Hoe veilig is het biometrisch paspoort? ======================================= Volgens hoogleraar Bart Jacobs is er niks mis met een gezonde dosis paranoia. Hij weet alles van de veiligheid van computersystemen, pasjes en het nieuwe biometrische paspoort. Of het de wereld veiliger maakt, is nog de vraag. Maar misschien moeten we alvast onze definitie van vrijheid herzien. BforYou , okt. 2006. Tekst: Alex van der Hulst. "Heb je een pasje bij je?" Bart Jacobs wil wel eens weten of de interviewer is wie hij beweert te zijn. "Ik leer mijn studenten altijd om paranoide te zijn. Is de mail de je krijgt ook echt van de persoon die als afzender staat vermeld? Is de informatie onderweg niet veranderd? Een gezonde dosis paranoia is in dit vak niet slecht. Gelukkig weet ik dat prive wel uit te schakelen." Jacobs is hoogleraar op het gebied van beveiliging en correctheid van programmatuur. Geef hem je chippas en hij kan van via een kaartlezer zien wat je allemaal hebt gekocht de laatste tijd. Zo simpel is het. En met de chips in het nieuwe paspoort en de ov-chipkaart komen er alleen nog maar meer gegevens beschikbaar over ons. Anoniem blijven is steeds moeilijker. "De belangrijkste vraag is wat er gebeurt met die gegevens", zeg Jacobs." Er is nu al meer dan een jaar ruzie tussen Translink, die de ov-chipkaart heeft ontwikkeld, en het College Bescherming Persoonsgegevens. De gegevens op de chip kunnen worden verkocht of worden gebruikt voor marketing. Nu is er ook een anonieme ov-chipkaart, maar wanneer je die oplaadt, is gelijk je bankrekeningnummer gekoppeld aan je kaart. Vingerafdrukken Die Jacobs overdrijft, zal de argeloze pasjeshouder denken die zonder na te denken overal zijn gegevens achterlaat. Maar in de Verenigde Staten worden de burgers al geconfronteerd met de gevolgen van verhandelde persoonsgegevens. Wat je met je creditcard koopt en betaalt, wordt geregistreerd. Hypotheekverstrekkers, verzekeraars en werkgevers in de VS gebruiken die gegevens om te kijken waar je je geld aan uitgeeft, wanneer, hoeveel, etcetera. In Nederland is het nog niet zover, maar met een dwangbevel mag justitie gegevens opvragen en de AIVD mag ook rondsnuffelen in die gegevens. Jacobs: "En dan gaat men er naief van uit dat al die informatie ook klopt. In de Verenigde Staten heb je een no fly list, bedoeld om potentiele terroristen uit het vliegtuig te weren. Maar door fouten staan soms ook peuters en politici op de lijst. Dat zijn de zogenaamde false negatives. Dat aantal wil je graag zo laag mogelijk houden, maar dan gaan de cijfers van de false positives (de verdachten die door de controle glippen) weer omhoog. Het blijkt lastig die cijfers allebei laag te houden." Op het nieuwe biometrische paspoort komt een chip te staan met daarop de pasfoto zodat de douanebeambten met een grotere foto op hun computerscherm reizigers makkelijker kunnen controleren. Ook zijn de persoonsgegevens af te lezen van de chip, net als het sofinummer en vanaf 2009 een digitale vingerafdruk. Maar hebben we over een paar jaar nog wel een paspoort nodig, of kunnen we dan overal terecht met een vingerafdruk of een irisscan? "Ik vind de biometrie zwaar overschat", zegt Bart Jacobs. "Er is al een coffeeshop waar ze je vingerafdruk gebruiken om je leeftijd te controleren. Wil je dat een coffeeshophouder beschikt over je vingerafdrukken? Als die gegevens op straat liggen, kan er veel makkelijker mee worden gefraudeerd. Je leert altijd dat je nooit hetzelfde wachtwoord moet gebruiken voor verschillende inlogmogelijkheden op de computer, ook moet je regelmatig je wachtwoord wijzigen. Terwijl je vingerafdruk hetzelfde wachtwoord is waar je altijd aan vast zit. De oplossing is om de informatie te decentraliseren. Je zou eigenlijk zelf je gegevens moeten kunnen beheren. Wanneer je antidepressiva, viagra of incontinentieluiers hebt gekocht wil je dat misschien wel verwijderen uit je gegevens. Informatie is macht en de clubs die jouw gegevens bezitten, hebben niet de natuurlijke neiging om jou het beheer over je gegevens terug te geven." Hackers Bart Jacobs studeerde wiskunde (met specialisatie informatica) en hield zich als onderzoeker bezig met de type- en categorie-theorie. Totdat hij besefte dat zijn onderzoek goed toepasbaar was op de Java-programma's in chipkaarten. Nu geeft hij het vak computer security bij informatica. Maar Jacobs is tevens afgestudeerd filosoof en denkt na over de gevolgen van de toegenomen registratie van onze handel en wandel. "Ik ga ervan uit dat onze individuele vrijheid blijft bestaan, maar dan wel binnen een strikt kader. Wanneer je daar buiten treedt, zul je worden teruggefloten. Misschien moeten we ons begrip van vrijheid herzien, alles wat we doen kan worden gevolgd. Het wordt een stuk moeilijker om lekker stout te zijn." Met de kennis die Jacobs heeft, zou hij gemakkelijk een goedbetaalde baan in het bedrijfsleven kunnen krijgen. Maar de hoogleraar denkt er niet aan om de universiteit te verlaten. "Mijn academische vrijheid is me ook wat waard. Ik heb nu veel perscontacten waar ik vrijuit mee kan praten. Wanneer ik in de security-wereld ga werken, moet ik nda's (non disclosure agreement) tekenen, dan mag ik niks meer zeggen. Ik hecht aan mijn onafhankelijkheid." Jacobs weet nog niet hoe het zal aflopen met het biometrische paspoort en de andere (onveilige) toepassingen in ons dagelijks leven. "Het is een sociaal experiment eigenlijk. Je kunt natuurlijk de chip onklaar maken in je paspoort; zullen ze je dan weigeren bij de grens? Ik denk het niet. Misschien fouilleren en ondervragen ze je uitgebreid, maar ze zullen je toch niet weigeren. Het paspoort is immers nog steeds geldig. Wat als alle Nederlanders in een vlaag van burgerlijke ongehoorzaamheid hun paspoort in de magnetron leggen? Dan staat de regering machteloos." Jacobs is niet de enige in Nederland die kritisch is ten opzichte van de veiligheid van elektronische systemen. In de aanloop naar de verkiezingen zullen we volgens Jacobs nog veel horen van de actiegroep wijvertrouwenstemcomputersniet.nl. Voormalig hacker Rop Gonggrijp heeft de actie opgestart. Ook Jacobs probeert als een soort professionele kraker vaak achter de geheimen van beveiligde pasjes te komen om te zien hoe veilig de systemen zijn. "Ik vind het wel leuk om systemen uit te dagen. Een zekere kwajongensheid hoort bij dit vakgebied."