Waarschuwingen tegen paspoort-databank ====================================== Computable nr. 10 , 10 maart 2006 Tonie van Ringelestijn Europese Unie blijft beleid Verenigde Staten volgen, ondanks veel kritiek Nederlanders krijgen vanaf augustus 2006 een paspoort met een radiochip met een digitale foto. Later volgen vingerafdrukken. Deze gegevens komen ook in een centrale databank. Criticasters waarschuwen daartegen: de regering dreigt een kind met een waterhoofd te baren. Het Nederlandse paspoort krijgt vanaf volgend jaar een rfid-chip die draadloos kan communiceren met de computer van de douane. Op de chip staat in eerste instantie alleen een digitale gezichtsfoto. Het gezicht voor de scanner wordt gecontroleerd met het gezicht op de chip. Over een paar jaar volgen de digitale afbeeldingen van twee vingerafdrukken. De invoering van rfid-chip in het paspoort komt voort uit een eis van de Verenigde Staten, na de aanslagen van 11 september 2001. Amerika laat alleen nog reizigers zonder visa toe uit landen die op 25 oktober 2006 zijn begonnen met het invoeren van biometrische paspoorten. Alle EU-landen spraken in een verordening van december 2004 af de paspoorten uiterlijk in augustus 2006 te voorzien van de draadloze chips. De deadline voor het Nederlandse e-paspoort is eind augustus. België (november 2004) en Duitsland (november 2005) geven al paspoorten met chips uit. De reden om het biometrische paspoort in te voeren is vooral het tegengaan van zogeheten 'look-alike-fraude': dat mensen reizen op het paspoort van anderen. Amerika vermoedt dat vooral criminelen en terroristen dat doen. Europa volgt Amerika gehoorzaam. Het Europees Parlement (EP) heeft op 2 december 2004 ingestemd met de opname van een gelaatsscan in paspoorten. Het Europees Parlement vond toen nog dat de opname van vingerafdrukken facultatief moet blijven, maar die mening is herzien. Het Europees Parlement verzette zich destijds ook tegen de centrale database met paspoortdata, vanwege het risico van misbruik. Het EP vermeldt ook nadrukkelijk dat de biometrische gegevens uitsluitend mogen worden gebruikt ter verificatie van de echtheid van documenten en voor het vaststellen van de identiteit van paspoorthouders. Landen mogen zo'n online biometrische databank gekoppeld aan het paspoort echter wel zelf invoeren. En Nederland is, naar nu blijkt, een van de weinige landen waarvan de regering al heeft verklaard zo'n online databank te willen invoeren. Sjef Broekhaar, de baas van het Bureau Persoonsregistratie en Reisdocumenten: "De politiek moet beslissen of er een centrale databank komt of niet. Ik kan als ambtenaar alleen uitvoeren." Verificatie In eerste instantie was het de bedoeling om het e-paspoort alleen te gebruiken om te verifiëren dat reisdocument en houder bij elkaar horen. Een 'beperkte toepassing' van biometrie, noemde de verantwoordelijke minister Van Boxtel dat nog in 2002, bij de wijziging van de paspoortwet. Begin 2005 was er echter een verschuiving in het regeringsstandpunt. Ministers Donner en Remkes stuurden op 24 januari 2005 een brief naar de Kamer over terreurbestrijding. Daarin staat dat er een nationale databank met biometrische data van paspoorten komt met als doel mensen te identificeren. "De mogelijkheid ontstaat om de identiteit tevens online te verifiëren. Dit veronderstelt dat de administraties van de identiteitsdocumenten met biometrische kenmerken centraal zijn georganiseerd. Aldus kan het groeiende aantal gevallen van de zogenaamde look-alike-fraude, waarvan ook terroristen gebruik maken, worden tegengegaan", aldus de bewindslieden. De volgende stap is de brief van minister Pechtold op 18 april 2005 aan de Tweede Kamer: "De vorming van een centrale reisdocumentenadministratie waarmee de gegevens van de reisdocumenten online geverifieerd kunnen worden zal in een wetsvoorstel worden geregeld." Pechtold noemt een aantal redenen, waaronder: meer zekerheid over de identiteit van de paspoorthouder en de echtheid van het reisdocument, en controle van de echtheid van de gegevens op het paspoort. De redenen die Pechtold noemt gaan volgens Bart Jacobs, expert in computertechniek en beveiliging aan de Radboud Universiteit van Nijmegen niet op. "Een centrale databank geeft geen extra betrouwbaarheid, want die bevat dezelfde biometrische gegevens als die op de chip op het paspoort staan. Dit gaat alleen op als de chip op het reisdocument kapot is." Volgens Jacobs kan de authenticiteit van het document ook offline worden aangetoond via de bestaande mechanismen. "Daarom zijn die nu juist ingevoerd. Als je beveiligingstechnieken kennelijk niet vertrouwt, moet je ze helemaal niet gebruiken." Ook vindt Jacobs het argument van de extra controle bij de paspoortaanvraag curieus, want die aanvraag doet de burger lokaal. "Zelfs al zou je zo'n controle willen uitoefenen, kan een lichtgewicht centrale databank bij de paspoortfabrikant die alleen abstracte biometrische data bevat, door middel van hashing, misbruik al genoeg voorkomen." 'Vragen om problemen' "Dit is vragen om problemen. Zo'n databank zal een erg aanlokkelijk doelwit zijn voor hackers die werken voor de georganiseerde misdaad. Inbraak veroorzaakt een nationale ramp. Onbegrijpelijk dat de Nederlandse overheid dergelijke risico's wil nemen." En het is een volgende stap in latente privacyschending, indien de databanken worden gekoppeld voor identificatie. "De situatie in Nederland was eerst heel redelijk, maar veranderde naar radicaal. Het argument is simpel: terrorisme", weet Jacobs. Zijn collega Jaap-Henk Hoepman, ook van de Radboud Universiteit, vindt de databank gevaarlijk: "Een centrale database schreeuwt gewoon om een function creep: de politie krijgt toegang tot de database bij het vinden van vingerafdrukken bij een zwaar misdrijf, bijvoorbeeld." "Voor het paspoort bestaan natuurlijk al centrale databanken met de gegevens", zegt Marc Witteman van het onderzoeksbureau Riscure, gespecialiseerd in de beveiliging van chips en smartcards. "Als er technisch geen goede reden voor is om dit in te voeren, dan doe je dat niet." Koppelingen op til Een centrale biometrische databank doet Maurice Wessling van Bits of Freedom huiveren: "Een centrale databank kan ook de identificatieplicht ondersteunen. Als je wordt aangehouden zonder licht en je hebt je paspoort niet bij je, dan moet je mee naar het bureau om je vinger te vergelijken met de databank. Dat kan zelfs op straat als agenten mobiele vingerscanners krijgen." Hij vraagt zich af in hoeverre dit door het bedrijfsleven gebruikt kan worden. Immers, ook het burgerservicenummer, de ov-chipkaart en het elektronisch patiëntendossier wekken argwaan: "Ook daarbij is er sprake van dat het bedrijfsleven toegang zou kunnen krijgen. Minister Zalm van Financiën praat al met banken en verzekeraars over het kunnen opvragen van gegevens die bij een burgerservicenummer horen." Ook de oudgediende hacker Rop Gongrijp is pessimistisch over dit soort ontwikkelingen. "Eerst het rfid-paspoort en straks staat op de ov-chipkaart waar je geweest bent, wat komt hierna? Het volgen van alle auto's met chips in verband met rekeningrijden en cameratoezicht elke honderd meter in de straten? Het lijkt wel alsof in Nederland niks te gek is. Het moet eerst flink misgaan, willen mensen realiseren dat we te ver zijn doorgeslagen. Nederland is erger dan andere landen in veel opzichten, dat maakt het zo naargeestig. In Amerika zijn mensen mondiger. Daar zie je al langzaam het verzet tegen afluister- en spionagepraktijken op gang komen." Binnenlandse zaken zegt het beleid niet te herzien. De afspraken zijn gemaakt. Wel bracht het departement experts samen in een groep, waar ook criticasters als Bart Jacobs deel van uitmaken. Vertrouwen kweken Den Haag staat voor de taak om vertrouwen in het nieuwe paspoort te kweken en transparant te zijn in de ontwikkeling, eerst in de kring van experts. Zo kwam er recent in de Beurs van Berlage in Amsterdam een internationaal gezelschap van internationale experts bijeen. Tegenover genoemde Nederlandse en vooral Duitse kritiek stond daar het Amerikaanse optimisme over het nieuwe paspoort. BiZa slaagde erin baas van de Amerikaanse paspoorten bij het ministerie van buitenlandse zaken in Washington, Frank Moss, te strikken voor een voordracht. Moss ziet geen enkel probleem in het nieuwe paspoort, noch in de databank. De biometrische gegevens gaan Amerika's eigen databank in. In zekere zin zijn de paspoorten al centraal digitaal vastgelegd: de overheid heeft al jarenlang een databank met alle gegevens die bij uitgegeven paspoorten horen. In Amerika heeft deze databank, het Passport Records Imaging System Management, volgens Moss ingescande foto's van paspoortaanvragen sinds 1994. In Amerika is de controle van look-alike-fraude nog moeilijker vanwege de kwetsbaarheid van de Amerikaanse grenzen, die jaarlijks 129 miljoen keer worden overgestoken. De VS tellen bovendien 661.000 nummers van paspoorten die verloren of gestolen zijn, 10 procent van de totale database op dit gebied van Interpol. Volgens Moss heeft de VS ook 50.000 namen van vermisten of andere personen die gezocht worden door opsporingsdiensten. De uitgifte van nieuwe paspoorten in de VS stijgt door de nieuwe vereisten: in 2005 10,5 miljoen nieuwe paspoorten, in 2006 12 miljoen, in 2007 14 miljoen en mogelijk 17 miljoen in 2008, zo vertelde Moss. Over een paar jaar moet wellicht wederom vernieuwing plaatsvinden. In de toekomst willen de VS extra kenmerken toevoegen, wat een chipgeheugen van tenminste 64kb vereist. De eerste veldtesten met het e-paspoort zijn al in juni gedaan door de VS, Australië, Nieuw-Zeeland en Singapore, die al rfid-paspoorten hebben. Sommige luchthavens, zoals Minneapolis en San Francisco, testen het gebruik van rfid-paspoorten. Moss waarschuwt vooral voor gehaaste invoering, een hint voor Nederland die (wederom) in korte tijd het paspoort wil invoeren nadat het enkele jaren geleden al op de complexiteit van de invoering van een nieuw paspoort onderuit ging. Kritiek op leveranciers "Een paar jaar geleden dacht ik dat we het elektronische paspoort in een jaar tijd konden invoeren, maar als ik één ding heb geleerd dan is het wel dat het allemaal langer duurt. De verwachtingen die de biometrie-industrie schepte konden niet waargemaakt worden", aldus Moss, die in Amsterdam felle kritiek leverde op de leveranciers van biometrische technologie. "Biometrie is maar een gereedschap, geen doel op zich. Ik heb alle leveranciers van alles zien beloven, maar niet als het op grote schaal ingevoerd moet worden. Ze moeten sneller leveren en schaalbaar. Als mensen er geen vertrouwen in hebben dat gegevens niet te onderscheppen zijn, dan brengt dat dit soort projecten en dus ook de hele biometrie-industrie in gevaar. We moeten geen claims maken als zou 11 september-kaper Mohammed Atta dankzij biometrie gepakt zijn voordat hij een aanslag pleegde. Biometrieleveranciers moeten minder beloftes maken en meer leveren dan ze beloven", aldus Moss. En toch, groot optimisme, en geen enkel privacygevaar. Moss wil animo kweken: "Ik wil duidelijk maken dat de gegevens op de chip grotendeels hetzelfde zijn als nu op het papieren paspoort. Je moet blijven duidelijk maken welke gegevens er niet op komen: geen vluchtgegevens, geen social data. Persoonlijke privacy van de burgers is beschermd door een zware technische beveiliging, zodat mensen niet te volgen zijn. Ik zal een volledig werkend biometrisch paspoort hebben voor 30 miljoen mensen tegen oktober 2006. Als alles goed gaat. Niet alleen de databank, ook de draadloze communicatie van de chip zelf vormt een doelwit van hackers. Het was een van de verrassingen waar Amerika zich volgens Frank Moss voor geplaatst zag: "We kwamen erachter dat je draadloze communicatie van een veel grotere afstand kunt opvangen dan we hadden verwacht. Vanaf meer dan tien meter zelfs. Daardoor hebben we een betere beveiliging nodig." Amerika overweegt het invoeren van een metalen buitenkant van het paspoort zodat er een 'kooi van Faraday' ontstaat waardoor de draadloze signalen bijna niet meer op een afstandje op te vangen zullen zijn. In feite wordt het paspoort dan een 'contactchip' die dichtbij het leesapparaat wordt gelezen in plaats van met lopen door een poortje. Dat maakt de invoering van draadloze techniek vrij nutteloos. De meest logische oplossing lijkt het opvoeren van het encryptieniveau. De sleutels zelf zullen een encryptie hebben van 224 bits 'order of base point'. Voor dat tekenproces wordt door overheden gewerkt met een encryptie van 256 bits. De baas van de Duitse paspoorten, Edgar Friedrich, zei tijdens het congres in Amsterdam dat de Duitse e-Pass die sinds november 2005 wordt uitgegeven, gebruikmaakt van SHA-1 (Secure Hash Algorithm). In dat algorithme, ontworpen door de Amerikaanse National Security Agency (NSA), ontdekten Chinese wetenschappers echter kwetsbaarheden. Het kraken van de 224- en 256-bits beveiliging is nu onmogelijk voor betaalbare computers, maar dat zal ooit anders zijn. Minister Pechtold beseft dat: "Ik verwacht niet dat deze 'race', gelet op de waarde van de reisdocumenten in het maatschappelijk verkeer, ooit zal ophouden. Mijn beleid is er daarom op gericht om in de race voor te blijven door gebruik te maken van nieuwe technieken als die bruikbaar zijn gebleken". Kader: BEVEILIGING Het grootste probleem bij de invoering van het e-paspoort is de beveiliging van alle techniek. Eind februari 2005 werd de Europese Commissie het eens over de technische details van het nieuwe paspoort. Die sluiten aan bij eerdere standaarden die zijn gemaakt door de ICAO, de Inernational Civil Airline Organisation. De beveiliging beslaat minimaal de volgende drie onderdelen: 1) De zogeheten 'basic access control', die ervoor moet zorgen dat de houder van het paspoort deze ook echt moet overhandigen voordat de informatie op de chip kan worden uitgelezen. De chip op het paspoort wordt alleen uitgelezen als de cryptografische sleutel klopt. Die sleutel wordt afgeleid uit de variabelen die op het papieren paspoort staan: geboortedatum, vervaldatum en paspoortnummer. Deze staan op de zogeheten machine readable zone (mrz), het deel van het paspoort dat door een scanapparaat gelezen kan worden. Geboortedatum, vervaldatum en paspoortnummer vormen samen de sleutel. Kloppen ze alle drie dan krijgt de computer toegang tot de bestanden op de chip. 2) Ten tweede wordt het vervalsen van paspoorten tegengegaan door de controle van de elektronische handtekening van het veiligheidsdocument. Deze handtekening bestaat uit hash-codes die worden gegenereerd uit de belangrijke gegevens op het paspoort, en bevat een sleutel uitgegeven door het land waarbij het paspoort hoort. Die sleutel moet elke drie maanden worden ververst. 3) De derde beveiligingslaag zijn EU-landen niet verplicht in te voeren, maar Nederland doet dat wel. Het is een extra sleutel die de chip meekrijgt, waardoor een extra hashcode ontstaat. Op termijn voegt de controle van de vingerafdruk nog een beveiligingselement toe. De biometrische gegevens zijn uitleesbaar als: * het certificaat van SDU klopt (de producent van de paspoorten) * een publieke sleutel voor de controle van de echtheid van de pas beschikbaar is; * de hashcodes die bij alle gegevens op het paspoort horen kloppen (geboortedatum, vervaldatum, paspoortnummer etcetera); * de elektronische handtekening geldig is (ook geleverd door DU). Het bestand met de gezichtsfoto krijgt in eerste instantie geen eigen beveiliging; voor het bestand met de vingerafdruk zal dat waarschijnlijk wel gebeuren. Wie deze allemaal heeft, kan in theorie een niet van echt te onderscheiden digitale kopie van het paspoort maken.