Nieuws
image

Paspoortchip gekraakt

vrijdag 4 augustus 2006, 10:23 door Redactie, 27 reacties

De rfid-chip op het nieuwe paspoort, dat Nederland dat eind augustus wil invoeren, is eenvoudig te vervalsen. Daarmee is niet het hele paspoort onveilig, zeggen deskundigen.
De Duitse beveiligingsexpert Lukas Grunwald demonstreerde de beveiligingslekken afgelopen donderdag op de Blackhat conferentie in Las Vegas. (Planet MM)

Reacties (27)
04-08-2006, 10:37 door Anoniem
Het was al bekend dat de gegevens op de chip niet gecodeerd zijn, en tja
dan maak je het wel heel erg makkelijk....
04-08-2006, 10:42 door Blowfish
Ja, dat was natuurlijk niet zo onverwacht. Hoe harder er vaak geroepen
wordt dat iets 100% veilig is, hoe sneller het gekraakt wordt.
04-08-2006, 10:44 door Blowfish
Door Anoniem
Het was al bekend dat de gegevens op de chip niet gecodeerd zijn, en tja
dan maak je het wel heel erg makkelijk....
Volgens mij zijn de gegevens wel geëncrypt. Daardoor konden ze geen
gegevens aanpassen, maar alleen een kopie maken.
04-08-2006, 11:48 door Anoniem
Blijven we dit herhalen?

Weet je dat het boekje ook gewoon open kan? Dan is alle informatie zo te
lezen!

Beter nog: als ik naar de persoon kijk dan heb ik al een beter plaatje dan
wat er in het document staat.

Beveiliging is altijd relatief aan wat je denkt te beveiligen.
04-08-2006, 11:50 door Anoniem
Door Blowfish
Door Anoniem
Het was al bekend dat de gegevens op de chip niet gecodeerd
zijn, en tja
dan maak je het wel heel erg makkelijk....
Volgens mij zijn de gegevens wel geëncrypt. Daardoor konden
ze geen
gegevens aanpassen, maar alleen een kopie maken.

ack
04-08-2006, 13:01 door Anoniem
Door Anoniem
Blijven we dit herhalen?

Weet je dat het boekje ook gewoon open kan? Dan is alle
informatie zo te
lezen!

Beter nog: als ik naar de persoon kijk dan heb ik al een
beter plaatje dan
wat er in het document staat.

Beveiliging is altijd relatief aan wat je denkt te beveiligen.

Helaas heeft onze ICT-savy regering de gedachte dat RFID een
waterdichte technologie is en dus de menselijke component in
beveiliging weggehaald kan worden.
04-08-2006, 14:04 door Blowfish
Door AnoniemWeet je dat het boekje ook gewoon open kan?
Dan is alle informatie zo te lezen!
Het gaat er om dat je die gegevens op afstand kan lezen, zonder toestemming. En dat je het op afstand kan kopieren, zodat iemand anders jou paspoort kan gebruiken. Niet in alle landen heb je straks nog controlle door douane personeel. En dan is het een erg kwalijke zaak. Dus ja ...... blijven herhalen!
04-08-2006, 14:25 door beamer
Als ik het artikel lees (sowieso aan te raden voordat je
commentaar geeft) dan is de data niet vercijferd want het
kan door een 3th party uitgelezen en weergegeven worden.
De informatie is wel beschermd tegen wijzigingen door
"cryptographic hashes", dus een soort digitale handtekening
ala PGP of X509.

Zo'n cryptographic hash kan je wel byte voor byte uitlezen
en meekopieeren, maar je als je de content veranderd klopt
die niet meer met de hash. En om de crypto hash aan te
passen heb je de secret key nodig en die staat niet op de chip.

Voor het voorkomen van het uitlezen v/h digitale passport
kan je natuurlijk een mooi hoesje van aluminiumfolie maken.
Waarom dit nuttig is? Als je al die paspoorten van
vertrekkers bulksgewijs en op afstand kan uitlezen krijg je
mooi gegevens voor inbrekers (hele familie op pad, dus
bewoners niet thuis).
Ander misbruik is met een beetje fantasie ook wel denkbaar.

Mogelijk kan je de staat wel aansprakelijk stellen ;)
04-08-2006, 15:15 door Anoniem
Door beamer
Als ik het artikel lees (sowieso aan te raden voordat je
commentaar geeft) dan is de data niet vercijferd want het
kan door een 3th party uitgelezen en weergegeven worden.
De informatie is wel beschermd tegen wijzigingen door cryptographic
hashes dus een soort digitale handtekening
quote]

je hebt de secret key niet enkel nodig om de hash aan te passen maar ook
om hem te verifieren. Dus elke 3th party heeft die secret key nodig, zal dus
niet echt veel secret zijn.
Hashes zijn geen digital signature, zij kunnen wel data integrity garanderen
tussen 2 partijen (MAC dus).
Artikkel lezen is op zich goed maar misschien ook eens
http://www.cacr.math.uwaterloo.ca/hac/about/chap9.pdf
04-08-2006, 15:20 door Blowfish
Gisteren wel al gelezen, maar blijkbaar niet goed :-( Er staat inderdaad dat de data niet geëncrypt is. Ik heb wel al een paspoortmapje en portemonnee gekocht die het RFID signaal blokt.

http://www.difrwear.com

Of het goed werkt weet ik nog niet ..... ;-) Eerst nog testen.
04-08-2006, 16:27 door G-Force
Het gaat hier niet om de vraag of de data encrypted is.
Uiteindelijk kan er ook een kloon van encrypted data worden
gemaakt. Het is dus belangrijk dat de informatie op de Rfid
chip niet door onbevoegden is uit te lezen.

Het paspoort met chip is door het kraken ervan niet meteen
waardeloos. Dat komt doordat er meer beveiliging in het
paspoort zit dan alleen een Rfid chip. Ook deze
beveiligingen dienen dan doorbroken te worden.
04-08-2006, 17:11 door ml2mst
(off topic)
ack

Hi, hi hi, spreken we tegenwoordig in hdlc?

Lijkt wel een Packet Radio station :)

(off topic)
04-08-2006, 17:19 door Anoniem
Door ml2mst
(off topic)
ack

Hi, hi hi, spreken we tegenwoordig in hdlc?

Lijkt wel een Packet Radio station :)

(off topic)
fm PA4WDH to PI1HGL ctrl SABM+
fm PI4HGL to PA4WDH ctrl UA-

zoiets ? :-)
04-08-2006, 20:23 door beamer
Door Anoniem
je hebt de secret key niet enkel nodig om de hash aan te
passen maar ook
om hem te verifieren. Dus elke 3th party heeft die secret
key nodig, zal dus
niet echt veel secret zijn.
Hashes zijn geen digital signature, zij kunnen wel data
integrity garanderen
tussen 2 partijen (MAC dus).
Artikkel lezen is op zich goed maar misschien ook eens
http://www.cacr.math.uwaterloo.ca/hac/about/chap9.pdf

Je hebt de bijbehorende Public Key nodig om de hash
te kunnen verifieren. Gewoon standaard PKI technologie.
04-08-2006, 22:14 door ml2mst
Door Anoniem
Door ml2mst
(off topic)
ack

Hi, hi hi, spreken we tegenwoordig in hdlc?

Lijkt wel een Packet Radio station :)

(off topic)
fm PA4WDH to PI1HGL ctrl SABM+
fm PI4HGL to PA4WDH ctrl UA-

zoiets ? :-)

ACK :D
04-08-2006, 22:42 door Anoniem
Door beamer
Als ik het artikel lees (sowieso aan te raden voordat je
commentaar geeft) dan is de data niet vercijferd want het
kan door een 3th party uitgelezen en weergegeven worden.
De informatie is wel beschermd tegen wijzigingen door
"cryptographic hashes", dus een soort digitale
handtekening
ala PGP of X509.

Zo'n cryptographic hash kan je wel byte voor byte uitlezen
en meekopieeren, maar je als je de content veranderd klopt
die niet meer met de hash. En om de crypto hash aan te
passen heb je de secret key nodig en die staat niet op de chip.

Voor het voorkomen van het uitlezen v/h digitale passport
kan je natuurlijk een mooi hoesje van aluminiumfolie maken.
Waarom dit nuttig is? Als je al die paspoorten van
vertrekkers bulksgewijs en op afstand kan uitlezen krijg je
mooi gegevens voor inbrekers (hele familie op pad, dus
bewoners niet thuis).
Ander misbruik is met een beetje fantasie ook wel denkbaar.

Mogelijk kan je de staat wel aansprakelijk stellen ;)


Wat nou als je bij schiphol langs de douane loopt, en die
rfid-chip doet het niet ? Word je dan geweigerd ? Met een
beetje pech heeft je puber at home, die helemaal niet op
vakantie wilt actie ondernomen en preventief ff snel alle
paspoorten in de magnetron gestopt. Poef!!!!!! Of zijn die
rfid-chipies magnetron proof ?
04-08-2006, 22:46 door raboof
Door Blowfish
Ik heb wel al een paspoort gekocht
De Nederlandse paspoorten met chip zijn toch nog niet te
krijgen dacht ik?

http://biopaspoort.blogspot.com/ heeft overigens wat aardige achtergrond die wat minder oppervlakkig maar toch makkelijk leesbaar is.
05-08-2006, 14:35 door Anoniem

"cryptographic hashes", dus een soort digitale handtekening
ala PGP of X509
PGP is een hele suit van cryptografische technieken en X509
gaat over PKI, dus hoe je sleutels op een veilige manier
kunt distribueren. Ook een verzameling van allerlei technieken.
Een hash garandeert integrity, voor digital signing komt er
nog authenticatie bij, bijv. door de hash te encrypten met
een private key. 2 stappen dus. Dan kan je dus weten dat het
berichtniet veranded is en dat het van de eigenaar van de
key komt.

Je hebt de bijbehorende Public Key nodig om de hash
te kunnen verifieren. Gewoon standaard PKI technologie.
Nee, je om een hash te verifieren heb je nodig:
- de hash
- de cleartext
- het hashing algorithme, bijv "MD5"
Een hash maakt geen gebuik van (public) key's.


SF
05-08-2006, 23:23 door Anoniem
Paspoort 1 seconde in de magnetron doet wonderen :)
06-08-2006, 12:21 door beamer
Door Anoniem

"cryptographic hashes", dus een soort digitale
handtekening
ala PGP of X509
PGP is een hele suit van cryptografische technieken en X509
gaat over PKI, dus hoe je sleutels op een veilige manier
kunt distribueren. Ook een verzameling van allerlei technieken.
Een hash garandeert integrity, voor digital signing komt er
nog authenticatie bij, bijv. door de hash te encrypten met
een private key. 2 stappen dus. Dan kan je dus weten dat het
berichtniet veranded is en dat het van de eigenaar van de
key komt.

Je hebt de bijbehorende Public Key nodig om de hash
te kunnen verifieren. Gewoon standaard PKI technologie.
Nee, je om een hash te verifieren heb je nodig:
- de hash
- de cleartext
- het hashing algorithme, bijv "MD5"
Een hash maakt geen gebuik van (public) key's.
SF

PKI (Public Key Infrastructure) is een verzamelnaam waar
zowel PGP als X509 onder vallen, beide werken immers met een
sleutelpaar waarvan een publiek bekend is en de andere
alleen bij de eigenaar (de public key en de private/secret key).

Een hash "an sich" geeft geen garantie dat de informatie
niet veranderd is, immers als je de informatie veranderd kan
je ook de bijbehorende hash veranderen.
Wat doe je dus? Je stelt je informatie op en genereert daar
een hash van, vervolgens wordt deze versleuteld met je
private key (die alleen jij kent).
Nu kan iedereen aan de hand van de bijbehorende public key
de hash weer terug genereren en controleren of deze klopt
met de bijbehorende informatie. Dit noemt met in PKI termen
een "digital signature" en volgens mij bedoelen ze dat in
het artikel als ze spreken over "cryptographic hash".
06-08-2006, 13:33 door beamer
Door Anoniem
Of zijn die rfid-chipies magnetron proof ?

De chips zijn zeker niet magnetron proof. Een stel Duitse
"hackers" heeft zelfs een RFID Zapper ontwikkeld op basis
van een wegwerpcamera met flits. Daarmee genereren ze dan
een mini EMP (Electro Magnetic Pulse) en vernietigen de RFID
chip. Een kopie v/h artikel (het orgineel is offline
gehaald) staat hier:
http://go.2hell.nl/rfid/

Een ander interessant verhaal is hoe RFID's in paspoorten
gebruikt zouden kunnen worden voor targeted attacks. Je
bouwt een bom met RFID lezer en zodra de juiste persoon
langs komt gaat de bom af.
Filmpje hierover staat hier:
http://www.youtube.com/watch?v=-XXaqraF7pI
07-08-2006, 10:31 door Anoniem
Door Blowfish
Door AnoniemWeet je dat het boekje ook gewoon open kan?
Dan is alle informatie zo te lezen!
Het gaat er om dat je die
gegevens op afstand kan lezen, zonder toestemming. En dat je het op
afstand kan kopieren, zodat iemand anders jou paspoort kan gebruiken.
Niet in alle landen heb je straks nog controlle door douane personeel. En
dan is het een erg kwalijke zaak. Dus ja ...... blijven herhalen!

Fout, het bezuinigen op personeel gaat niet gebeuren. Alleen controle op
RFID daar is dit niet voor bedacht.

Alle informatie = de foto van de persoon; meer staat er namelijk niet op.

Met de eerste de beste videocamera heb ik sneller een beter plaatje van
grotere afstand!

Kopieren zie ik het nut niet van in... En als je langer wilt wachten bij de
grenscontrole moet je vooral je chip zappen in de magnetron.

Overigens doet een eerder genoemde site denken dat er meer op de chip
staat dan de foto. Dat is dus niet zo. Het is een simpel grijswaarden jpgtje.

Nederland heeft verder begin dit jaar bij de internationale standaard
organisatie voorgesteld de data aanvullend te beveiligen.

Wijzigen van de chip, fraude is nog niemand gelukt. In theorie niet en zeker
in praktijk niet.
07-08-2006, 15:21 door Blowfish
Door raboof
Door Blowfish
Ik heb wel al een paspoort gekocht
De Nederlandse paspoorten met chip zijn toch nog niet te
krijgen dacht ik?
Type foutje .... ik bedoel een paspoortmap (ze link),
waar je paspoort in past en de rfid signalen blokt.
28-08-2006, 14:48 door Anoniem
Dus al onze gegevens liggen bij wijze van spreken op straat ! ? !

Sunwarm
28-08-2006, 14:58 door Sunwarm
Dus, onze gegevens liggen gewoon op straat ! ? !

Sunwarm
28-08-2006, 15:54 door Anoniem
Ons paspoort moest 10 jaar geleden al het veiligste worden van
heel de wereld.
Intussen zijn we dus weinig opgeschoten.
En worden wij ook nog verplicht dit aan te schaffen?
Wat ik me dan weer afvraag is hoe andere landen dit doen.
Zou het Belgisch Paspoort veiliger zijn?
Of wil Nederland absoluut het beste hebben.
28-08-2006, 17:51 door Anoniem
Door Beukenoot
Ons paspoort moest 10 jaar geleden al het veiligste worden van
heel de wereld.
Intussen zijn we dus weinig opgeschoten.
En worden wij ook nog verplicht dit aan te schaffen?
Wat ik me dan weer afvraag is hoe andere landen dit doen.
Zou het Belgisch Paspoort veiliger zijn?
Of wil Nederland absoluut het beste hebben.

Waar haal je die conclusie vandaan? Het is momenteel het veiligste.

Het is een internationale standaard. Er is geen aanschaf verplichting.

Nederland is een van de eerste landen die het conform nieuwe standaard
heeft gemaakt.

Gegevens liggen niet op straat; je kan niet zomaar even een paspoort
kopie maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search