Onderzoeker UvA kraakt paspoortchip

De chip in moderne paspoorten die in Nederland en tientallen andere landen wordt gebruikt, is gekraakt. Gegevens op de chip en de pasfoto zijn te kopiëren naar blanco chips die stiekem in een paspoort kunnen worden geschoven. Dat ontdekte onderzoeker Jeroen van Beek van de Universiteit van Amsterdam.

De chip in paspoorten, die op afstanden tot een meter met een computer is uit te lezen, is bedoeld om fraude tegen te gaan. Er staat een kopie op van de informatie die ook in het paspoort zelf te lezen is, zoals naam, geboortedatum, sofinummer en een pasfoto. Vanaf medio juni komt daar in de hele EU ook een digitale versie van een vingerafdruk bij.

Van Beek onderzocht in opdracht van de Britse krant The Times de zogenoemde RFID-chip, de technologie die ook in de eerder gekraakte OV-chipkaart wordt gebruikt. The Times vroeg hierom omdat in Engeland recent een grote partij blanco paspoorten is gestolen. Hij slaagde er onder meer in met een paspoort met een vervalste chip door een controle te komen die vergelijkbaar is met die op Nederlandse gemeentehuizen.

Ook lukte het hem om de chip in een echt paspoort onklaar te maken, onder meer met een hamer en een magnetron. De chip of de informatie daarop kan niet worden vervangen. Het is wel mogelijk een nieuwe chip tussen de bladzijdes te schuiven waardoor die wordt uitgelezen. Zo liet hij in de Britse krant zien dat het mogelijk is door de controle te komen met een paspoort dat digitale informatie en een foto van Elvis Presley of Osama Bin Laden bevat.

Er zijn verschillende beveiligingssystemen die vervalsingen op zouden moeten merken, maar de controles worden vaak niet uitgevoerd. De versleuteling kan worden uitgewisseld door alle ongeveer vijftig landen die de paspoortchip gebruiken, maar slechts enkele landen doen dat. Nederland maakt geen gebruik van de gegevens in de databank. Wel stelt Nederland de eigen gegevens via internet beschikbaar. Andere landen zouden daar dus over kunnen beschikken, waardoor Nederlandse vervalsingen in het buitenland opgemerkt kunnen worden. Of, en welke, landen van die mogelijkheid gebruikmaken is onbekend.

Volgens de onderzoeker ligt het niet aan het ontwerp van het systeem. De fouten die door The Times zijn omschreven, komen doordat niet alle voorgeschreven beveiligingssystemen worden toegepast in de apparatuur waarmee de chips in de paspoorten worden uitgelezen. Er zijn volgens Van Beek geen standaardvoorschriften waaraan die apparatuur in Nederland moet voldoen.

Acuut gevaar is er niet, aldus Van Beek. "Wij claimen niet dat dit vandaag misbruikt kan worden, wel dat we zorgen hebben over de implementatie."

Beveiligingsproblemen, zoals met RFID-chips in paspoorten en in de OV-Chipkaart, kunnen volgens de wetenschapper alleen worden verholpen door openheid over de gebruikte beveiliging te geven. Op die manier kunnen onderzoekers de systemen met elkaar vergelijken en problemen evalueren.

Twee jaar geleden werd al bekend dat het mogelijk is om van een afstandje de nationaliteit van de houder van een paspoort met chip uit te lezen. Kwaadwillenden zouden die techniek in theorie kunnen gebruiken om een bom te laten ontploffen op het moment dat iemand met een bepaalde nationaliteit langs zou lopen.