Meetbare eigenschappen

Nieuwe contactloze chip in paspoort stelt zware eisen aan beveiliging

Dit artikel delen:

Volgend jaar is het Nederlandse paspoort een onzichtbare radiochip rijker waarop een gelaatsscan en later vingerafdrukken van de eigenaar te vinden zijn. Er is veel gedaan om deze privacygevoelige informatie goed af te schermen.

Hoe werkt biometrie?
Biometrie is het vaststellen van meetbare eigenschappen van levende wezens, aldus de Van Dale. Informatie over lichaamskenmerken van de mens worden in computers altijd in de vorm van een sjabloon opgeslagen. In de sjabloon van bijvoorbeeld een gelaatsscan is behalve de grafische informatie met de kleur en positie van pixels ook informatie te vinden over de ruimte tussen de ogen en andere herkenningspunten op het gezicht die in de sjabloon gedefinieerd zijn.
Het beveiligingssysteem loopt bij een gelaatsscan de herkenningspunten uit de sjabloon na bij controle van de identiteit en vergelijkt dit met de sjabloon die bij de controle gemaakt is. Bij deze controle wordt dus niet de hele foto of opname van het gezicht nagelopen, maar alleen de herkenningspunten. In het paspoort is de biometrische controle van het gelaat bedoeld om look-alike-fraude met het paspoort te voorkomen. Als de gescande informatie niet overeenkomt met de informatie op de chip is dit bij de controle direct te zien. Naast de gelaatsscan zijn vingerafdrukken en de irisscan veelvoorkomende vormen van biometrie.
Dat er in het nieuwe paspoort een rfid-chip gebruikt zou worden was geen uitgemaakte zaak. Het lastige aan het toevoegen van nieuwe onderdelen aan reisdocumenten is dat deze internationaal gezien aan een verzameling van strikte regels moeten voldoen. "Voor paspoorten zijn normen afgesproken voor de positie van de foto en de verschillende gegevens van de houder. Het is erg lastig om dit ontwerp op de helling te zetten door er een smartcard-chip met biometrische gegevens tussen te zetten. Een contactloze chip geeft die flexibiliteit wel, doordat hij op veel meer plaatsen in het paspoort is weg te werken", zegt Tom Kinneging, project manager bij de bestaande fabrikant van het Nederlandse paspoort, SDU Identification.
Nederland heeft van september 2004 tot en met februari 2005 een proef gedaan met biometrische kenmerken in het paspoort. In de gemeenten Almere, Apeldoorn, Eindhoven, Groningen, Rotterdam en Utrecht hebben in totaal 14.700 mensen een paspoort of een identiteitskaart afgenomen met een gelaatsscan en vingerafdrukken van beide wijsvingers. SDU Identification heeft er bij deze proef voor gekozen om de rfid-chip en antenne onzichtbaar weg te werken in de plastic 'houderpagina' (de pagina in het paspoort waarop alle persoonlijke gegevens staan), die ook het centrale hart van het bestaande paspoort is. In andere landen is de rfid-chip en de antenne ook wel op de binnenkant van de kaft of juist midden in het document terechtgekomen. Behalve een gelaatsscan en vingerafdrukken zijn op de rfid-chip van Philips-makelij (met een opslagcapaciteit van 72 KB) de machine- leesbare gegevens uit het paspoort te vinden, evenals digitale documentbeveiligingsgegevens.

Keerzijde

De flexibiliteit van de contactloze chip heeft zijn keerzijde. De draadloze eigenschap vergroot de kans op inbreuk op de privacy gevoelige informatie. De rfid-chip in het Nederlandse paspoort is een passieve chip, die zijn werk slechts doet als het zich op hooguit tien centimeter van een lezer bevindt. "Bij een rfid-chip is de informatie met een gevoelige antenne van tientallen meters afstand uit te lezen als de chip communiceert met een lezer. Dat maakt de beveiliging van deze informatie complexer", aldus Kinneging. Hij neemt deel aan het internationaal overleg over standaarden voor biometrische informatie in reisdocumenten. Deze discussie vindt plaats binnen de internationale burgerluchtvaartorganisatie Icao, waarin eerder al afspraken gemaakt zijn over de normen voor machineleesbare informatie onder aan de houderpagina in het paspoort. De Europese Commissie heeft de eisen van Icao voor de biometrische chip als norm gesteld voor de paspoorten van de EU-lidstaten.
Er is bij Icao veel energie gestoken in standaarden voor de beveiliging van deze informatie. Zo is de integriteit van de informatie zelf beschermd doordat de chip een digitale handtekening bevat, waaraan te zien is of de informatie authentiek en niet gewijzigd is. Daarnaast is er een beveiliging tegen het ongeoorloofd uitlezen van de chip op afstand ingebouwd. In het chipontwerp is de procedure Basic Access Control ingebouwd, die een code oppikt uit de machineleesbare informatie. Alleen met die code is er toegang tot de chip te krijgen. Daarnaast fungeert deze code ook als een sessiesleutel voor het cryptografisch beschermde communicatiekanaal dat tussen de lezer en de chip in het paspoort wordt opgezet voor het uitlezen van de biometrische gegevens. "Deze procedure zorgt ervoor dat je het Nederlandse paspoort moet openslaan en de magneetstrip door een lezer moet halen voordat je de biometrische informatie te zien krijgt ", aldus Kinneging. Een dichtgeslagen paspoort houdt daarmee de biometrische informatie verborgen.
Daarnaast is binnen de Icao bepaald dat voor het gebruik van vingerafdrukken in reisdocumenten een extra beveiligingslaag noodzakelijk is. In dit voorstel, Extended Access Control genaamd, moet een inspectiesysteem bij een grenscontrole de juiste en geldige sleutels uitwisselen met het paspoort voordat het toestemming krijgt tot inzage in de informatie. "Overheden kunnen deze maatregel toepassen om de informatie alleen toegankelijk te maken voor goedgekeurde apparaten of het controleren van de vingerafdruk per land te autoriseren", zegt Kinneging. Nadeel van deze maatregel is dat een centraal en internationaal beheerpunt van deze sleutels moeilijk te realiseren is. Hier is nog overleg over binnen de EU, die wel al besloten heeft dat vingerafdrukken in reisdocumenten opgenomen zullen worden.

Normen

De normen voor beveiliging en toegang tot de biometrische informatie op de chip zijn broodnodig om de biometrische informatie straks in meerdere landen met apparatuur van verschillende fabrikanten uit te kunnen lezen. In Nederland is in de proef met de biometrische kenmerken in het paspoort al ervaring opgedaan met deze situatie doordat er met apparatuur van verschillende fabrikanten gewerkt is. De vingerafdrukken zijn vastgelegd met apparatuur van het Franse technologieconcern Sagem. Voor het opnemen van de gelaatsscan is apparatuur van Viisage gebruikt. Voor het uitlezen van de gelaatsscan is leesapparatuur gebruikt van Cognitec, Biodentity en Identix. Voor het uitlezen van vingerafdrukken is gewerkt met systemen van Precise Biometrics, Nec en Bioscrypt.

Gefaseerde invoering
Nederland gaat de biometrische gegevens in twee fases invoeren. Het kabinet kiest voor deze gefaseerde aanpak, omdat de technische specificaties voor de gelaatsscan wel, maar die voor vingerafdrukken nog niet door de Europese Commissie zijn vastgesteld. De gelaatsscan moet volgens de Europese verordening voor 28 augustus 2006 in het Nederlandse paspoort opgenomen zijn. De VS stelt het gebruik van een gelaatsscan verplicht per oktober 2005 verplicht. Wanneer de afdrukken van de linker- en rechterwijsvinger in het paspoort komen is nu nog niet bekend.
Er kunnen problemen ontstaan met het goed uitlezen van biometrische informatie, omdat het in sjabloonvorm wordt opgeslagen. De ene fabrikant gebruikt een ander sjabloon dan de ander. De gelaatsscan bijvoorbeeld wordt als een jpeg-plaatje opgeslagen, maar dan wel in sjabloonvorm. De biometrische apparatuur leest en controleert niet zozeer de pixels als wel voorgedefinieerde posities op het gezicht waaronder de ruimte tussen de ogen en andere herkenningspunten in het gezicht. Hierdoor kunnen problemen optreden bij de logische structuur van de informatie. Bij de proef traden er weinig moeilijkheden op met apparatuur van verschillende fabrikanten. "Het blijkt dat mensen meer instructies moeten krijgen voor bijvoorbeeld het afnemen van een vingerafdruk. Sommige mensen drukten hun vingers meer op de leesapparatuur dan dat ze deze er oplegden. Bij het uitgifteproces van paspoorten verandert dan ook het een en ander", aldus Kinneging.

Uitgifteproces

Net als bij het bestaande paspoort maakten de gemeenten bij de proef gebruik van een paspoortaanvraagsysteem dat door SDU Identification geleverd is. De gemeente nam de biometrische kenmerken van de paspoortaanvrager op en sluisde dit samen met de gebruikelijke paspoortgegevens naar SDU Identification in Haarlem, die ze vervolgens in het reisdocument verwerkt heeft. Bij het ophalen van het paspoort controleerde de gemeente de identiteit van de paspoorthouder opnieuw door een gelaatsscan te maken en de afdrukken van beide wijsvingers af te nemen. "Deze procedure sloeg twee vliegen in één klap. De gemeente kon controleren of de rechtmatige eigenaar zich bij de balie meldde. Daarnaast was het ook een extra controle of de biometrische gegevens wel goed vastgelegd waren in het document en of de chip correct functioneert. Bij de registratie zou er bijvoorbeeld nog te weinig profiel in een vingerafdruk kunnen zitten", zegt Kinneging.
Tot nu toe is de informatie over de uitgegeven paspoorten altijd decentraal bij de gemeenten en ambassades vastgelegd. Alleen van gestolen en niet te gebruiken documenten bestaat nu een centraal register. Het kabinet wil bij het biometrische paspoort overstappen op centrale registratie in het kader van terrorismebestrijding en om administratieve redenen. In april schrijft minister Pechtold van Bestuurlijke Vernieuwing en Koninkrijksrelaties aan de Tweede Kamer dat "het van het grootste belang is dat voorkomen wordt dat terroristen de identiteit kunnen aannemen van andere personen en als gevolg daarvan onopgemerkt blijven."

Informatie op de rfid-chip

BiometrieFormaatOmvang
Machineleesbare informatieAscii92 bytes
GelaatscanJpeg200015 KB
VingerafdrukWSQ (wavelet scalar quantization)12-15 KB per vingerafdruk

Bron: Europese Commissie en SDU Identification

Daarnaast zijn er administratieve redenen. Een woordvoerder van het ministerie van Binnenlandse Zaken zegt dat er voor een centrale opzet gekozen is, zodat bij vermissingen de identiteit van de betrokken persoon te verifiëren valt aan de hand van de centraal in de administratie opgeslagen biometrische gegevens. Verder wil men met centrale opslag eventuele manipulatie van die gegevens in het document kunnen detecteren. Ook is het een middel om bij het verwerken van de aanvragen van reisdocumenten na te gaan of de aanvrager eventueel onder een andere identiteit ook bij andere instanties een aanvraag voor een reisdocument heeft ingediend.

Kritiek

De rfid-chip met biometrische informatie in het paspoort roept bij privacyvoorvechters veel kritiek op. "Ook al klap je het paspoort niet open, de rfid-chip stuurt toch een unieke code uit. Dit gebeurt omdat in de ISO-standaard voor de draadloze communicatie rekening gehouden is met meerdere chips die elkaar door een uniek nummer te gebruiken niet in de weg hoeven te zitten. Met dat unieke nummer heb je vervolgens, ondanks de beveiligingsmaatregelen in de paspoortchip, alsnog een peilzender waarmee mensen op straat en andere plekken te volgen zijn", zegt Sjoera Nas van Bits of Freedom.
Zij heeft ook kritiek op de centrale opslag van de biometrische informatie, omdat dit tot misbruik kan leiden. De centraal opgeslagen informatie over vingerafdrukken en foto's van gezichten zou net zo goed gebruikt kunnen worden om mensen te identificeren. Verder vindt zij dat het kabinet onterecht de indruk wekt dat centrale opslag een Europese eis is. De Raad van Europese ministers heeft lidstaten niet verplicht tot centrale opslag van biometrische gegevens. Minister Pechtold meldde dat voor de invoering van vingerafdrukken een wijziging van de paspoortwet noodzakelijk is.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2005-05-20T00:00:00.000Z Sytse van der Schaaf
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.