ontvangende Staat er zeker van zijn dat het paspoort valide is en bij de houder hoort. Dat is niet waar.
Als we nog even teruggaan naar stap drie, dan zult u zich ongetwijfeld hebben afgevraagd 'Hoe stelt een Staat eigenlijk vast dat een certificaat gecompromitteerd is, zodat ze het op de Certificate Revocation List kan plaatsen?'.
En het antwoord daarop is: dat is helemaal niet zo makkelijk vast te stellen. Immers, wanneer iemand met zo'n vals paspoort bij een douane komt, dan komt het paspoort door alle controles heen. Nergens beginnen er belletjes te rinkelen of lichtjes te knipperen, want de chip is gewaarmerkt met het correcte certificaat. Dat kan dan weliswaar gestolen zijn, maar het is een exacte (digitale) kopie van het echte, net als dat een gekopieerde CD identiek is aan het origineel.

Wellicht dat een land er per ongeluk achter kan komen, doordat de dief (bijv. een corrupte systeembeheerder) er wellicht bijgelapt wordt door een kompaan. Maar de grensposten kunnen het met de vier bovenstaande controles nooit vaststellen.
Enfin, dit probleem is inherent aan dit systeem van 'black listing' (een lijst maken van 'foute' fenomenen): je moet het eerst maar zien te kunnen constateren. De enige uitweg hierin is dan ook om geen systeem te gebruiken dat gebaseerd is op 'black listing', maar op 'white listing': een volledige lijst van alle 'goede' fenomenen. Hier betekent dat: nationale databases van alle uitgegeven paspoorten en bijbehorende data, die on-line voor andere landen open staan, teneinde te kunnen controleren of het paspoort ook echt door die Staat is uitgegeven.


Nationale database met paspoortgegevens

Nogmaals wordt vermeld dat deze laatste stap nog niet mogelijk is: die nationale databases zijn er nog niet en er bestaat ook geen ICAO-specificatie voor communicatie. Toch wordt er wel aan gedacht, getuige bijvoorbeeld dit EU-document en dit BBC-artikel.

Update: volgens een artikel in de Volkskrant van 24 februari 2006 wordt er al gewerkt aan zo'n database. Volgens een brief van Pechtold is dat niet zo: er worden slechts voorbereidingen getroffen mocht de Kamer ermee akkoord gaan.





Terug naar overzicht