image

Chip op paspoort en id-kaart straks alleen uit te lezen via veiliger protocol

woensdag 8 juni 2022, 16:45 door Redactie, 8 reacties

De chip op het Nederlandse paspoort en identiteitskaart is straks alleen nog uit te lezen via het veiligere PACE-protocol (Password Authenticated Connection Establishment). Uitlezen door het BAC-protocol (Basic Access Control) wordt dan niet meer ondersteund. De chip op het identiteitsbewijs bevat persoons- en documentgegevens van de houder.

Instanties kunnen de chip door middel van inspectieapparatuur uitlezen. In eerste instantie werd hierbij gebruikgemaakt van het BAC-protocol. Dit protocol maakt gebruik van symmetrische encryptie, wat inhoudt dat dezelfde sleutel wordt gebruikt voor het versleutelen van de data voor het versturen naar de inspectieapparatuur als gebruikt door de lezer voor het ontsleutelen van de data.

Om het afluisteren van de verbinding te voorkomen werd het veiligere PACE-protocol ontwikkeld, dat van asymmetrische encryptie gebruikmaakt. In 2016 werd nog een tijdslijn gepresenteerd om BAC vanaf januari 2018 uit te faseren. Inspectieapparatuur waarvan de software voldoet aan de huidige ICAO-standaard leest de chip altijd als eerste uit via het PACE-protocol. Alleen als het uitlezen niet lukt via het PACE-protocol wordt er teruggevallen op het BAC-protocol om toegang te krijgen tot de gegevens in de chip van het paspoort of identiteitsbewijs.

In de zomer van dit jaar verdwijnt dit alternatief. Voldoet de software niet aan de ICAO-standaard, dan zijn er mogelijk aanpassingen in de software nodig, zodat gebruikers geen hinder ondervinden, zo waarschuwt de Rijksdienst voor Identiteitsgegevens (RvIG). Naar alle waarschijnlijk gaat de aanpassing in de tweede helft van juli gelden voor nationale paspoorten. De invoering voor de Nederlandse identiteitskaart en overige paspoortmodellen staat voor 29 augustus gepland.

Image

Reacties (8)
08-06-2022, 18:26 door Anoniem
... Dus over ongeveer 10 jaar voldoen alle paspoorten en Id-kaarten alleen nog aan dit protocol.
Want dat is de langste geldigheidsduur voor die documenten.
Tot die tijd zijn ze uitleesbaar met het BAC protocol, en dus "minder veliig".
08-06-2022, 19:08 door Anoniem
Oh? Het was toch al veilig? Of zijn we zoals gebruikelijk voorgelogen?
08-06-2022, 19:48 door Anoniem
ik vraag me af of ze meer soorten gegevens dan voorheen kwijt willen op het nieuwe id-kaarten stelsel en of ze met een schuin oog contact hadden over het eID stelsel met Brussel/EU?
09-06-2022, 09:21 door Anoniem
Door Anoniem: Oh? Het was toch al veilig? Of zijn we zoals gebruikelijk voorgelogen?
Nee, voortschrijdend inzicht en technologische vooruitgang. En je kan iets beter uitfaseren zolang het nog veilig genoeg is, dan wachten tot het te laat is.
09-06-2022, 09:50 door Anoniem
We gaan het veilig doen... we gebruiken het brakke oude protocol niet meer....
Ehm... dat is net zo dom als zeggen "onze server gebruikt TLS 1.2"... maar als die niet werkt, ondersteunen we ook gewoon plain text... TLS 1.2 is veeeel veiliger...

Zolang die chips BAC ondersteunen zijn ze lek. klaar...
09-06-2022, 10:49 door Anoniem
Door Anoniem:
Door Anoniem: Oh? Het was toch al veilig? Of zijn we zoals gebruikelijk voorgelogen?
Nee, voortschrijdend inzicht en technologische vooruitgang. En je kan iets beter uitfaseren zolang het nog veilig genoeg is, dan wachten tot het te laat is.
Het is zo veilig als de zwakste schakel. Als id kaarten uit het buitenland te makkelijk werden afgegeven (Berlijn en Bremen bv. gedocumetneerd een paar jaar geleden door de Duitse publieke omroep met undercover camera) en ze daarna als basis dienen voor nieuwe inschrijving in NL dan zitten we hier met een Trojaans geval, ondanks de verbeterde veiligheid.
13-06-2022, 12:26 door eduardEtc
Het BAC protocol beschermt de persoonsgegeven in de paspoortchip tegen ongeoorloofd uitlezen. Dat moet bij elke grenscontrole mogelijk zijn. Het wordt niet gebruikt voor het invoeren van die gegevens. Het beschermt dus de privacy, de gegevens zelf zijn beschermd tegen verandering door de smartcard.

Het BAC protocol gebruikt een password dat in clear over het contactloze interface wordt verstuurd. In theorie kan dat dus afgeluisterd worden. Het Duitse BSI (Bundesambt für Sichere Informationstechnik) heeft ruim 15 jaar geleden het PACE protocol ontwikkeld om het password versleuteld te versturen met een eenmalig sleutel die met een Diffie-Helman protocol wordt gegenereerd.

Dat de ICAO traag zijn technische normen aanpast is wel duidelijk.

Als je naar de geschiedenis kijkt van het onwkkelen van het elektronische paspoort waarin aan het bigin ICAO veel fout deed, met een groot gebrek aan kennis het dat te beveiligen, waardoor de smartcard industrie een paar jaar nodig had om hen te overtuigen dat het toch echt anders kon en moest. Het BAC protocol was indertijd het berijket compromis om in ieder geval een basis aan veiligheid te bieden bij het uitlezen van die chip.
14-06-2022, 11:01 door Anoniem
Alle paspoorten binnen de EU kunnen zowel met BAC als met PACE gebruikt worden, en het is al sinds januari 2018 binnen de EU verplicht om eerst PACE te proberen toegang te krijgen tot de chip.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.