Components

Demo's e-paspoort toont zwakke punten in nieuwe grenscontroles

Lange rijen voor vuurwerkwinkels in Baarle-Hertog | Omroep Brabant

Lange rijen voor vuurwerkwinkels in Baarle-Hertog | Omroep Brabant
Anonim

De gegevens van de radiochips in zogenaamde e-paspoorten kunnen worden gekloond en gewijzigd zonder detectie, wat volgens veiligheidsonderzoekers een gapend beveiligingslek vormt in de volgende generatie grenscontrolesystemen.

Naar boven van 50 landen rollen paspoorten uit met ingesloten RFID-chips (radiofrequentie-identificatie) met biometrische en persoonlijke gegevens. De verhuizing is bedoeld om frauduleuze paspoorten te verminderen en de grenscontroles te versterken, maar beveiligingsdeskundigen zeggen dat de systemen verschillende zwakke punten hebben.

De Nederlandse onderzoeker Jeroen van Beek heeft een softwaretoolkit uitgebracht die kan worden gebruikt om RFID-chips met valse informatie te coderen. In een demonstratievideo laat van Beek zien hoe een scanner op de luchthaven van Amsterdam een ​​paspoort-chip leest die hij heeft gecodeerd met Elvis Presley's informatie en foto. Het betekent dat een fraudeur mogelijk een neppaspoort kan maken met een RFID-chip die legitiem lijkt. De reden waarom de gegevens er legitiem uitzien, is te wijten aan een fundamenteel probleem in de manier waarop regeringen systemen opzetten voor het verwerken van e-paspoorten, zei Adam Laurie, een freelance beveiligingsonderzoeker die met van Beek aan de demonstratie werkte.

Paspoortgegevens op RFID-chips is ondertekend met een digitaal certificaat dat hoort bij het land waarnaar het paspoort is uitgegeven. E-paspoortsystemen zouden dat certificaat moeten verifiëren bij het scannen van een paspoort, zei Laurie.

Alle landen die e-paspoorten uitgeven, zijn verondersteld hun digitale certificaat te uploaden naar de Public Key Directory (PKD), een database die moet worden opgevraagd Zorg ervoor dat het certificaat correct is, zei Laurie.

Maar slechts 10 van de 50 landen zijn overeengekomen om deze certificaten te uploaden naar de PKD, zei Laurie. Slechts vijf landen dragen bij aan de database, zei hij. < "In principe valt het hele ding naar beneden," zei Laurie. De veiligheid van het e-paspoortsysteem is geworteld in de back-end databasecontroles van die certificaten, zei hij.

In de demonstratie van Van Beek presenteert de paspoort-chip met frauduleuze gegevens zijn eigen certificaat dat van een legitieme autoriteit lijkt te zijn maar niet 't. Aangezien Nederland PKD niet gebruikt om paspoortcertificaten te verifiëren, wordt het certificaat geaccepteerd, aldus Laurie.