De waarde van zo'n controle

Er is nog geen jota gepubliceerd over hoe die controle gaat werken, maar ik doe een gok: bij een paspoortuitgevende instantie komt een apparaatje te staan waar u uw paspoort doorheen mag halen, even stil houden en dan spuugt een printer er een velletje papier uit. Daar kunt u naar turen, maar wie garandeert u nu dat de programmeur van die applicatie:

• niets een stukje informatie vergeten is af te drukken
• niet de opdracht heeft gekregen een stukje opzettelijk niet af te drukken
• de informatie hier en daar een beetje kneedt, stript en anders weergeeft.

Kortom, wat is de waarde van dat papiertje? Antwoord: nul. Immers, er wordt ons gevraagd die informatie maar te vertrouwen. Maar dat wilden we niet, we wilden het controleren. Als een controle gebaseerd is op louter vertrouwen, dan is het geen controle meer. Stelt u zich toch eens voor dat een accountant voor de jaarlijkse controle bij een bedrijf arriveert, waarop de boekhouder hem de jaarcijfers al voorschotelt en hem weigert de onderliggende stukken te tonen, eraan toevoegend dat hij de cijfers maar moeten vertrouwen. Wat is dan de waarde van de accountantsverklaring?

Update: via de site Paspoortinformatie van het MinBzk leren we dat er in Nederland een aantal 'uitleesvoorzieningen' in diverse gemeenten geplaatst is. U mag uw paspoort op een lezer leggen en dan worden de gegevens uit de chip op een beeldscherm getoond. Nergen blijkt dat het MinBzk ook maar de geringste moeite heeft genomen om haar positie 'met twee petten op' heeft willen verklaren, toelichten op transparant te maken: u moet maar geloven dat wat er op het scherm getoond wordt, ook echt alles is wat in uw paspoort staat. Nederlanders in het buitenland hebben het nog slechter getroffen: op de ambassades en consulaten staan deze lezers niet EN er wordt expliciet vermeld dat 'buitenlandse' lezers incompatible kunnen zijn.

Oplossing 1: open source

De mooiste oplossing zou zijn dat een Staat alle broncode voor dat overzichtje publiceert op Internet, zodat u en ik die code zouden kunnen doorspitten, compileren en runnen. RFID-lezertje eraan en klaar.

Ik vermoed dat we deze mogelijkheid op onze buik kunnen schrijven. Immers, hiervoor hebben we broncode nodig van onderdelen die de EU en de Staten expliciet geheim houden (bijv. het algoritme om de sleutel af te leiden uit de MRZ voor t.b.v. Basic Access Control. Zie dit onderdeel in 'Beveiliging 2: privacy)). De veiligheid van het nieuwe paspoort is dus gebaseerd op het 'security by obscurity'-principe. Als de broncode gepubliceerd wordt, is de hele veiligheid naar de maan. En een tussenoplossing bestaat niet: een stukje gecompileerd en een stukje broncode. Als dat eerste stukje bijvoorbeeld uit de 'low level read' van sectors op de chip bestaat, dan kan men daar al data hebben gemanipuleerd voordat die doorgegeven worden aan een hoger niveau.

Oplossing 2: closed source

Als de broncode niet algemeen toegankelijk kan worden gemaakt, bestaat er altijd nog de mogelijkheid dat die aan een kleinere kring van derden ter inspectie wordt voorgelegd. Dit is waarschijnlijk onze beste hoop, tenminste, als een Staat er serieus van overtuigd is dat een papiertje waar niemand de volledigheid en accuratesse van kan garanderen niet past in een milde staatsvorm als de democratie.

Wel moet zo'n groep brede geloofwaardigheid hebben, want hun 'stempel' berust op het vertrouwen van de burger (dit sluit bijvoorbeeld de grote accountantskantoren uit, die ook volgens dit principe hun brood verdienden, maar dat zelf te grabbel hebben gegooid).

Terzijde

Het gaat hier steeds om vertrouwen en het feit dat je een Staat niet wilt of zou moeten vertrouwen. Nederlanders hebben, in tegenstelling tot veel andere inwoners van Europese landen, een bijna grenzeloos vertrouwen in de Staat. Een aardige anecdote wil ik u niet onthouden: het moet drie, vier jaar geleden zijn geweest, toen nationale delegaties techneuten bij elkaar kwamen om de 'digitale handtekening' te bespreken (voor Internet/email). Eén van de problemen was: 'wie beheert de moedersleutel' (wie die heeft, kan alle handtekeningen nabootsen en of berichten ontcijferen). De Nederlandse delegatie was er als de kippen bij om voor te stellen de overheid die moedersleutel te laten beheren. De rest van de Europese vertegenwoordigingen klapte daarop gierend van het lachen over tafel. Toen men enigzins was gerecupereerd, bracht men er proestend uit dat als je wilde dat die sleutel meteen gecompromitteerd zou raken, je hem zeker aan de overheid moest geven.

Leermoment

Wij mogen wel vinden dat we de Staat kunnen vertrouwen, maar dat wil nog niet zeggen dat we ook gelijk hebben. Waar gehacked wordt, vallen spaarders. De overheden kunnen opzettelijk informatie willen verbergen, maar dat kan ook per ongeluk. Laten we er eens een paar nader bekijken.

Bugs in software

Het beschrijven van de paspoortchips wordt gestuurd door software en software kan bugs bevatten (daar weet u alles van). Die kans neemt nog eens toe als er nieuwe versies van de software worden aangeleverd (door de externe bedrijven, zie Problemen met Authenticiteit) met nieuwe mogelijkheden en, vaak, nieuwe fouten. Uit de hoge hoed toveren wij bijvoorbeeld:

• velden die niet gevuld mogen worden, blijken per ongeluk wel gevuld (adres, beroep);
• informatie is technisch of semantisch corrupt (foto blijkt onleesbaar na het beschrijven van de chip, of vingerafdrukken zijn technisch in orde, alleen ze horen niet bij de persoon);
• Basic Access Control wordt per ongeluk 'vergeten aan te zetten', zodat een serie paspoorten onbeveiligd tegen ongeauthoriseerd lezen blijkt;
• de chip is gewoon kapot gegaan (zonder dat de houder het paspoort in de microwave heeft laten sudderen)
• abusievelijk wordt een nieuwe serie paspoorten met het oude, reeds op de Certificate Revocation List geplaatste, certificaat ondertekend.
• de opmerking 'armed and dangerous' wordt in het paspoort geplaatst bij een boef in de VS, die tekst blijft per ongeluk in de buffer staan, u bent de volgende en die tekst komt er bij u ook in (versie 2.0).

Deze (bedachte, maar niet onmogelijke) lijst is nog veel langer te maken, maar de idee is duidelijk: het kan fout gaan zelfs als er geen opzet in het spel is

Onduidelijkheid

Het klinkt mooi, 'alles printen wat er op het paspoort staat'. Maar als je het moet gaan doen, lijkt zoiets heel vaak erg schimming. Een paar voorbeelden:

• het Nederlandse paspoort krijgt, grofweg, zo'n 15 procent van de velden beschreven waar ruimte voor is. Moet het overzicht nu alleen die waarden tonen, of alle velden, desnoods met lege waarden?
• moet een 1.7-paspoort ook de waarden voor de blokken uit de 2.0-specificatie oplepelen?
• een pasfoto is een JPEG of JPEG2000 en die hebben de eigenschap weer EXIF-velden te kunnen bevatten (een schier oneindige lijst met tekstvelden, waar foto-omschrijvingen, opmerkingen, namen datum, camera-type, enz. in kunnen worden geplaatst). Moeten die ook op het lijstje?

Kortom, soms is het een kwestie van 'Is de specificatie volledig duidelijk' (en: wordt daar aan gehouden), of 'even niet aan gedacht' (EXIF-velden?)

Samenvatting

De informatie op de paspoortchip moet door de burger gecontroleerd kunnen worden (dat is een eis van de EU). Maar 'who controls the controler'? Aangezien 'open source' zeer waarschijnlijk onmogelijk is ('security by obscurity') zou een Staat er goed aan doen om tenminste onafhankelijke derden in de gelegenheid te stellen deze controle te controleren, opdat de burger dan net iets meer heeft dan alleen een Staat die zichzelf als controleur uitroept. Fouten kunnen namelijk altijd optreden, het hoeft niet altijd om opzet te gaan (maar er is geen reden om die mogelijkheid uit te sluiten).