Paspoorten - Radio frequency identification-chip - Mogelijkheid tot illegaal kopiëren van de gegevens - Maatregelen
paspoort
persoonlijke gegevens
gegevensbescherming
computerpiraterij
Verenigde Staten
13/2/2009 | Verzending vraag (Einde van de antwoordtermijn: 19/3/2009) |
20/3/2009 | Antwoord |
Ook gesteld aan : schriftelijke vraag 4-2984
Moderne paspoorten zijn in de Verenigde Staten net als in onder meer België voorzien van een chip met persoonlijke gegevens van de eigenaar. Dat moet helpen vervalsingen op te sporen. Volgens critici is de gebruikte technologie echter onveilig : de informatie op de Radio frequency identification-chip (RFID) kan op afstand worden uitgelezen.
Hacker Chris Paget reed met een zelfgebouwde chiplezer door de binnenstad van San Francisco, en slaagde er volgens "The Register" in om binnen twintig minuten de unieke code van twee paspoortchips van voorbijgangers te kopiëren, zonder dat de houders daar iets van merkten. Paget wilde met zijn demonstratie het ongelijk aantonen van voorstanders van dergelijke "gechipte" paspoorten. Die beweren vaak dat gebruik van de chip geen reëel gevaar zou opleveren, omdat kopiëren alleen onder gecontroleerde omstandigheden zou kunnen.
Gezien het voorgaande kader kreeg ik graag een antwoord op volgende vragen :
1. Wat is de reactie van de geachte minister op het bericht dat chips in identiteitsbewijzen in Amerika gekloond zijn zonder dat de eigenaar daar iets van wist ?
2. Kan hij aangeven welke nadelen en risico's het klonen met zich meebrengt ?
3. Sluit hij uit dat de chip in de Belgische reisdocumenten ook op deze wijze, dus zonder medeweten van de eigenaar, gekloond kan worden ? Zo ja, kan hij dit toelichten ? Zo nee, waarom niet ?
4. Welke maatregelen kunnen genomen worden om dergelijke cloning tegen te gaan ?
5. Deelt hij de mening dat het toepassen van deze technologie uiteindelijk een race tussen hackers en overheid zal zijn ? Zo ja, acht hij het dan wijs om op deze chip biometrische informatie te zetten ? Zo nee, waarom niet ?
Ik begin met eraan te herinneren dat het Belgische paspoort en zijn elektronische componenten in alle opzichten conform zijn aan volgende technische specificaties van de Europese Unie:
Reglement (CE) 2252/2004 van de Raad van 13 december 2004
Beslissing van de Commissie van 28 februari 2005
Beslissing van de Commissie van 28 juni 2006
Deze specificaties verwijzen zelf naar de aanbevelingen van de International Civil Aviation Organisation (ICAO) en naar de normen van de ISO (meerbepaald de normen 14443 en 7816) die hieruit voortvloeien.
De manier waarop de informatie opgeslagen is in het geheugen van de chip, het type signaal dat ze moet ontvangen en het antwoord dat ze moet formuleren, zijn duidelijk gedefinieerd door de ISO norm 7816. Deze norm garandeert de interoperabiliteit van alle elektronische paspoorten ter wereld.
Het is moeilijk om beter te doen dan deze normen te respecteren.
Vanzelfsprekend is de contactloze chip van het type Radio Frequency IDentification (RFID) per definitie ontwikkeld om informatie door te zenden naar een lezer. Ik acht het ook gepast om een aantal basisprincipes in herinnering te brengen:
De informatie opgeslagen op de chip, is op verschillende niveaus beveiligd:
De “Basic Access Control” vereist optisch lezen van de machine leesbare zone op pagina 2 van het paspoort, om toegang te krijgen tot de elektronische gegevens van het paspoort. Met andere woorden, het paspoort moet fysiek geopend worden en op een lezer gelegd om toegang te krijgen tot de gegevens.
De “Active Authentication” beschermt de chip tegen klonen.
In de nabije toekomst zal ook de “Extended Access Control” ingevoerd worden, vanaf het moment dat digitale vingerafdrukken zullen opgeslagen worden op de chip.
Het principe van RFID, toegepast in de paspoorten, bestaat erin om zowel te identificeren als te authentificeren. De landen beschikken hiervoor over de Public Key Infrastructure (PKI) die met behulp van een dubbele sleutel (private en publieke sleutel) toelaat om de gegevens te authentificeren.
Men moet overigens vermijden om de verschillende mogelijke gebruiken van de RFID technologie door elkaar te halen. De “paspoorten” die de hacker Chris Paget gehackt heeft, hebben strikt genomen niets te zien met de hierboven beschreven paspoorten. In zijn geval gaat het over “US paspoortkaarten” afgeleverd en gebruikt om te reizen in de zone USA-Canada-Mexico-Caraïben-Bermuda in het kader van de Western Hemisphere Travel Initiative (WHTI). Deze documenten beschikken niet over dezelfde beveiligingen en maken onder andere gebruik van een hogere zendcapaciteit. Dit was net het beoogde onderzoeksobject van de US douane en grensbeveiliging, in tegenstelling tot wat in onze paspoorten van toepassing is. Ik onderstreep ook dat de noodzakelijke apparatuur voor deze demonstratie gemonteerd was in een wagen, het ging niet om een minimale opstelling.
De vernoemde internationale instanties (ICAO, ISO, Europese Unie) volgen zeer aandachtig de technische evolutie. De normen zullen aangepast worden als de noodzaak zich voordoet en vanzelfsprekend zullen onze paspoorten deze evoluties volgen.