Niet de chip maar de lezer is de achilleshiel van het elektronische paspoort.

July 15, 2012

Gister verscheen in de Telegraaf het bericht dat de paspoortchip onveilig is. Dit bericht is gebaseerd op onderzoek van Jeroen van Beek. Jeroen heeft in 2008 al laten zien dat niet alle veiligheidsmaatregelen van het elektronisch paspoort worden gecontroleerd. Hij kon daardoor zijn digitale pasfoto in zijn paspoort vervangen door die van Osama Bin Laden. Dit onderzoek wordt nu weer opgerakeld omdat er volgens Jeroen op dit moment verschillende applicaties vrijelijk op het Internet beschikbaar zijn die deze vorm van misbruik ook voor leken toegankelijk maakt.

Maakt dit de paspoortchip minder veilig? Niet in het minst! Ten eerste is Jeroen's onderzoek gericht op de internationale ICAO standaarden. Eurpopese paspoorten voldoen aan een strengere, Europese standaard. De suggestie dat Nederlandse paspoorten minder veilig zijn is dus niet terecht. Daarnaast ligt het probleem niet bij het paspoort, maar bij de paspoortlezer. Die controleert de veiligheidskenmerken niet, of niet op de juiste manier. Het is vergelijkbaar met te stellen dat dollar biljetten onveilig zijn omdat winkeliers ze ook accepteren als er een afbeelding van Osama Bin Laden op staat, in plaats van Thomas Jefferson of Abraham Lincoln...

Dat doet niets af aan de ernst van de gevonden gebreken. Die worden echter veroorzaakt door fouten in de software van paspoort lezers (en de achterliggende public key infrastructuur). Daar zou dus de aandacht op gericht moeten worden, en niet op het paspoort zelf.

In case you spot any errors on this page, please notify me!
Or, leave a comment.