Problemen m.b.t. authenticiteit

De hierboven beschreven werking van de controles op authenticiteit brengt uiteraard een aantal mogelijke problemen met zich mee. Laten we eens een aantal bekende en minder bekende proberen te verduidelijken en trachten ze op hun waarde te schatten.



1: gezichtsherkenning en 'false positives'

Zoals al eerder betoogd, gaat Nederland waarschijnlijk kiezen voor het systeem dat de aanvrager van een paspoort zelf een foto mee moet nemen, die daarop wordt gescand en daarna in het paspoort wordt verwerkt. Tevens worden van deze pasfoto de biometrische data afgeleid.
Maar wat nu als iemand inderdaad z'n foto heeft bewerkt in Photoshop en on-line heeft laten afdrukken? De ambtenaar neemt deze foto in ontvangst en moet dan, voorzover mij is gebleken, met het blote oog beoordelen of die foto klopt. Weliswaar zal hem een aantal technische hulpmiddelen worden verstrekt om contrast, scherpte e.d. te laten meten, maar volgens mij niet een tweede camera, die een verse biometrische snaphot maakt en die vergelijkt met dezelfde data afgeleid uit de paspoortfoto, teneinde te bezien of er wel een correcte gelaatscontrole mogelijk is op basis van die foto.

Wat gebeurt er dan als de paspoorthouder met zijn pas bij de douane aankomt en het douane-systeem (ten ontechte) meent dat de gelaats-scans (die ter plekke genomen en die uit het paspoort) niet overeenkomen? Wat gaan douaniers doen als deze 'false positives' vaak voorkomen (die ze ook nog wel eens af blijken te geven bij niet-geretoucheerde foto's)? Gaan ze net zo reageren als wij allemaal op een auto-alarm: niks meer van aantrekken? Is hierop getest?

Het is al te makkelijk om te stellen 'dat iedereen z'n pasfoto dan maar door de vakman moet laten maken'. Blijkbaar is het mogelijk dit niet te doen, zonder kwade bijbedoelingen.

2: vingerafdrukken en fraude

Wellicht valt de douane in bovenstaand geval terug op het tweede biometrische kenmerk, de vingerafdrukken (die voorlopig nog niet in het paspoort zitten EN niet door elk land zullen worden geĆÆmplementeerd).
Maar er is behoorlijk wat (overtuigende) informatie voorhanden die in op z'n minst de indruk wekt dat met vingerafdrukken een hoop kan worden gerommeld. Wat te denken van bijvoorbeeld deze, deze en deze bijdragen? Is hierop getest?


3: 'invloed van verschillende huidtinten'

In het 'Evaluatierapport Biometrieproef 2b or not 2b' wordt op pagina 20, in het hoofdstuk over de gelaats-scan, het volgende vermeld: 'Over invloed van verschillende huidtinten op de verificatie heeft de proef geen uitsluitsel geboden. Het aantal deelnemers aan de proef met verschillende huidtinten (1% donker en 7% getint) was daarvoor te gering.'

Blijkbaar vond Dhr. Pechtold dit niet relevant genoeg om in zijn brief aan de Tweede Kamer te melden. Klaarblijkelijk beschikt hij over informatie omtrent de distributie naar huidskleur van het fenomeen 'look-alike' fraude die zo'n omissie in de test rechtvaardigt. Wellicht komt het probleem dat men wil bestrijden, 'look-alike' fraude, dan ook hoofdzakelijk bij niet-donkere en niet-getinte lui voor. Stelt u zich namelijks eens voor: ware dat niet zo, dan zou de invoering van het nieuwe paspoort gebaseerd zijn op een niet-representatieve test.


4: Praktijkproef gericht op 'goed gaan'

Wat wilde men nu eigenlijk bestrijden met het nieuwe paspoort? Antwoord: 'look-alike fraude'. Maar als we bovenstaande opmerkingen bezien en we lezen het hele evaluatierapport door, dan bekruipt ons het gevoel dat de test fundamenteel verkeerd is opgezet. Het hele rapport staat bol van de cijfers over hoeveel keurige, volledig legale paspoorten konden worden herkend als biometrisch relevant. Maar nergens wordt er gewag gemaakt van ook maar de intentie om te testen op wat men wilde voorkomen: fraude. Dit is een bekende val waar schrijvers van testscenario's in kunnen lopen: testen om te kijken of het allemaal goed gaat. Maak de bedoeling was om fraude te vermijden, dus als het fout gaat.

Dan moet men ook daarop testen: op situaties die fout gaan (inclusief de onbedoelde gelaatsfoto-verstoring zoals beschreven onder 1). In zo'n geval kan men bijvoorbeeld, gecontroleerd, 'pseudo-fraudeurs' de gelegenheid te geven om met elk onderdeel van het paspoort te laten 'rommelen', opdat men dan, en alleen dan, het systeem pas als 'fraudebestendig' kan waarmerken.

Wellicht is dit wel gebeurd, alleen ik heb er totaal geen mededelingen over kunnen vinden en het genoemde evaluatierapport vermeldt er niets over.


5: Hoe sterk is de keten?

Is het wellicht relevant om te vermelden dat alle individuele Staten niet zelf hun hard- en software maken voor dit nieuwe systeem. Deze systemen worden betrokken van commerciƫle leveranciers, in het geval van Nederland bijvoorbeeld van Cognitec, BioDentity (overgenomen door Cryptometrics), Identix, Precise Biometric, NEC en BioScrypt.

Als er zoveel leveranciers spulletjes leveren, neemt de kans dat er ergens een fout, een hack af een achterdeurtje zit toe. We kunnen ons hier zorgen over gaan maken, maar dan moeten we ons ook zorgen gaan maken over onze banken, verzekeraars, geautomatiseerde Staatse instanties et cetera. Dat mag, maar het lijkt me, voorlopig, nogal overbodig: we hebben er nog geen aanleiding toe en er zijn voor fraudeurs wellicht goedkopere en makkelijker manieren om een systeem te compromitteren (bijv. een douane-ambtenaar omkopen).

6: Certificaat stelen

Zoals eerder toegelicht, is het een kleine ramp als er een digitaal tekenbevoegd certificaat zou worden gestolen. Het is natuurlijk niet onmogelijk. Op al die 'highly secured facilities' werken ook mensen. De ICAO acht het hoogstonwaarschijnlijk dat zoiets gebeurt, maar houdt er toch rekening mee, getuige de Certificate Revocation List.

Ingeval een certificaat is gestolen, dient de crimineel nog wel over alle benodigde apparatuur te beschikken om het paspoort fysiek aan te passen of na te maken en om de chip te herschrijven (waartoe grote delen van de technische specificaties geheim worden gehouden).

Het is dus technisch mogelijk, maar er zal diep voor in de buidel moeten worden getast en goed voorbereid en opgezet, want er is collaboratie nodig op verschillende plekken. Mijn criminele kennis schiet werkelijk tekort om hier ook maar iets zinnigs over te zeggen, maar als ik zou moeten gokken, dan zou ik eerder verwachten dat men bijv. op een Boliviaans gestolen paspoort probeert binnen te komen: daar is geen visum bij nodig en beschikt nog niet over biometrische gegevens.

Samenvatting

Met het nieuwe biometrische paspoort lijkt de lat een stuk hoger te zijn gelegd voor fraudeurs, t.w. 'look-alikes': wil men nu met het paspoort van iemand anders het land binnenkomen, dan lijken de biometrische kenmerken een moeilijk neembare horde. Maar zeker weten doen we dit niet, want er is gewoonweg niet getest met vervalste paspoorten, chips, foto's en vingerafdrukken, alleen met originele paspoorten en brave burgers (waaronder nota bene te weinig 'verschillende huistinten' om de test relevant te laten zijn).

Het 'per ongeluk' niet meer biometrisch gelijken op de eigen foto en de menselijk te verwachten laksheid van douaniers bij eventueel regelmatige 'false positives' zouden er aanleiding toe kunnen zijn dat de controle op biometrische kenmerken in de praktijk verslapt.





Terug naar overzicht