Nieuws
image

Britse identiteitskaart in 12 minuten gekraakt

maandag 10 augustus 2009, 09:44 door Redactie, 24 reacties

De "onkraakbare" Britse identiteitskaart is binnen 12 minuten door een Nederlandse en Britse beveiligingsonderzoeker gekraakt en gekloond. Niet alleen konden Adam Laurie en Jeroen van Beek de kaart klonen, maar ook van valse gegevens voorzien. De Britse overheid ontkent echter dat de informatie op de kaart te vervalsen is. De identiteitskaart in kwestie is voor 51.000 buitenlanders die op dit moment in Groot-Brittannië werken of studeren. Het ontwerp zal echter ook voor de nationale ID-kaart gebruikt worden, die later dit jaar verschijnt. De kaart is voorzien van een microchip met de naam, geboortedatum van de houder, fysieke eigenschappen, vingerafdruk, immigratiestatus, recht op zorg en meer.

Volgens de Britse regering is de ID-kaart de oplossing voor vervalste identiteitsbewijzen. Laurie had alleen een Nokia mobiele telefoon en een laptop nodig om de gegevens op een lege kaart te kopiëren en te wijzigen, zonder dat de paslezers het verschil merken. Hoe de onderzoeker precies de beveiliging wist te kraken, maakt hij niet bekend. Dit zou namelijk misbruik door criminelen in de hand werken.

Wat betreft het wijzigen van de gegevens had Laurie de hulp van Van Beek nodig. De gegevens zijn via een sleutel beveiligd, wat aanpassingen moet voorkomen. Met hulp van de in Amsterdams wonende consultant en het werk van computerwetenschapper Peter Guttman, konden de onderzoekers de gegevens toch aanpassen, zonder dat die als vervalst zouden worden opgemerkt.

"Niet waar"
Een woordvoerder van het Ministerie van Binnenlandse Zaken noemt het verhaal onzin. "We zijn ervan overtuigd dat de persoonlijke gegevens op de chip niet zijn aan te passen en er is geen bewijs dat dit is gebeurd." De identiteitskaart bevat volgens de woordvoerder een aantal beveiligingsmaatregelen die extreem moeilijk zijn na te maken. Daarnaast passen de kaartlezers "chip authenticatie" toe, zodat gekopieerde kaarten herkend worden. "We hebben het volste vertrouwen dat de identiteitskaart één van de meest veilige is, die aan alle strenge internationale standaarden voldoet."

Zo gebruikt men een 4096-bit root certificaat en is de chip met een 256-bit elliptische curve encryptie beschermd. Voordat de chip de aanwezige informatie vrijgeeft, moet de kaartlezer een recent uitgegeven digitaal certificaat van de kaartuitgever laten zien. Het certificaat verzekert de identiteit van de eigenaar van de publieke sleutel waarmee de data versleuteld is. Volgens de woordvoerder zijn de digitale certificaten een dag tot een maand geldig.

Update: tekst aangepast

Reacties (24)
10-08-2009, 09:58 door Anoniem
Misschien mis ik iets, maar is het niet zo dat het klonen niets anders is dan het maken van een kopie, en dat het daardoor niet uitmaakt of iets nu is ondertekend met een certificaat? Ik maak een kopie en verander niets. Ik wil juist dat het certificaat een juiste device authentication uitvoert. Dat houdt toch in dat het klonen succesvol is verlopen?

En dat een woordvoerder iets zegt. Tsja, daar wordt hij voor betaald. Als hem wordt opgedragen om te zeggen dat de zon in het westen opkomt zal hij dat nog doen ook. Wiens brood men eet...
10-08-2009, 10:24 door Anoniem
Hmm, al net zo'n raar persbericht als bij het "HEMA"-incident.

"passen authenticatie toe"... Dus als je door de Douane gescand bent, en je wil even terug, heb je een digitale wachttijd voordat je weer naar binnen mag?
Dat gaat een hoop ellende opleveren met rokers op vliegvelden....
10-08-2009, 10:44 door Anoniem
Volgens de woordvoerder zijn de digitale certificaten een dag tot een maand geldig.

Hoe kan het paspoort nu weten welke dag het is? Die chip zal wel geen eigen klok + energiebron hebben, dus die kun je alles wijsmaken. Je kunt hem hooguit programmeren dat hij alleen mag antwoorden op certificaten die zeggen na een bepaalde datum (datum van uitgifte paspoort of zo).
10-08-2009, 10:55 door Anoniem
"Dat gaat een hoop ellende opleveren met rokers op vliegvelden...."

Sinds wanneer mag je weer terug door de douane om te gaan roken......
10-08-2009, 11:00 door Anoniem
Een woordvoerder van het Ministerie van Binnenlandse Zaken noemt het verhaal onzin. Vooral blijven ontkennen ontkennen en ontkennen, dan gaat het probleem vanzelf weg.
10-08-2009, 11:39 door Van Hoorne
Dat is nou echt weer een antwoord van Hertje Ballin: gewoon ontkennen dat het kan. Zo roepen ze ook dat de overheidscomputers zo veilig zijn. Ik denk dat de blinddoeken in de uitverkoop zijn.
10-08-2009, 11:47 door martijno
Nogal sensationeel stukje in de Daily Mail ("Adam Laurie ontdekt na bestudering van de kaart de geheime sleutel die bestaat uit bepaalde getallen die op de kaart gedrukt staan, om veilgheidsredenen zeggen we niet welke"; ehm, gewoon geboortedatum, geldigheidsdatum, documentnummer hoor, staat in de spec).

Dit lijkt vooral een aanval te zijn op uitleesapparatuur, zoals de Golden Reader Tool, die de authenticiteitscheck niet goed uitvoert of het resultaat van deze check niet goed naar de gebruiker communiceert. Daarmee is de kaart niet gekraakt, lijkt me: de kloon is in principe door de (Britse) autoriteiten te herkennen. Of mis ik iets?
10-08-2009, 11:56 door Anoniem
Wordt security.nl tegenwoordig door de redactie van de Telegraaf gerund? tsjongejonge.
10-08-2009, 12:29 door Anoniem
Door Van Hoorne: Dat is nou echt weer een antwoord van Hertje Ballin:

Even goed lezen. Ze hebben het over het Britse ministerie van Binnenlandse Zaken.
10-08-2009, 13:38 door Anoniem
4096-bit root certificaat of 256-bit elliptische curve? Welke is het? Of gebruiken ze twee publieke sleutel methoden door elkaar?!
Het is wel goed dat ze assymmetrische encryptie gebruiken. De OV-Chipkaart gebruikt homebrew symmetrische encryptie als beveiliging; maar toch is het veilig volgens Tineke Huizinga!
10-08-2009, 13:52 door Anoniem
symmetrisch is niet perse het probleem, homebrew is het probleem.
10-08-2009, 13:53 door spatieman
ik wil beeldmateriaal zien hoe ze het doen..
anders geloof ik er geen fuk van.
10-08-2009, 14:36 door colani
Door spatieman: ik wil beeldmateriaal zien hoe ze het doen..
anders geloof ik er geen fuk van.

Ik denk niet dat ze dat gaan vrijgeven.
10-08-2009, 14:41 door WhizzMan
Het grote punt is dat het hele certificaat gewoon niet gechecked wordt. De apparatuur die nu in gebruik is om die kaarten te checken heeft de mogelijkheid niet ingebouwd om dat te doen. Je kan dus met een bogus-certificaat tekenen, zolang de informatie op de kaart maar valide lijkt zal de kaart als "echt" worden gezien. Dat stukje komt onvoldoende naar buiten in het hele verhaal, maar het is helaas wel de realiteit.
10-08-2009, 14:50 door Anoniem
Wat is en hoe werkt elleptische curve encryptie? Of moeten wij hier spreken van een magisch ingrediënt?
10-08-2009, 15:34 door Anoniem
Een gedeelte van het probleem bevindt zich inderdaad in de reader. De reader vraagt of security aan of uit moet staan aan de kaart. Als je de kaart controleert kan je de reader vertellen geen security te gebruiken.

Een ander probleem is het root certificaat, Laurie kan eigen checksums en een eigen certificaat gebruiken, omdat niet geverifieerd wordt of dit certificaat ook echt klopt.

Zie ook: http://news.zdnet.co.uk/security/0,1000000189,39709652,00.htm
10-08-2009, 15:35 door Anoniem
Een vorm van assymetrische crypto, de gebaseerd is op een andere wiskundige moeilijkheid dan bijv. RSA (discrete logaritmes ipv factorisatie). Het is op zich niet meer of minder magisch, alleen heel anders (en het lijkt er tot op heden op dat je dezelfde veiligheid hebt met veel kleinere keys).
10-08-2009, 15:46 door Anoniem
Door Anoniem: Wat is en hoe werkt elleptische curve encryptie? Of moeten wij hier spreken van een magisch ingrediënt?
http://www.scramdisk.clara.net/pgpfaq.html#SubElliptic
http://www.samsimpson.com/blog/pgp-faq.html (werkt op het moment niet)
10-08-2009, 16:58 door Anoniem
"Een woordvoerder van het Ministerie van Binnenlandse Zaken noemt het verhaal onzin. "

"Don't believe anything until it is officially denied."
10-08-2009, 18:39 door Ziekheid
Dit is een broodje aap tot het tegendeel bewezen is.


Hoe de onderzoeker precies de beveiliging wist te kraken, maakt hij niet bekend. Dit zou namelijk misbruik door criminelen in de hand werken.

Dat slaat toch nergens op, als deze kaarten al massaal gebruikt worden (en nog veel massaler in de toekomst) moet toch juist nu bekend worden of het echt kan en hoe dat dan in zijn werk gaat zodat de kaarten ingetrokken kunnen worden en het systeem herzien kan worden.
10-08-2009, 19:34 door Anoniem
Door Ziekheid: Dit is een broodje aap tot het tegendeel bewezen is.


Hoe de onderzoeker precies de beveiliging wist te kraken, maakt hij niet bekend. Dit zou namelijk misbruik door criminelen in de hand werken.

Dat slaat toch nergens op, als deze kaarten al massaal gebruikt worden (en nog veel massaler in de toekomst) moet toch juist nu bekend worden of het echt kan en hoe dat dan in zijn werk gaat zodat de kaarten ingetrokken kunnen worden en het systeem herzien kan worden.

Nix broodje aap. Al langer bekend ook en vaak demonstreerd. Bovendien zullen Jeroen en Adam echt geen lulkoek verspreiden, dat werkt niet echt in hun voordeel. Dit zijn beiden behoorlijk bekende researchers met een enorme trackrecord. Deze kraak is gewoon een variant op de paspoort hack van jeroen van vorig jaar. Nix nieuws eigenlijk.
11-08-2009, 01:04 door Anoniem
Door Anoniem:
Nix broodje aap. Al langer bekend ook en vaak demonstreerd. Bovendien zullen Jeroen en Adam echt geen lulkoek verspreiden, dat werkt niet echt in hun voordeel. Dit zijn beiden behoorlijk bekende researchers met een enorme trackrecord. Deze kraak is gewoon een variant op de paspoort hack van jeroen van vorig jaar. Nix nieuws eigenlijk.

Het gaat hier om dezelfde technologie als in het Nederlandse paspoort?
Al is het wel zo, dan blijf ik erbij dat ze het public moeten maken zodat deze gestoorde trend een halt kan worden toegeroepen.
Ze willen misbruik door criminelen niet in de hand werken.. maar de criminelen weten wel dat het te kraken is, gaan we gewoon zitten wachten tot het overal misbruikt word en luisteren hoe de overheid al deze claims af doet als fabeltjes?
13-08-2009, 05:59 door Anoniem
Nokia....alweer die Nokia...
13-08-2009, 22:11 door Anoniem
Door Anoniem:
Door Anoniem:
Nix broodje aap. Al langer bekend ook en vaak demonstreerd. Bovendien zullen Jeroen en Adam echt geen lulkoek verspreiden, dat werkt niet echt in hun voordeel. Dit zijn beiden behoorlijk bekende researchers met een enorme trackrecord. Deze kraak is gewoon een variant op de paspoort hack van jeroen van vorig jaar. Nix nieuws eigenlijk.

Het gaat hier om dezelfde technologie als in het Nederlandse paspoort?
Al is het wel zo, dan blijf ik erbij dat ze het public moeten maken zodat deze gestoorde trend een halt kan worden toegeroepen.
Ze willen misbruik door criminelen niet in de hand werken.. maar de criminelen weten wel dat het te kraken is, gaan we gewoon zitten wachten tot het overal misbruikt word en luisteren hoe de overheid al deze claims af doet als fabeltjes?

Het is een internationale standaard, daarom duikt het verhaal bij ieder land steeds weer op. De claim is een halve waarheid: zoals de eerste reageerder schrijft het is vergelijkbaar met het maken van een (slecht) kopietje. Daarmee kom je de grens ook niet over.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search