De ICAO-documentatie specificeert, wederom, een aantal in complexiteit oplopende beveiligingsmogelijkheden om de privacy van gegevens te kunnen garanderen, waaruit de uitgevende Staat weer een keuze kan maken welk niveau er toegepast wordt.

Verplichte, prescriptieve beveiliging

Geantecipeerde problemen m.b.t. privacy

Beveiligingen

Allereerst dient opgemerkt te worden dat de gebruikte chips volgens de ICAO-specificatie niet op een grotere afstand leesbaar zijn dan 10 cm. Echter, het lijkt erop dat deze beperking alleen opgeld doet als de zender zich aan de ICAO-specificatie houdt: mocht er iemand op het idee komen er meer milliwatts tegenaan te gooien (dus: een sterkere zender te bouwen dan de ICAO toestaat), dan wordt die afstand groter. Er is reeds een aantal artikelen gepubliceerd dat dit aantoont, zoals dit en dit artikel, waarin over '30 feet' wordt gesproken (zo'n 10 meter).

Enfin, afgezien van die twijfelachtige afstandsbeperking voorziet de ICAO-specificatie in drie niveaus van beveiliging, t.w.:

1: Geen beveiliging
Dit is minimum-specificatie (sic) van de ICAO. Alle volgende niveaus zijn immers optioneel. Chips op deze manier uitgerust kennen geen toegangscontrole (dus: elke zender/ontvanger is in staat de gegevens van de chip te plukken [skimming]), kennen geen encryptie van de communicatie [eavesdropping] en kennen geen encryptie van tenminste 1 deel van de data, t.w. vingerafdrukken. De ICAO-documentatie vermeldt bijvoorbeeld: "Everyone who has the appropriate equipment is able to read the chip contents of the MRTD, ..." .(TR-PKI, hfst. 2.2.4)

De Amerikaanse versie van het nieuwe paspoort bleek op deze manier (niet) beveiligd te zijn, wat tot een stroom van kritiek heeft geleid.
Op dit moment lijkt het erop dat de Amerikanen, net zoals de Europeanen (en dus Nederland) het eerstvolgende niveau zullen implementeren, namelijk:

2A: Basic Access Control: toegangscontrole
Dit niveau zou erin moeten voorzien dat zowel 'skimming' als 'eavesdropping' wordt vermeden. Dat gaat als volgt: de chip weigert gegevens prijs te geven voordat de zender/ontvanger heeft bewezen 'legaal' te zijn. Hiertoe dient deze laatste wederom een 'sleutel' aan te bieden aan de chip in het paspoort.
En waar staat deze sleutel? Op de MRZ (Machine Readable Zone) van het paspoort, volgens de ICAO-documentatie. Maar waar dan? Gelukkig zijn de Duitsers wat gründlicher in het verstrekken van informatie. Op de site van het Duitse ministerie van Binnenlandse Zaken vinden we:

"Die Sicherheit dieser Authentisierung und der nachfolgenden Verschlüsselung liegt im Wesent-lichen in der Stärke des Zugriffsschlüssels. Obwohl der Zugriffsschlüssel formal ein 112-Bit-Triple-DES-Schlüssel ist, liegt die Sicherheit des Verfahrens eher auf dem Niveau von normalem DES. Der Grund dafür liegt in der Art und Weise, wie der Zugriffsschlüssel aus der MRZ gebildet wird. Vereinfacht gesagt, berechnet sich dieser als Hash aus der Passnummer, dem Geburtsdatum des Inhabers und dem Ablaufdatum des Reisepasses."

Kortom, die sleutel is een hash, afgeleid uit paspoortnummer, geboortedatum en geldigheidsdatum. En hoe komt de zender/ontvanger aan een sleutel die alleen op die pagina staat? Door het paspoort door een OCR-lezer te halen, met de hand. Ook bestaat de mogelijkheid dat de douanier, die niet over zo'n lezer beschikt, de data 'overtikt' uit uw paspoort.

Nu begrijpt u waarom we in een eerder hoofdstuk schreven: "Van de reiziger vóór u worden de gegevens direct (en draadloos) uit z'n paspoort gelezen, maar u, een ingezetene van de EU, dient eerst uw paspoort te overhandigen, opdat die door een lezer gehaald kan worden."

De idee erachter is dat als iemand die data op die pagina kan lezen, u er wel in toegestemd zult hebben dat dat ook mocht (zoals bij de douane waar u om uw paspoort wordt gevraagd).

Nota bene
Wellicht welt de verontwaardiging u nu naar de keel, na het lezen van het bovenstaande: men verzint een hele complexe, draadloze infrastructuur, maar om het een beetje veilig te krijgen moet het paspoort met de hand door een OCR-lezer worden gehaald. Dan kun je net zo goed alle data op die manier lezen, ben je ook van het probleem van 'skimming' en 'eavesdropping' af.
Welnu, het zijn wederom de Duitsers die hier tenminste iets over opmerken (ibidem):

"Gründe für die Verwendung dieser Technologie anstelle einer herkömmlichen Chipkarte liegen vor allem in der Haltbarkeit, denn die Kontakte der Chipkarte sind nicht für einen 10-jährigen Betrieb ausgelegt. Die kontaktlose Chipkarte ist hingegen verschleißfrei. Ein weiterer nicht zu vernachlässigender Grund für die Verwendung von RF-Chips liegt im Formfaktor: Das Passbuch passt einfach nicht in die herkömmlichen Chipkartenleser."

Het Nederlandse paspoort is en blijft volgens mij slechts vijf jaar geldig. Laten we nou eens vijf keer per jaar op vakantie gaan. Dat is 5x5x2=50. Vaste chip-technologie (zoals op uw pinpas en credit card) is dus blijkbaar niet tegen 50 keer lezen bestand. En er zijn ook geen apparaten voorhanden die zo groot zijn dat er een paspoort in past. Daarom moet het een draadloze chip worden. Ik laat het oordeel over de kracht van deze argumenten (bij uitzondering) aan de lezer.

Duitse illustratie van Basic Access Control (bron: Digitale Sicherheitsmerkmale im ePass)

2B: Basic Access Control: versleutelde communicatie
Basic Access Control biedt naast de hierboven besproken 'toegangscontrole' tevens de mogelijkheid tot het opzetten van een versleutelde communicatie om de data vanuit de chip, draadloos, naar de ontvanger van de douanier te pompen. Deze encryptie zou sterk genoeg moeten zijn om ongeoorloofd meeluisteren, 'eavesdropping' te voorkomen. Echter, onlangs kwam het volgende bericht in het nieuws, waarin we lezen:

"De chip zendt bij het uitlezen via radiosignalen de gecodeerde persoonsgegevens uit. Die signalen kunnen worden opgevangen door mensen die in de buurt van de chiplezer staan. Binnen enkele uren kan de code gekraakt worden en de informatie gebruikt worden door criminelen."

Een interview met de ontdekker van deze 'hack', Marc Witteman, is hier te beluisteren. Ik waarschuw de lezer dat dit een typisch voorbeeld van een slecht interview is: zo zegt Witteman duidelijk dat de Nederlandse paspoortchip eigenlijk heel moeilijk gekopieerd kan worden i.v.m. Active Authentication, waarop de interviewer besluit met 'dan kun je dus op Schiphol een paspoortkopieershop beginnen' (o.i.d.). Luisteren en goed samenvatten is blijkbaar te veel gevraagd.

3: Extended Access Control
Het derde niveau van beveiliging voorziet in het versleutelen van de gegevens op de chip zelf. Alle gegevens? Nee, alleen de vingerafdrukken. Alle andere gegevens (naam, andere data, foto's, etc) staan en blijven onversleuteld op de chip staan. De ICAO-specificatie voorziet er niet eens in dat deze gegevens wel versleuteld kunnen worden.
De idee erachter is dat die gegevens niet versleuteld hoeven worden omdat die allemaal al leesbaar op het datablad staan, dus voor iedereen zichtbaar, dus die worden niet als privacy-gevoelig gezien (bron : TR-PKI, pag. 7).

Om die vingerafdrukken te beveiligen dient elke uitgevende staat bilaterale encryptie-overeenkomsten te sluiten met andere landen. De ICAO-specificatie voorziet er namelijk niet in.
Als en wanneer Nederland besluit in een latere fase de vingerafdrukken toe te voegen, dan KAN de Staat dus besluiten dit extra niveau van beveiliging op de vingerafdrukken te implementeren. Duitsland heeft al gezegd te wel te zullen doen.

Encryptie hier, encryptie daar

Samenvatting

Het Nederlandse paspoort zal het middelste (en, zolang vingerafdrukken nog niet geimplementeerd zijn, hoogst mogelijke) niveau van beveiliging kiezen (Basic Access Control) om twee problemen, 'skimming' en 'eavesdropping', tegen te gaan. BAC voorziet enerzijds in toegangscontrole en anderzijds in encryptie van de communicatie tussen chip en ontvanger. De data op de chip zelf zijn expliciet niet versleuteld en de specificatie voor alle opgenomen data groups (behalve vingerafdrukken) voorziet daar ook niet in.

Zowel de ICAO-specificatie als de Staten die hun implementatie dienovereenkomstig hebben ingericht verzekeren ons, dat de chip op louter 10 cm afstand gelezen kan worden en dan nog alleen door bevoegden, waarbij de gebruikte sterke encryptie de data-overdracht zou moeten beschermen.

Jammergenoeg lijkt een aantal publicaties van vorsers in een andere richting te wijzen: zowel de belofte van die afstand van 10 cm als die van de sterke beveiliging van de Basic Access Control lijken reeds weerlegd.

Het mag als een teleurstelling worden gezien dat het onlangs gepubliceerde evaluatierapport aan deze bevindingen van derden, die toch zoveel pennen aan het schrijven hebben gezet, voorbijgaat.