ePaspoort blijkt eenvoudig te kopiëren /6 reacties

ePaspoort blijkt eenvoudig te kopiëren

In een van de meest technische sessies tijdens de afgelopen Infosecurity beurs gaf ethisch hacker Jeroen van Beek van consultancybedrijf Dexlab een demonstratie hoe elektronische paspoorten te kraken. Toegangsbeveiliging voor de chip in het paspoort is niet verplicht, maar zelfs als je die toepast is de sleutel zo zwak dat hij in enkele seconden te kraken valt, liet Van Beek live zien met zijn eigen identiteitskaart. De sleutel bestaat namelijk uit geboortedatum, vervaldatum van het paspoort en een serienummer - allemaal vrij makkelijk te raden.

‘Een stukje cryptografie komt bij het uitlezen niet mee’, aldus Van Beek, die vorig jaar furore maakte door een paspoort op naam van Elvis Presley geaccepteerd te krijgen. ‘Daardoor is klonen in eerste instantie niet mogelijk. Maar tachtig procent van de landen, waaronder de VS en Japan, maakt geen gebruik van die crypto. Hun e-paspoorten zijn dus kloonbaar. Bovendien is de index van de chip niet beveiligd. Bij landen die de crypto wel gebruiken, kun je de index aanpassen, zodat uitleesapparatuur denkt dat ze niet op de aanwezigheid van crypto hoeft te testen.’

Japans poortje

Het is zelfs mogelijk om valse paspoorten aan te maken, uitgegeven door niet-bestaande landen, liet Van Beek zien, omdat landen elkaars cryptografische sleutels niet uitwisselen. Dat heeft te maken met allerlei diplomatieke gevoeligheden. Een uitleesapparaat checkt daarom alleen de interne consistentie van de informatie op de chip. Als die klopt, is het paspoort geldig. Met een zelfgemaakt paspoort op naam van ‘Hello Kitty’ hield Van Beek zodoende moeiteloos Japanse poortjes voor de gek.

‘De afdeling op het ministerie van Justitie die e-paspoortfraude zou moeten opsporen, heeft niet eens de beschikking over uitleesapparatuur’, zei Van Beek, die eraan toevoegde dat een proef met poortjes op Schiphol in 2007 mislukt is. In 2010 volgt een nieuwe proef.

Reageren via Facebook

Over Christian Jongeneel

Christian Jongeneel is wetenschapsjournalist voor onder andere Technisch Weekblad en De Ingenieur. Zijn weblog en andere artikelen zijn te vinden op [url=http://www.christianjongeneel.nl]www.christianjongeneel.nl.