Updates
Aparte sectie voor updates. Reeds bekende - maar door de media opgewarmde -informatie wordt louter in deze sectie vermeld. Nieuwe informatie wordt tevens hier opgenomen en bovendien toegevoegd aan de desbetreffende pagina, met een verwijzing en het woord 'Update' in de tekst.
- 6 januari 2006: uitstekend artikel in Netkwesties. Aanvullende informatie over het unieke chipnummer opgenomen op Problemen met privacy-pagina
- 27 jan 2006: Vara Nieuwslicht uitzending waarin de hack uit november 2005, zoals reeds beschreven op deze pagina, herhaald en uitgelegd wordt.
- febr 2006? (z.d.): reactie van Minbzk op bovengenoemde uitzending. De tekst 'Dit bedrijf beweert niet dat de opgeslagen informatie in de chip gemanipuleerd kan worden.' lijkt geruststellend, maar ik heb 'dat bedrijf' dat ook nooit horen beweren, alleen dat de informatie (mee)gelezen kon worden, wat al schokkend genoeg gevonden werd.
- 24 febr 2006 : er blijkt toch gewerkt te worden aan een nationale database met biometrische gegevens. Zie pagina 'Authenticiteit', onderop.
- 22 april 2006: artikel in Brabants Dagblad met de titel 'Pechtold: nieuwe pas is fraudegevoelig' (niks nieuws). Ook schrijft men ' Hij vreest dat de chips op de passen op afstand gelezen en vervalst kunnen worden.' In de Inleiding schreef ik al dat de meeste persbijdragen er ergens fundamenteel naast zitten, vanwege onvertrouwdheid met het onderwerp. Hier weer een voorbeeld. Alle bestaande kritiek en gesignaleerde gevaren hebben betrekking op (mee)lezen. Het vervalsen van paspoorten veronderstelt 'schrijven' (naar de chip). Echter, hiervoor heeft de vervalser de private key van de publisher nodig (door diefstal of 'kraken') om de pas goed door de Active authentication heen te loodsen. Welnu, die private key is cryptografisch dusdanig sterk (en de methode volledig open, bekend, getest, etc.), dat van kraken (nog) geen sprake kan zijn. En dat de key reeds gestolen zou zijn, dat lijkt me overdreven. Ik heb het BD gevraagd of Pechtold dit ook zo gezegd heeft, maar geen reactie ontvangen. Rest ons niet anders dan dit 'vervalsen' als larie en apekool te betitelen.
- 24 april 2006: RTL-Nieuw uitzending met beelden van minister Pechtold bij de presentatie van het biometrisch paspoort in Haarlem (SDU)
- 24 april 2006: groot nieuws! Niet alleen hebben wij eindelijk beelden van het nieuwe paspoort (RTL nieuws, zie hierboven), ook het Minbzk heeft een brochure uitgegeven met een afbeelding (toegevoegd aan pagina De contactloze chip). En wat staat daar rechtboven, bijna terloops, vermeld: "De chip krijgt een beveiligingscertificering tegen Common Criteria EAL4+. Een kenmerk van dit type chip is dat bij het uitlezen van de chip steeds een andere UID-waarde Unique Identifier) wordt afgegeven." Dat had men wel iets duidelijker mogen brengen. Deze informatie toegevoegd aan pagina 'Problemen m.b.t. de privacy', onder 'Tracking o.b.v. de chip-ID'.
- 29 juni 2006: Brussel schijnt de specificatie voor het opnemen van vingerafdrukken (en de daarbij behorende specificatie voor Extended Access Control (zie Beveiliging 2: privacy ) af te hebben volgens een persbericht van de EC.
- 3 augustus 2006: op de BlackHat-conferentie in Las Vegas wordt met enig aplomb geadstrueerd dat het technisch mogelijk is met het paspoort een bom te laten afgaan op basis van de 'nationalitieit' in het paspoort. Dit hele gedoe is reeds beschreven op de pagina 'Problemen met de privacy', onder 'Bomaanslag op toeristen' en er is geen aanleiding om dat standpunt te herzien. Tevens maakt dit bericht gewag van het wereldschokkende feit dat daar ook iemand de chip heeft weten te kopiƫren. Ik maak de lezer erop attent dat de originele ICAO-documentatie altijd rekening heeft gehouden met zowel deze mogelijkheid als de meer primitieve variant, chipsubstitutie. Het is eigenlijk weinig opzienbarend, dat kunnen kopiƫren van die informatie, tenzij men ook de data heeft weten aan te passen. Dit bericht zegt dat 'the hacker couldn't change any of the data... yet'. En mocht dat wel mogelijk zijn, dan moet die hacker nog steeds met die gewijzigde informatie door Active authentication zien heen te komen, zoals al eerder betoogd. Tenslotte wordt door heren hakkers een 'RFID-filter' gepropageerd. Niet schrikken, daarmee bedoelen ze de 'vermom-uw-pasoort-als-boterham'-oplossing, zoals reeds beschreven op pagina 'Problemen met de privacy' onder 'Tracking o.b.v. chip-ID'. We are not impressed .. yet. Update 1: in Wired staat een uitstekend artikel over hetzelfde, maar dan geschreven door iemand die er iets van begrijpt. Een quote: "What this person has done is neither unexpected nor really all that remarkable". En zo is het maar net.
Update 2: de 'hack' van Lukas Grunwald gaat als een veenbrand door de media en digitale fora. 'Zie-je-wel-we-wisten-wel-dat-het-onveilig was", zo kraait men victorie. Nou, dan nog maar eens (tegen beter weten in) een relativering op The Register .
- 27 augustus 2006: op de site http://www.paspoortinformatie.nl/ is door het MinBzk informatie gepubliceerd omtrent de (hoge) eisen die aan de pasfoto worden gesteld (toegevoegd aan pagina De contactloze chip), over 'uitleesvoorzieningen' (een lezer waar u uw paspoort inlegt en een beeldscherm waarop de data worden getoond), toegevoegd aan pagina 'Controle' ) en een handige vragen/antwoorden-lijst.
- 27 augustus bis: vanaf morgen (maandag) gaan de nieuwe paspoorten uitgegeven worden en de rest van Nederland begint wakker te worden. Geenstijl brengt een artikel over 'bakkebaarden', het AD brengt een eerste geval van weigering van een pasfoto. Ook in dit artikel de 'case zero' van Function Creep, toegevoegd aan de pagina 'Problemen met de privacy'