TWIJFELS OVER VEILIGHEID NIEUW PASPOORT ======================================= `Noodoplossing om fraude te voorkomen' Charlotte Schneider, PM, het magazine voor de overheid, nr. 8, 27/4/2006. BZK/Justitie De beveiliging van het deze week gepresenteerde nieuwe elektronische paspoort is verbeterd, maar nog niet optimaal. Dat zeggen beveiligingsexperts. 'De confidentiële gegevens in het paspoort zijn nog niet goed beveiligd,' zegt Bart Jacobs, hoogleraar Security of systems aan de Radboud Universiteit van Nijmegen. Volgens hem kunnen de biometrische kenmerken die in het nieuwe paspoort op een chip zijn opgeslagen, door onbevoegden worden onderschept. Vanaf augustus 2006 wordt het nieuwe paspoort, met daarop de chip met diverse persoonlijke gegevens en kenmerken, in Nederland ingevoerd. Onder druk van nieuwe terrorismewetgeving uit de Verenigde Staten spraken de landen van de Europese Unie in december 2004 met elkaar af om vanaf augustus 2006 in paspoorten en reisdocumenten biometrische kenmerken op te nemen. Hiermee kan via lichaamskenmerken de identiteit van een persoon worden geverifieerd of vastgesteld. Zo zou het moeilijker worden om het document te vervalsen of om op een paspoort van iemand anders te reizen. Met een chip kunnen de gegevens elektronisch worden gecontroleerd en kan look-a-like-fraude worden bestreden. De technische specificaties voor het beveiligingssysteem van de paspoorten werden vastgesteld door de internationale luchtvaartorganisatie ICAO. Maar volgens beveiligingsexperts is de versleuteling van dit systeem te zwak. 'In de ICAO-standaard zit gewoon een fout, er is onvoldoende gedacht aan de bescherming van de privacy,' vindt Marc Witteman van Delftse beveiligingsbedrijf Riscure. Vorig jaar uitte hij zijn zorgen hierover bij het ministerie van Binnenlandse Zaken en adviseerde hij om aan de ICAO te vragen de beveiligingssystematiek te wijzigen. De chip waarop de persoonsgegevens staan, is beveiligd met een cryptografische sleutel. Deze sleutel bestaat uit de variabelen geboortedatum, vervaldatum en paspoortnummer. 'De beveiliging van deze gegevens was gebaseerd op de onvoorspelbaarheid van het paspoortnummer,' vertelt Witteman. 'Maar omdat de Nederlandse paspoorten op volgorde worden uitgegeven, is dit nummer voorspelbaar en is de bescherming van de gegevens onvoldoende.' Witteman raadde minister Pechtold daarom aan de paspoorten niet meer op nummer uit te geven, maar at random. Minister Pechtold kaartte het beveiligingsprobleem vorig jaar september aan bij de ICAO, maar omdat in sommige landen al was begonnen met het drukken van de nieuwe paspoorten, werd niets meer aan het systeem veranderd. De Nederlandse overheid besloot wel het advies van Riscure aan te nemen. Tijdens de presentatie van het nieuwe paspoort begin deze week vertelde minister Pechtold dat de paspoorten vanaf augustus met een willekeurige nummering worden uitgeven. 'Hiermee zou het probleem voor het belangrijkste deel kunnen worden opgelost,' meent Witteman. 'Maar als het niet of niet goed gebeurt, is het nieuwe paspoort sowieso niet fraudebestendig.' Volgens Jacobs is de willekeurige uitgave van de paspoortnummers niet meer dan een noodoplossing. 'Het verbetert wel iets, maar om het probleem compleet uit de weg te helpen, zou het paspoort geheel opnieuw ontworpen moeten worden.' De Nijmeegse hoogleraar denkt dat de Europese Unie dit niet alleen kan. Er moeten volgens hem wereldwijde afspraken worden gemaakt. 'Het mechanisme waarmee de vingerafdrukken die straks ook op de chip komen te staan worden beschermd, is al een stuk beter,' vindt hij. 'Als dat voor het hele paspoort gebruikt wordt, zou het systeem al veel veiliger zijn.' Voordat de vingerafdruk in het paspoort kan worden opgenomen, moet de Europese Unie nog een deel van de technische specificaties vaststellen. De vingerafdruk is een extra standaard in Europa, bovenop de wereldwijde ICAO-standaard. Minister Pechtold verwacht dat de vingerafdruk binnen drie jaar in de Nederlandse paspoorten zal worden opgenomen. Door al deze maatregelen zou het paspoort optimaal beschermd moeten zijn tegen frauduleus gebruik. 'Maar,' zo gaf hij tijdens de presentatie aan, 'het blijft een race tegen de fraudeurs.'