De "onkraakbare" Britse identiteitskaart is binnen 12 minuten door een Nederlandse en Britse beveiligingsonderzoeker gekraakt en gekloond. Niet alleen konden Adam Laurie en Jeroen van Beek de kaart klonen, maar ook van valse gegevens voorzien. De Britse overheid ontkent echter dat de informatie op de kaart te vervalsen is. De identiteitskaart in kwestie is voor 51.000 buitenlanders die op dit moment in Groot-Brittannië werken of studeren. Het ontwerp zal echter ook voor de nationale ID-kaart gebruikt worden, die later dit jaar verschijnt. De kaart is voorzien van een microchip met de naam, geboortedatum van de houder, fysieke eigenschappen, vingerafdruk, immigratiestatus, recht op zorg en meer.

Volgens de Britse regering is de ID-kaart de oplossing voor vervalste identiteitsbewijzen. Laurie had alleen een Nokia mobiele telefoon en een laptop nodig om de gegevens op een lege kaart te kopiëren en te wijzigen, zonder dat de paslezers het verschil merken. Hoe de onderzoeker precies de beveiliging wist te kraken, maakt hij niet bekend. Dit zou namelijk misbruik door criminelen in de hand werken.

Wat betreft het wijzigen van de gegevens had Laurie de hulp van Van Beek nodig. De gegevens zijn via een sleutel beveiligd, wat aanpassingen moet voorkomen. Met hulp van de in Amsterdams wonende consultant en het werk van computerwetenschapper Peter Guttman, konden de onderzoekers de gegevens toch aanpassen, zonder dat die als vervalst zouden worden opgemerkt.

"Niet waar"
Een woordvoerder van het Ministerie van Binnenlandse Zaken noemt het verhaal onzin. "We zijn ervan overtuigd dat de persoonlijke gegevens op de chip niet zijn aan te passen en er is geen bewijs dat dit is gebeurd." De identiteitskaart bevat volgens de woordvoerder een aantal beveiligingsmaatregelen die extreem moeilijk zijn na te maken. Daarnaast passen de kaartlezers "chip authenticatie" toe, zodat gekopieerde kaarten herkend worden. "We hebben het volste vertrouwen dat de identiteitskaart één van de meest veilige is, die aan alle strenge internationale standaarden voldoet."

Zo gebruikt men een 4096-bit root certificaat en is de chip met een 256-bit elliptische curve encryptie beschermd. Voordat de chip de aanwezige informatie vrijgeeft, moet de kaartlezer een recent uitgegeven digitaal certificaat van de kaartuitgever laten zien. Het certificaat verzekert de identiteit van de eigenaar van de publieke sleutel waarmee de data versleuteld is. Volgens de woordvoerder zijn de digitale certificaten een dag tot een maand geldig.

Update: tekst aangepast