image

Column: Rijkspas: Het blijft tobben met die chipkaarten

woensdag 10 september 2008, 15:49 door Redactie, 10 reacties

Het was groot nieuws, zes maanden geleden. De staatsveiligheid was in gevaar omdat de toegangspassen voor overheidsgebouwen waren gekraakt. De pasjes gebruiken de inmiddels beruchte Mifare Classic-chip, bekend van de OV-kaart. Op vrijdag 7 maart lichtten onderzoekers van de Radboud Universiteit in Nijmegen minister Ter Horst van Binnenlandse Zaken in. Ter Horst zond terstond een aantal AIVD'ers naar Nijmegen. De conclusie: twee miljoen toegangspassen moeten op korte termijn vervangen worden. Omdat voor elkaar te krijgen moet het project voor één pasje voor de overheid (minus de 400.000 passen van Defensie) versneld en gewijzigd worden. Dan is de staatsveiligheid weer gewaarborgd.

Stichting ICTU (onderdeel van het ministerie van Ter Horst) werkt aan dit project genaamd Rijkspas, dat naast toegangsbeveiliging voor panden van de rijksoverheid ook netwerktoegang en follow-me printing mogelijk moet maken. De minister heeft dit project gevraagd versneld op te leveren, met nog dit jaar de eerste uitrol. Vanaf nu zal het projectteam terzijde gestaan worden door de Digital Security groep van de Radboud universiteit, die roem vergaarde met het kraken van Mifare. Helaas moest er ook een aantal zaken veranderen aan de Rijkspas, waarbij in opdracht van de AIVD de nabijheidchip achterwege wordt gelaten. Deze Mifare-chip wordt nu geschrapt uit de Rijkspas. De vernieuwde nieuwe Rijkspas kan dus niet meer op afstand worden gelezen met speciale apparatuur. Een forse change op een project dat vlak voor de oplevering zit (voorzien voor Q4/2008) en dat nu van de minister nog sneller moet. Andere chips betekent andere lezers - dat gaat niet van de ene op de andere dag. Als je pech hebt moet je zelfs opnieuw aanbesteden. Voorlopig zullen de pasjes dus maar handmatig gecontroleerd worden, meldt het ministerie.

Nu was het probleem van de huidige pasjes niet acuut, omdat de onderzoekers van het Radboud de details niet bekend hadden gemaakt. De opheffing van het spreekverbod door de rechter vergroot echter de druk op het project Rijkspas.

Eerder berichtte RTL Nieuws dat door slordige beveiliging onbevoegden gemakkelijk de departementen binnenkwamen. Dat kwam doordat oud-medewerkers hun pasjes niet inleverden, wist plaatsvervangend secretaris-generaal van BZK, Philippe Raets. Als dat het probleem is, wel, daar helpt geen Mifare classic of andere cryptochip tegen. Dat heeft met de actualiteit van het bronsysteem te maken.

Voor een pasjessysteem is de cruciale vraag op basis van welke gegevens de kaarten worden uitgegeven en ingetrokken. ICTU heeft bij de Rijkspas voor de bestaande directory van rijksambtenaren gekozen - die onder Rijksweb zit, RYX. Vanuit ICTU gezien is RYX een valide keuze: het is het enige register van rijksambtenaren. Met de koppeling van de Rijkspas wordt afgedwongen dat RYX bijgewerkt wordt, op straffe van fysieke buitensluiting van de eigen medewerkers. Om over de inhuur maar te zwijgen. Helaas is RYX niet altijd het toonbeeld van actualiteit - het duurt even voor een ambtenaar opgenomen wordt dan wel afgevoerd. Het is heel knap dat het register nu nog maar drie dagen achterloopt, maar voor provisioning is dat véél te veel. RYX bevat bovendien onvoldoende informatie om de gevraagde beveiliging mogelijk te maken, en zal dus uitgebreid moeten worden. De uitbreiding van de hoeveelheid gegevens in het centrale register betekent per definitie een daling van de datakwaliteit. In rijksbrede projecten is de regie van een verandering nogal een uitdaging - om alleen al de 37 stuurgroepen op één lijn te krijgen is al nauwelijks haalbaar. En al lukt dat wel, dan helpt het nog niets als die stuurgroepen binnen hun eigen organisaties niet een absolute autoriteit hebben; ze zijn er om het project aan te sturen, niet om de eigen organisatie - die vaak een wolk van instellingen, stichtingen en organen omvat - te sturen. De eerste directeur van de ICTU noemde RYX al de "nagel aan zijn doodskist". Welnu, dat zullen er meer gaan zeggen.

Minister Ter Horst maakte tevens bekend dat de AIVD (op eigen verzoek) een centrale rol gaat spelen bij de beveiliging van ministeries en aanpalende organen, dus dan zal de datakwaliteit in het bronsysteem door de AIVD beheerd moeten worden. Hopelijk bestaat de werkvoorraad van jaren die ze nog niet zo lang geleden hadden met het uitvoeren van screenings, niet meer: het beheren van honderdduizenden personele en organieke mutaties per maand is even wat anders dan een paar honderd screenings. Het is best knullig als elke dag honderden ambtenaren hun gebouw niet binnen mogen en triestig op de stoep tussen de rokers moeten blijven staan omdat de mutaties niet tijdig zijn doorgegeven of verkeerd zijn ingevoerd. ICTU kon als ICT-club niet veel veranderen aan de processen bij de diverse rijksorganen, misschien dat de AIVD meer indruk maakt.

IJdele hoop: de AIVD heeft aangegeven de centrale rol te zien in een adviserende hoedanigheid. Dus gaan ze adviseren over de gewenste datakwaliteit. Wat daar nu centraal aan is? Misschien dat de rokende ambtenaren maar een andere plek voor hun persoonlijke behoeften moeten vinden, want voorlopig zal het wel vol zijn op de stoep.

De koppeling naar RYX is alleen nog maar de bron voor het pasjessysteem. De integratie met de verschillende netwerken om authenticatie op de werkplek en op de printer mogelijk te maken zal ook niet vanzelf gaan. Daar kun je wel tegen wat vragen oplopen: ga je in de huidige LAN omgeving een dergelijke grote wijziging aanbrengen? Vast niet. Dus dat zal in de opvolger van de huidige, op XP gebaseerde overheidsstandaard desktops meegenomen worden. Die opvolgers zijn over het algemeen niet zo ver gevorderd - de migratie naar XP is immers nog niet zo lang geleden afgerond. Het zal eerder 2013 zijn dan 2010 vóór Vista op de desktop te vinden zal zijn. Daarmee zullen de beloofde beveiligingsfuncties in het LAN evenzeer mee opschuiven de toekomst in.

Nu kun je dit scope-technisch oplossen door te stellen dat de Rijkspas deel uitmaakt van de nieuwe rijkswerkplek, het roemruchte project GOUD. Maar dat traject loopt ook bepaald niet zonder hobbels: de aanbesteding was een behoorlijke afgang waarbij drie van de vijf uitgenodigde partijen afzagen van een bod omdat ze het project kansloos achtten. Dat was voor Minister Bos echter geen reden het project te herzien. Gegeven dat GOUD versie 1.0 feitelijk neerkomt op Vista, Office 2007 en een tekenpakket voor SVG (weet iemand nog wat dat is?) met een 2003 back-end voor 15.000 werkplekken bij vijf departementen, blijft er nog een enorm stuk rijksoverheid over zonder de toegezegde veiligheid. Die toch ook nog een keer zal moeten. Tegen die tijd is de storm over de Mifare chip hopelijk al lang gaan liggen.

De minister van Binnenlandse Zaken heeft een boel dingen beloofd en de suggestie gewekt dat dit najaar de staatsveiligheid hersteld wordt. Dat gaat dus never nooit niet lukken. Waar het op neer gaat komen is dat er een pas komt die in theorie gebruikt kan worden voor allerlei beveiliging, maar de komende tijd zelden ergens voor gebruikt wordt. Dit is de traditionele begripsverwarring tussen ICT en de normale wereld; voor ons is een probleem opgelost als er ergens een werkend systeem staat, voor de rest van de wereld is het probleem opgelost als dat systeem overal staat en dan nog steeds werkt.

Minister Ter Horst is ongetwijfeld te goeder trouw, maar het lijkt erop dat het rapport van de rekenkamer over falende ICT projecten bij de overheid niet goed tot haar doorgedrongen is. We zien hier weer torenhoge ambities en bestuurlijke spierballentaal waar iedereen die een beetje logisch nadenkt van weet dat ze niet realistisch zijn: een multifunctioneel Rijkspas-systeem is pas af als alle verschillende stukken op hun plaats zijn, niet als het project de basisvoorziening oplevert. Uitrollen, reorganiseren en integreren duurt veel langer dan het stukje techniek in elkaar schroeven wat ICTU doet. De hele operatie zal gezien de architectuur in het beste geval tot 2015 duren. 2022 is realistischer. Tegen die tijd is de basisvoorziening die nu in opbouw is, zwaar verouderd, zodat het op de meeste plaatsen niet werkt en bovendien niet meer veilig is. Dit kunnen we nalezen in het rekenkamerrapport dat vlak voor het zomerreces, in juni 2018, verschijnt. Hopelijk hebben we dan samen met de Belgen het WK-voetbal hier te lande, zodat het rapport helemaal geen aandacht krijgt.


Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

Reacties (10)
10-09-2008, 21:20 door Anoniem
Ik voel het al weer aankomen. Verneld opleveren, dus minder testen. Met alle gevolgen van dien...
11-09-2008, 08:44 door gorn
Grappig, als de nabijheidschip vervalt werken de standaard toeganspoortjes bij de verschillende ministeries ook niet meer. Dat handmatig controleren schiet ook al zo op, ik zie de files voor de deur van de verschillende ministeries al staan. Dat wordt het zwaai principe. De ambtenaar zwaait met zijn pasje en de beveiliging zwaait terug. ;-)

Het probleem van het niet tijdig intrekken van een pasje is dan ook geen probleem meer, als je naar binnen wilt tenminste. Je hebt een gelijkend pasje nodig, moet niet te veel uit de toon vallen en je loopt zo naar binnen. Als je dan toch aangehouden wordt en je pasje is niet in orde kan dit zonder probleem aan een achterstand in het systeem (RYX) geweten worden en vraag je vriendelijk of de beveiliging de verantwoordelijheid wil nemen dat je deze dag niet kan werken. Je begrijpt zijn probleem maar je wil niet dat deze extra vrije dag ten koste gaat van je vakantiedagen natuurlijk. Een naam en personeelsnummer of pasnummer vragen helpt natuurlijk altijd.

Naar binnen gaan lijkt nog nooit zo makkelijk te worden.
11-09-2008, 10:39 door Anoniem
Een nieuwe pas, hoeft niet te betekenen dat alle processen eromheen aangepast dienen te worden, vaak kun je een reader upgrade doen.(meestal niet eens nodig omdat deze al meerdere standaarden ondersteunen).

Je kunt door slim met techniek om te gaan zonder al te veel aanpassing aan de huidige systemen de kaart migreren.

Waarom Vista perse nodig is begrijp ik niet, omdat dezelfde support voor "smart cards" al in Windows 98 zit. XP werkt prima met "smart cards", gewoon de juiste kennis toepassen.

Mifare is een Nederlandse vinding en ik krijg het gevoel dat al het andere wat wel werkt niet eens wordt overwogen. In de bank wereld wordt NFC al toegepast door Mastercard en Visa, en meesstal hebben zij wel nagedacht over een goede beveiliging en leveranciers onafhankelijke oplossing. Dit zal de ICTU natuurlijk ook al hebben bedacht.
11-09-2008, 11:30 door Anoniem
Het artikel geeft aan dat de nabijheidschip of RFID niet meer wordt toegepast op last van de AIVD. De verschillende readers op de toegangspoortjes werken daar nu mee. Die readers ondersteunen vast meerdere standaarden, allen gebaseerd op RFID. Echter een andere techniek --> smartcard is iets heel anders. Daar zijn andere readers voor nodig. Het wordt nog lolliger daar dezelfde techniek ook voor interene toeganscontrole wordt gebruikt. Die werken ook niet meer.....
11-09-2008, 15:41 door Anoniem
Waarom dan ook zoveel zaken aan 1 pas willen koppelen? Dan maar geen LAN-toegang via dat ding, maar (in eerste instantie) alleen een toegangspas - en de toegang was toch ook het probleem?
"Erst in die Beschränkung zeigt zich den Meister."

Peter van Z.
12-09-2008, 07:54 door wizzkizz
Door AnoniemWaarom dan ook zoveel zaken aan 1 pas willen koppelen? Dan maar geen LAN-toegang via dat ding, maar (in eerste instantie) alleen een toegangspas - en de toegang was toch ook het probleem?
"Erst in die Beschränkung zeigt zich den Meister."

Peter van Z.
Het stapsgewijs invoeren ben ik met je eens, maar wat mij betreft hoeft er geen limiet te zitten aan de dingen die je met je pas kunt. Inloggen met je smardcard op het netwerk is al veiliger dan met wachtwoorden, je kunt de smardcard gebruiken als verificatie bij de IT-helpdesk, wat mij betreft moet je er ook je (kleine) aankopen in automaten en restaurants mee kunnen betalen (verrekening via salaris) zodat je niet per sé klein geld op de man hoeft te hebben etc.

Ik weet ook niet waarom het bij andere ministeries niet kan, maar bij Defensie gaan we zeer binnenkort al over naar nieuwe passen. De oude passen worden nu al niet meer uitgegeven, ze zijn uiteraard nog wel te gebruiken.
12-09-2008, 09:21 door Anoniem
Door AnoniemHet artikel geeft aan dat de nabijheidschip of RFID niet meer wordt toegepast op last van de AIVD. De verschillende readers op de toegangspoortjes werken daar nu mee. Die readers ondersteunen vast meerdere standaarden, allen gebaseerd op RFID. Echter een andere techniek --> smartcard is iets heel anders. Daar zijn andere readers voor nodig. Het wordt nog lolliger daar dezelfde techniek ook voor interene toeganscontrole wordt gebruikt. Die werken ook niet meer.....

RFID of NFC is de locale radio interface en vaak wordt een passive RFID Tag verward met een RFID smart card. Volgens mij is men daarom de term NFC gaan gebruiken. De readers ondersteunen ISO14443 type A ( welke door Mifare gebruikt wordt). Voor een smart card applicatie hoeft het niets uit te maken of de communcatie over een contact interface (ISO7816) of contactless gaat. Volgens mij was dit het hele punt van mijn reactie. zelfs PCSC http://www.pcscworkgroup.com maakt de data link laag abstract van de applicatie, hierbij moet ik wel toegeven dat het amerikaans engels erg verwarrend is.
12-09-2008, 09:45 door Anoniem
De chip is oud en komt uit de vorige eeuw. Ik snap best dat er een paar ambtenaren hebben zitten slapen, maar dat gebeurd wel vaker. Toch vind ik het uitvoerend bedrijf de schuldige, die hebben een lekker makkelijk en goedkoop product geleverd. De oplossing; stuur dit bedrijf terug om hun huiswerk goed te maken, dus dwing kosteloos een veiligere kaart af en gebruik ondertussen codes, vingerprints, gezichtsherkenning of zoiets bij deuren en toegang tot archieven. Eventueel in combinatie met de huidige onveilige kaart.
http://webwereld.nl/articles/51829/mifare-classic-al-jaren-gekraakt.html
Voor een ieder die ermee te maken heeft:
http://www.watbenjedan.com/
12-09-2008, 12:26 door spatieman
deze hele shit gaat de burger weer genoeg belastinggeld kosten, en dat om voor hun ,kuch, veilige huid te zorgen.
25-09-2008, 09:35 door Anoniem
Door AnoniemDe chip is oud en komt uit de vorige eeuw. Ik snap best dat er een paar ambtenaren hebben zitten slapen, maar dat gebeurd wel vaker.
Tja, heel de wereld gebruikt deze kaart, maar nederlandse ambtenaren hebben zitten slapen... Als je dit soort dingen roept dan ben je waarschijnlijk een vast bezoeker van watenjedan ja.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.