Rijksdienst gaat chips in paspoorten en identiteitskaarten vervangen
De Rijksdienst voor Identiteitsgegevens (RvIG) gaat de chips in de paspoorten en identiteitskaarten stapsgewijs vervangen. Aanleiding is dat de huidige chips in de paspoorten en identiteitskaarten verouderd en niet meer leverbaar zijn, zo is vandaag bekendgemaakt. Het is de verwachting dat het paspoort met de nieuwe chip eind juli wordt ingevoerd.
Deze nieuwe chip zal uitsluitend nog het PACE-protocol (Password Authenticated Connection Establishment) ondersteunen om gegevens uit te lezen. Uitlezen door het BAC-protocol (Basic Access Control) wordt dan niet meer ondersteund. De chip op het identiteitsbewijs bevat persoons- en documentgegevens van de houder. Deze informatie is door middel van inspectieapparatuur uit te lezen.
In eerste instantie werd hierbij gebruikgemaakt van het BAC-protocol. Dit protocol maakt gebruik van symmetrische encryptie, wat inhoudt dat dezelfde sleutel wordt gebruikt voor het versleutelen van de data voor het versturen naar de inspectieapparatuur als gebruikt door de lezer voor het ontsleutelen van de data. Om het afluisteren van de verbinding te voorkomen werd het veiligere PACE-protocol ontwikkeld, dat van asymmetrische encryptie gebruikmaakt.
In 2016 werd nog een tijdslijn gepresenteerd om BAC vanaf januari 2018 uit te faseren. Inspectieapparatuur waarvan de software voldoet aan de huidige ICAO-standaard leest de chip altijd als eerste uit via het PACE-protocol. Alleen als het uitlezen niet lukt via het PACE-protocol wordt er teruggevallen op het BAC-protocol om toegang te krijgen tot de gegevens in de chip van het paspoort of identiteitsbewijs. Dit alternatief zal straks verdwijnen.
In de de gemeenten Meerssen, Leiden en Oegstgeest is al getest met het uitgeven van de nieuwe paspoorten en het uitlezen van de chip. De komende maanden zullen en er nog meer tests plaatsvinden waarvoor nog deelnemende gemeenten worden gezocht.
Wat wel een verschil kan zijn, dat is de sleuteldistributie. En juist hier kan de vermeende hogere veiligheid aan zijn gerelateerd.
Symmetrische encryptie gebruikt dezelfde sleutel voor encrypten en decrypten.
Asymmetrische encryptie gebruikt een sleutel voor encryptie en een gerelateerde andere sleutel voor decryptie. Dat betekent dat je één van de sleutels kan publiceren voor gebruik door derden. Dat is dan de publieke sleutel.
Verder is symmetrische encryptie sneller (vanwege lagere sleutellengtes), dan asymmetrisch.
Dat is net als zeggen "goh, IPSEC werkt niet, laten we het maar in plain tekst sturen dat wachtwoord..."...
Als BAC slecht is moet je het gewoon uitfikken die mogelijkheid, bij de eerste de beste mogelijkheid.
Kom je op schiphol en heb je nog een paspoort die BAC en PACE ondersteunt? gewoon POEF!.. weg BAC...
Maar het nadeel is natuurlijk dat die crypto chips toen ze uit kwamen al dinosaurussen waren en toen ze na 10 jaar eindelijk vervangen zouden worden was hun vervanger ook al end-of-life...
Nog groter nadeel is dat die apparatuur die overal ter wereld staat zo'n 20 jaar mee moet gaan met chips die dus eigenlijk elke 3 tot 5 jaar vervangen moeten worden.
Tegen de tijd dat er een nieuwe scanner staat bij de KMAR op schiphol is die functionaliteit al weer 2 generaties gedateerd..
Dus OF modulair maken die boel of gewoon vaststellen dat automatisering hier niet past.
Net dat je vroedvrouwen of SEH artsen niet moet willen digitaliseren moet je sommige dingen bij overheden ook niet verautomatiseren..
Dan kun je ze even onschadelijk maken deze rakkers.
En ondertussen maar hopen dat in het (verre) buitenland ook alle controles er mee om kunnen gaan (als ze het al gebruiken).
Wat wel een verschil kan zijn, dat is de sleuteldistributie. En juist hier kan de vermeende hogere veiligheid aan zijn gerelateerd.
Symmetrische encryptie gebruikt dezelfde sleutel voor encrypten en decrypten.
Asymmetrische encryptie gebruikt een sleutel voor encryptie en een gerelateerde andere sleutel voor decryptie. Dat betekent dat je één van de sleutels kan publiceren voor gebruik door derden. Dat is dan de publieke sleutel.
Verder is symmetrische encryptie sneller (vanwege lagere sleutellengtes), dan asymmetrisch.
Wat wel een verschil kan zijn, dat is de sleuteldistributie. En juist hier kan de vermeende hogere veiligheid aan zijn gerelateerd.
Symmetrische encryptie gebruikt dezelfde sleutel voor encrypten en decrypten.
Asymmetrische encryptie gebruikt een sleutel voor encryptie en een gerelateerde andere sleutel voor decryptie. Dat betekent dat je één van de sleutels kan publiceren voor gebruik door derden. Dat is dan de publieke sleutel.
Verder is symmetrische encryptie sneller (vanwege lagere sleutellengtes), dan asymmetrisch.
Dat is een leuke dump van een stukje standaard tekst en bijna juist . Het is niet dat asymmetrische encryptie an sich veiliger is (in tegendeel, meestal) .
Maar wat het wel kan toevoegen is authenticatie : De digitale signatures berusten allemaal op een public key variant .
Hier wordt het daarvoor gebruikt, en ook voor het bootstrappen van een veel langere sessie key voor de symmetrische encryptie .
De bedoeling van BAC (en PACE) is skimming - het op enige afstand scannen van paspoorten van langslopers , en eavesdropping (meeluisteren naar de data als een paspoort geauthoriseerd uitgelezen wordt.
De key voor BAC staat dus gewoon in het paspoort - wie het paspoort open voor zich heeft kan het (ook) elektronisch uitlezen.
Voor het hele verhaal moet je https://www.icao.int/publications/Documents/9303_p11_cons_en.pdf doorploegen.
De Wiki https://en.wikipedia.org/wiki/Supplemental_access_control geeft een samenvatting van wat PACE toevoegt tov BAC.
bv
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ElekAusweise/Keesing_10_09_Introducing_the_PACE_solution_pdf.pdf?__blob=publicationFile is ook een high level samenvatting.
authenticatie van chip (en reader) - en veel meer entropie in de sessie key dan BAC kan leveren.
Wat wel een verschil kan zijn, dat is de sleuteldistributie. En juist hier kan de vermeende hogere veiligheid aan zijn gerelateerd.
Symmetrische encryptie gebruikt dezelfde sleutel voor encrypten en decrypten.
Asymmetrische encryptie gebruikt een sleutel voor encryptie en een gerelateerde andere sleutel voor decryptie. Dat betekent dat je één van de sleutels kan publiceren voor gebruik door derden. Dat is dan de publieke sleutel.
Verder is symmetrische encryptie sneller (vanwege lagere sleutellengtes), dan asymmetrisch.
Je hebt gelijk.
Ik heb hier niets over gezegd omdat ik (eerlijk gezegd) geen idee heb hoe de asymmetrische encryptie in PACE is geïmplementeerd. Ik weet niet (ik denk van wel) dat elk paspoort dus zijn eigen keypair heeft. Dus dan kan een paspoort kan zich wel authentiseren. Hoe zit het met de andere kant op? Wellicht is de andere kant op helemaal niet nodig
Wat wel een verschil kan zijn, dat is de sleuteldistributie. En juist hier kan de vermeende hogere veiligheid aan zijn gerelateerd.
Symmetrische encryptie gebruikt dezelfde sleutel voor encrypten en decrypten.
Asymmetrische encryptie gebruikt een sleutel voor encryptie en een gerelateerde andere sleutel voor decryptie. Dat betekent dat je één van de sleutels kan publiceren voor gebruik door derden. Dat is dan de publieke sleutel.
Verder is symmetrische encryptie sneller (vanwege lagere sleutellengtes), dan asymmetrisch.
Nu invoeren van asymetrische encryptie, betekend dat deze in iedergeval minimaal 10 jaar mee moet gaan, Als we kijken naar post quantum cryptografie, moeten we ons nu voor bereiden omdat over 10 jaar de asymetrische encryptie algoritmes gekraakt kunnen zijn. Bij symmetrische encryptie (AES) wordt deze gehalveerd (AES-256 krijgt de sterkte van AES-128). Dat kan nog steeds voldoende zijn. Nu is PACE een betere oplossing dan BAC, maar of dit op de lange duur nog zo is, moet nog blijken.
Wat wel een verschil kan zijn, dat is de sleuteldistributie. En juist hier kan de vermeende hogere veiligheid aan zijn gerelateerd.
Symmetrische encryptie gebruikt dezelfde sleutel voor encrypten en decrypten.
Asymmetrische encryptie gebruikt een sleutel voor encryptie en een gerelateerde andere sleutel voor decryptie. Dat betekent dat je één van de sleutels kan publiceren voor gebruik door derden. Dat is dan de publieke sleutel.
Verder is symmetrische encryptie sneller (vanwege lagere sleutellengtes), dan asymmetrisch.
Nu invoeren van asymetrische encryptie, betekend dat deze in iedergeval minimaal 10 jaar mee moet gaan, Als we kijken naar post quantum cryptografie, moeten we ons nu voor bereiden omdat over 10 jaar de asymetrische encryptie algoritmes gekraakt kunnen zijn. Bij symmetrische encryptie (AES) wordt deze gehalveerd (AES-256 krijgt de sterkte van AES-128). Dat kan nog steeds voldoende zijn. Nu is PACE een betere oplossing dan BAC, maar of dit op de lange duur nog zo is, moet nog blijken.
Het is goed om te kijken voor welke threats BAC en PACE ontworpen zijn , en op welke manier ze geimplementeerd zijn.
De papier (zie bv dat Duitse van de bsi site) die ik linkte om 22:59 geven dat aan . BAC is gewoon (al) vrij zwak en dat heeft te maken met de beperkte entropie van de key .
Het is heel aardig om wat slagen in de lucht te doen op basis van heel algemene kenmerken van cryptografie , alleen voor een specifiek probleem domein slaan die soms als een tang op een varken .
Het is, vrees ik, voor de meeste lezers en posters hier een nieuwtje dat key bij BAC gewoon leesbaar in je paspoort staat.
Iedereen voor wie dat nieuw was - en die verbaasd of boos is - doet er dan goed aan te gaan lezen voor welk threat model BAC (en opvolgers) PACE ontworpen zijn.
Gewoon de BAC key meer entropie geven is ook niet zo 'gewoon' mogelijk
Oreren over magische QC voor het probleem domein waarin PACE en de ermee beschermde data zit is wel heel erg theoretisch.
EN dan aanhaken bij een goede oplossing
I.p.v. opnieuw een wiel uitvinden: iets waarin de NL Overheid nu juist wél heel goed is <zucht>
EN dan aanhaken bij een goede oplossing
I.p.v. opnieuw een wiel uitvinden: iets waarin de NL Overheid nu juist wél heel goed is <zucht>
Als je dat interessant vind om te weten had je het al lang kunnen lezen. (links staan hier al) Maar je wilt liever schamper doen blijkbaar.
Mondje open.
lepeltje met heel klein brokje kennis : "BAC en PACE zijn een internationale standaard. Andere landen implemteren die ook"
slikken.
mondje dicht .
<zucht> .
Echt het meest essentieel, voor mij dan, die asbak. Anders kun je mooi mijn comments vergeten, zelfs degene waar je het mee eens bent want zonder verf kan ik niet schilderen ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.