Terrorisme afwenden door invoering van een digitaal identiteitsbewijs: België en Engeland zien het als het ei van Columbus. België kiest voor chipkaarten, Engeland voor biometrie. Veel experts betwijfelen de onfeilbaarheid van deze oplossingen.
Met digitale identiteitsbewijzen valt volgens de voorstanders nagenoeg niet te frauderen, in tegenstelling tot de traditionele varianten. Daarom zou het een wapen in de strijd tegen het terrorisme zijn. Volgens de critici gaat die vlieger alleen op in een ideale omgeving die vooralsnog slechts in theorie bestaat. Daarnaast zijn de technologieën voor digitale identiteitsbewijzen nog niet volwassen. Dat geldt vooral voor de biometrische varianten, hoewel de chipkaart (ook wel smartcard genoemd) ook zijn zwakke punten heeft. Een chipkaart is bijvoorbeeld niet zo veilig als algemeen aangenomen wordt. Bovendien zullen ook niet-traditionele identiteitsbewijzen sowieso niet veel uithalen tegen terrorisme, zelfs niet tegen identiteitsdiefstal.
Handtekening
De Belgische identiteitskaart krijgt het formaat van een creditcard en bevat een microchip. Behalve de visuele gegevens, zoals naam en geslacht, zal de kaart een aantal data bevatten op de microchip. Onder meer de identiteit- en handtekeningcertificaten, de gegevens van de geaccrediteerde certificatendienstverlener, en de informatie die nodig is voor de authenticatie van de kaart, de beveiliging van de elektronisch leesbare gegevens en het gebruik van de bijgeleverde certificaten worden opgeslagen op die microchip.
De kaarthouder beslist zelf of hij de kaart gebruikt als identiteitsbewijs zonder meer, of ook als toegangskaart tot elektronische formulieren en gegevens. In het laatste geval krijgt hij een pin-code en worden de authenticatie- en handtekeningencertificaten gedeblokkeerd. Om de kaart als geldige handtekening te kunnen gebruiken, moet de houder op zijn gemeentehuis een formulier ondertekenen waarin hij zich akkoord verklaart met het gebruik van deze handtekening. Een zelfde systeem als dat wat nu in gebruik is voor gsm-kaarten waarborgt de beveiliging van de kaart verder: een puk-code voor als de houder de pin-code vergeet en een tweede puk-code die bij de uitgever blijft om bij verlies van zowel pin als puk de kaart toch nog opnieuw te kunnen activeren.
Dromen
De kaart zal te gebruiken zijn voor het ondertekenen van de elektronische belastingaangifte, het tekenen van allerlei formulieren in de communicatie met de overheid, het inloggen op servers die gegevens bevatten over de sociale zekerheidsstatus van de houder enzovoort. De Belgische overheid heeft er alle vertrouwen in dat de identiteitskaart infiltratie van terroristen zal bemoeilijken en het stelen van identiteitsgegevens onmogelijk zal maken. De politici dromen ervan de Belgische oplossing als succesverhaal te kunnen exporteren voor bijvoorbeeld wereldwijd gebruik ervan als beveiliging voor e-commercie.
Zo’n vaart zal het wel niet lopen. Beveiligingsexperts als senior research analist Andrew Kellett (Butler Group) stellen onomwonden dat elektronische identiteitsbewijzen geen zier helpen tegen criminele of terroristische wandaden als ze niet deel uitmaken van een volledig geïntegreerd systeem. “De grotere veiligheid komt er alleen als alle systemen volledig synchroon lopen. Als dat niet het geval is, kan je de mensen evengoed een vodje papier geven waarop staat dat ze zijn wie ze zijn.”
Kellett weet waarover hij spreekt. Hij en zijn collega’s uiten al maanden kritiek op de plannen van de Britse regering om een door biometrie beveiligde identiteitskaart in te voeren. “Niet alleen is biometrie nog verre van volwassen; de systemen zelf zijn gewoon nog niet klaar voor een operatie van dergelijke omvang”, aldus de analist. Hij verwijst daarbij naar Engelands rijbewijzendatabank, die nog steeds vernieuwingsoproepen zendt naar mensen die tien jaar geleden al overleden zijn. In België bestaat dat probleem niet in dezelfde mate, maar daar verbiedt een strenge wetgeving op de bescherming van de privé-sfeer de uitwisseling en dus koppeling van overheidsdatabanken. Kellett stelt dat databanken die niet gekoppeld zijn meer onderhoud vergen.
Juridisch
Over het Belgische eik-concept (elektronische identiteitskaart) zelf is wel iets positiefs te vertellen. Een paar jaar geleden bewezen Paul Kocher, Joshua Joffe en Benjamin Jun dat het bewerken van een chipkaart met bepaalde elektrische stroompjes leidt tot het volledig wegvallen van de beveiliging. De huidige chipkaarten zijn niet meer zo gemakkelijk te kraken. Overigens voerden zij het hele proces uit met apparatuur die elke hacker voor een paar honderd euro kan kopen.
Volgens professor Bart Preneel van de Katholieke Universiteit Leuven is het tegenwoordig veel moeilijker om een chipkaart zijn geheimen te ontfutselen. “De aanvallen van Kocher zijn gepubliceerd in 1999. Die waren inderdaad een verrassing, met enorme impact op de chipkaarten die toen in omloop waren. Sindsdien zijn tientallen mensjaren gespendeerd aan het beveiligen van de kaarten tegen die aanvallen. Momenteel richt het debat zich dan ook meer op het juridische dan op het technische niveau.”
Kocher zelf heeft volgens Preneel heel wat tegenmaatregelen geoctrooieerd. De professor geeft aan dat inmiddels wel weer nieuwe succesvolle aanvalsmethoden zijn ontwikkeld. Het wordt wel steeds moeilijker om die als individu uit te voeren. Preneel: “De nieuwe aanvallen zijn gebaseerd op nevenkanalen als elektromagnetische aanvallen en foutenintroductie. Sinds een jaar of twee zijn er echter goed beveiligde kaarten op de markt. Die bieden zelfs tegen de geavanceerdste aanvallen vele dagen weerstand. Dat is geen spek meer voor de bek van de gemiddelde hacker.” De georganiseerde misdaad zal echter dergelijke methoden wellicht wel gebruiken.
Zwakste schakel
Volgens Preneel is bij de Belgische identiteitskaart gekozen voor een zeer hoog veiligheidsniveau, waarbij zowel het besturingssysteem als de kaart zelf zijn geëvalueerd volgens de beveiligingsstandaard Common Criteria. Het Belgische systeem haalde volgens een Franse evaluatie garantieniveau EAL 5+, wat erg hoog is. Zelf heeft Preneel in zijn eigen laboratorium geprobeerd de eik te kraken. Dat is niet gelukt.
Preneel richt zich als wetenschapper op het materiaal zelf. Zijn lab kan niet onderzoeken hoe het systeem waarbinnen de kaart functioneert onderhouden zal worden. Verder kan geen enkele wetenschapper inschatten hoe de houder met de pin-code omgaat. Dat laatste is een bijkomend argument voor Kellett om elektronische identiteitsbewijzen als gevaarlijk te beschouwen. Hij ziet in het Belgische geval het gebruik van een pin-code als een van de zwakste schakels in het systeem. “Als de houder van de kaart zijn pin-code laat rondslingeren is er bijvoorbeeld niets dat een familielid verhindert om met de kaart via het web allerlei dingen te tekenen waar de persoon zelf niet achter staat.” Als de houder een formulier ondertekend heeft waarin hij ermee akkoord gaat dat zijn digitale handtekening dezelfde juridische waarde heeft als zijn geschreven handtekening, ontstaat een reusachtig probleem. Dat is dan wel een juridisch probleem.
Kellett vindt daarom vanuit het oogpunt van veiligheid op zich het Britse model beter. “Biometrie is echter nog niet robuust genoeg om op deze schaal gebruikt te worden.” Vooral de frr (false rejection rate) baart hem zorgen omdat het gaat om enorme hoeveelheden kaarten. “Irisscanning bijvoorbeeld is vrijwel 100 procent feilloos, en dan nog riskeer je dat je mensen met een handicap in de problemen brengt.” De analist baseert zich voor zijn scepsis overigens niet op wetenschappelijke gegevens, maar op de cijfers die fabrikanten zelf opgeven. Fujitsu bijvoorbeeld kondigde onlangs aan dat het een handpalmscanner op de markt brengt met een frr van 0,01 procent. Dat is indrukwekkend maar niet bruikbaar als het gaat om pakweg vijftig miljoen mensen.
Buiten de boot
Een en ander belemmert de fabrikanten niet om nu al oplossingen op de markt te brengen die de eik als kaart zullen gebruiken. Utimaco Safeware introduceerde eind juni dit jaar Cerbalon, een login-technologie voor Windows die een sterk paswoord genereert met behulp van het gebruikerscertificaat dat op elke eik staat. Volgens Utimaco is het grote voordeel dat mensen maar één pin-code hoeven te onthouden. Dat is niet correct, want banken en creditcardbedrijven doen vooralsnog niet mee met de eik-gekte. Verder blijken gebruikers volgens telkens weer herhaalde studies hun pin-code ergens op te schrijven. Dat doet de voorgespiegelde eenvoudige, waterdichte beveiligingsprocedure teniet.
Andere fabrikanten spelen in op de eik door er biometrische herkenning aan toe te voegen. Zij willen de pin-code vervangen door biometrische bescherming via een vingerafdruk. Xelios bijvoorbeeld kondigde PC Login Pro 5.10 aan. Die jongste versie van PC Login werkt met de eik samen voor het inloggen op bedrijfssystemen.
De eik lijkt een soort sleutelpositie te gaan innemen voor de beveiliging van bedrijfsomgevingen en -toepassingen. Biometrische authenticatie is hier, ook volgens Kellett, wel op zijn plaats gezien de beperkte schaal waarop die technologie binnen zakelijke omgevingen geïmplementeerd zal worden. Voor de gewone burger blijven veel vragen onbeantwoord, met een akelige stilte van de kant van de overheid. Wat moeten Mac-gebruikers doen? De op Windows gerichte Belgische overheid stelt alleen kaartlezers voor Windows en Linux beschikbaar; Mac OS valt buiten de boot. Hoe zullen de databases onderhouden worden in een land waar de belastingdienst er wegens personeelstekort niet meer in slaagt om in de grote steden bedrijven om de vijf jaar te controleren? Hoe zal een koppeling juridisch worden verantwoord?
