Duitse expert kraakt nieuw RFID-paspoort
Chips eenvoudig te kopiëren
04 augustus 2006 | Remco Mourits
Een Duitse beveiligingsexpert heeft laten zien hoe een paspoort met RFID-chip kan worden vervalst. België was een van de eerste om dit paspoort - op vraag van de Amerikansen - in te voeren. Buurland Nederland wil het RFID-paspoort eind augustus gaan invoeren, Duitsland is er al mee begonnen en vele andere landen zullen spoedig volgen. De Verenigde Staten, de grootste pleitbezorger voor het nieuwe paspoort, gaat deze vanaf oktober verstrekken. De V.S. zien de nieuwe documenten als een belangrijk instrument in de strijd tegen het terrorisme.
Lukas Grunwald, werkzaam voor DN-Systems in Duitsland, toonde zijn ontdekking op de Black Hat-sessies die momenteel in Las Vegas worden gehouden. Deze meeting staat beter bekend als de 'hackers-conferentie', aangezien beveiligingsexperts hier laten zien hoe systemen kunnen worden gekraakt.
Het controversiële e-paspoort maakt gebruik van
Radio Frequency Identification (RFID), een techniek die vooral bekendheid geniet als opvolger van de streepjescode. Een RFID-chip kan informatie opslaan en draadloos versturen via radiogolven. De informatie is eenvoudig uit te lezen met een scanner.
De toepassing van RFID moet het vervalsen van informatie in paspoorten moeilijker maken. Grunwald stelt echter dat de data in de chips eenvoudig is te kopiëren. "Volgens mij zijn die RFID-paspoorten geldverspilling. Ze verbeteren de veiligheid helemaal niet", zo stelt hij.
Er zijn plannen om de data op de chip van encryptie te voorzien. Om versleutelde gegevens bij paspoortcontroles wereldwijd te kunnen uitlezen, is echter een ingewikkelde infrastructuur nodig. Dat kost tijd en geld; voorlopig wordt de informatie dus niet versleuteld. "En als je de data kan lezen, kan je deze ook kopiëren en op een nieuwe chip zetten", aldus Grunwald.
Hij claimt er slechts twee weken over te hebben gedaan om een paspoort op deze manier te kopiëren. De meeste tijd was hij naar eigen zeggen kwijt aan het lezen van de specificaties van de e-paspoorten. Deze zijn openbaar; ze staan op de website van de International Civil Aviation Organization (ICAO), een internationale luchtvaartorganisatie die de standaard ontwikkelde.
In een demonstratie voor Wired News, las hij de informatie uit met een officiële RFID-reader voor douane-posten. Hij kocht deze simpelweg bij de fabrikant, het Duitse ACG Identification Technologies. Grunwald claimt echter dat zo'n reader eenvoudig zelf is te maken door een antenne op een standaard RFID-reader te plaatsen. Dit kost zo'n 150 euro.
Vervolgens las Grunwald de data uit met de officiële software, die hij ook had weten te krijgen. In vier seconden had deze Golden Reader Tool de informatie opgehaald. Vervolgens nam Grunwald een lege pagina uit een paspoort, waarin hij een RFID-chip had gestopt. Vervolgens zette hij de data op de door de ICAO gespecificeerde wijze op de chip. Hij gebruikte hiervoor de RFID-reader, die ook informatie kan schrijven. Het eindresultaat: een paspoortpagina die door de RFID-reader niet van het origineel is te onderscheiden, aldus Wired News.
Op de Black Hat-conferentie sprak ook Frank Moss, verantwoordelijk voor het paspoort bij het Amerikaanse ministerie van Binnenlandse Zaken. Hij stelde dat al lang bekend was dat de informatie kan worden gekopieerd en dat de foto en gedrukte informatie in het paspoort daarom belangrijk blijven om fraude te voorkomen.
Lees meer artikels over :
paspoort, rfid
bron: ZDNet, Wired News
