Tijdens What The Hack waarschuwde Riscure, een beveiligingslab uit Delft al voor de risico's in de RFID-chip in het nieuwe Nederlandse biometrische paspoort. Gisteravond liet tv-programma Nieuwslicht zien dat er sinds afgelopen zomer geen wijzigingen zijn doorgevoerd.
De geheime sleutel die voor de beveiliging van het biometrische paspoort wordt gebruikt blijkt te bestaan uit de vervaldatum, de geboortedatum en het paspoortnummer. Verder is er een duidelijke relatie tussen de uitgiftedatum en het serienummer. Het laatste nummer in de code is een relatief eenvoudige checksum waardoor de beveiligingsgraad is gedaald tot 35 bits.
Reinier van der Drift van Bio XS is niet verbaasd over de uitzending van Nieuwslicht maar snapt niet dat Nederland genoegen neemt met zo’n lage beveiligingsgraad. “Het was te verwachten dat dit zou gebeuren. Al in 2001 werd het Ministerie van Binnenlandse Zaken, nota bene door een eigen onderzoek, gewaarschuwd om geen draadloze techniek te gebruiken in de nieuwe generatie reisdocumenten."
"Het is dus verbazingwekkend dat men dit toch heeft doorgezet terwijl de experts al jaren waarschuwen voor de risico’s. Het is dus duidelijk dat het Ministerie van Binnenlandse Zaken willens en wetens dit risico heeft willen nemen. Werkelijk onbegrijpelijk,” aldus Van der Drift. Met het kraken van de sleutel krijgt de aanvaller toegang tot geboortedatum, pasfoto en vingerafdrukgegevens. Het ministerie meldde afgelopen zomer nog dat het naar aanleiding van de ontdekkingen van Riscure het nummerschema zou veranderen.
En hoe staat het er nu voor met de huidige paspoort rfid chips, nog steeds zo belaberd???