Nederlandse gemeenten hebben de ict-systemen aangepast op nieuwe regelgeving voor de uitgave van identiteitskaarten. Vanaf maandag 20 januari 2014 kunnen burgers een id-kaart aanvragen zonder dat ze daarbij een vingerafdruk hoeven af te geven. De systemen zijn aangepast op die nieuwe regelgeving.
Aanvragers van een nieuwe id-kaart moesten voorheen vingerafdrukken afstaan. Die regels zijn per 20 januari 2014 veranderd. Burgers kunnen het afgeven van een vingerafdruk wijzigen. Alleen voor de aanvraag van paspoorten is het geven van vingerafdrukken nog verplicht. Het aantal afdrukken dat een burger moet afstaan voor een paspoort is teruggebracht van vier naar twee.
Privacy-voorvechters zijn blij met de nieuwe regels. ‘Hiermee is een eerste stap gezet om een deel van de principiële ‘vingerafdrukweigeraars’ tegemoet te komen’, stelt burgerrechtenvereniging Vrijbit in een reactie. De organisatie benadrukt dat met de wetswijziging voor id-kaarten de bezwaren tegen het gebruik van automatische gezichtsherkenning en rfid-chips, in zowel de paspoorten als id-kaarten, niet weggenomen zijn.
Peter Jongenelen van Vrijbit: ‘Gezichtsscans kunnen door automatische zoekprogramma’s gebruikt worden voor hele andere doeleinden dan het doel waarvoor de oorspronkelijke pasfoto’s zijn ingeleverd.’
RFID
Jongenelen vindt ook draadloze communicatie via een rfid-chip onveilig. ‘Het signaal kan ook door onbevoegden worden opgevangen, met alle gevolgen voor het niet enkel denkbeeldige risico dat burgers via deze weg slachtoffer worden van identiteitsfraude. Biometrische paspoorten zijn al diverse malen gehackt.’
De digitale verwerking van vingerafdrukken bij Nederlandse gemeenten is uitbesteedt aan leverancnier Morpho, (voorheen SDU Identification).
Er zijn houders van passen en zelfs portemonnees op de markt waarbij van buiten geen RFID gelezen kan worden omdat deze EM is afgeschermd.
Even ‘drogen’ in de magnetron kan uiteraard ook.
Feitelijk hoeven wij met zijn alleen niet zo heel erg krampachtig te doen. Als we gewoon de laatste wapenfeiten van een NSA combineren met waar hackers vaak mee bezig zijn is dat op zich al genoeg om er knap paranoïde van te worden.
Het enige volkomen en unieke aan een mens is inderdaad een vingerafdruk en ik heb eigenlijk nooit begrepen waarom men gewoon niet volstaat met de duim en in andere gevallen een middelvinger. (Dit laatste zonder enige bedoeling overigens)
Op dit onderdeel heb ik wel een reserve. We hebben bemensing genoeg bij de overheid dus waarom zouden die niet op heel eenvoudige wijze deze taak op zich nemen maar er weer een private onderneming voor inhuren.
Het is namelijk weer een extra risico potentie.
@NumoQuest
Een vinger afdruk is na te maken. Die NSA actie is dus een extra reden om geen vinger afdrukken op te slaan in een systeem. Even een andere profiel op de vingers maken, dit is tegenstelling tot een vinger afdruk, is niet zo eenvoudig te regelen.
@Numo
“Het enige volkomen en unieke aan een mens is inderdaad een vingerafdruk”
Wat denk je van de DNA – Lipafdruk – Iris etc. etc.
Vergeten wordt het verouderingsproces een aantal van deze biometrische eigenschappen verandert, zelfs de vingerafdruk.
Ik heb er wat op tegen dat de/een overheid haar onderdanen per definitie als krimineel beschouwt. Voor mijn paspoort zoek ik een RFID-blocker die zijn er gelukkig.
Van de vingerafdruk wordt een profiel gemaakt en ongeveer 1 op de 20 miljoen van die profielen is uniek. Alleen is het systeem wat in Nederland gebruikt wordt zo slecht dat ruim 20 procent van de gevallen het profiel in de RFID chip niet overeenkomt met het origineel.
Maar goed, daar is het eigenlijk niet om te doen. Meer dat 99.9% van de vingerafdrukken op een harde schijf in Utah data center van de NSA staan.
Samen met de pasfoto zodat men samen met die gegevens mensen binnen 48 uur of minder wereldwijd kunnen opsporen als ze langs een RFID zender of ander controlepunt komen.
Er spelen een aantal zaken mee die vrijwel nooit belicht worden in dit soort artikelen.
1. In het paspoort, en ook de ID kaart, wordt een daadwerkelijke IMAGE opgeslagen van de vingerprint. Deze wordt vervolgens door de lezer (draadloos) uitgelezen. Er is dus niet gekozen om door middel van een specifiek algoritme een hash op te slaan. Dit omdat alle algoritmen ‘eigendom’ zijn van een commerciële partij. Ondanks dat deze keuze begrijpelijk is, heeft het wel een aantal nadelige effecten
a. Het mogelijk om de draadloze data transmissie af te luisteren. Als je dan al in staat bent deze (encrypted) data transmissie te onderscheppen, zou je in theorie de vingerafdruk kunnen ‘namaken’ en op die manier daar misbruik van maken (valse afdrukken achter laten, identiteitsfraude etc. maar meest voor de hand liggende is het achterlaten van valse afdrukken, zie punt 2)
b. Benodigde tijd om het paspoort te lezen. Doordat het images zijn kost het 10-30 seconden (afhankelijk van het aantal prints) om het paspoort uit te lezen. Voor toepassingen waarbij snelheid van belang is (bijv. grenspassage) is dit veel te lang
2. Toepasbaarheid. De vingerafdrukken in het paspoort staan in een datagroep welke alleen maar toegankelijk is met het (private) certificaat van de Nederlandse overheid. Dit certificaat zou, als je de vingerafdrukken wilt gebruiken, in de paspoortlezer moeten staan. Indien deze paslezer gestolen wordt, zou hiermee elk paspoort uitgelezen kunnen worden. Als je dat kunt, kan je ook de vingerafdrukken eraf halen en misbruiken. Om die reden worden er maar heel weinig lezers uitgerust met dit certificaat (laat staan dat dit certificaat aan andere niet-NL overheden of bedrijfsleven uitgereikt wordt).
Conclusie: de vingerafdruk in het paspoort is wegens internationale regelgeving verplicht, maar wordt in de praktijk vrijwel nooit gebruikt voor het echte doel: identiteitsverificatie tussen persoon en paspoort. Daarom is het (wetgevingstechisch) relatief eenvoudig om ze te skippen uit de ID kaart. Er is namelijk NIEMAND die ze zal missen…
Logische vraag is hoe het dan wel zou moeten: heel simpel, gebruik een (commercieel) algoritme om de hash op te slaan, of nog liever, gebruik Biometric Encryption. Deze hash of BE code hoef je verder, net als de basis persoonsgegevens, helemaal niet te beveiligen. Dan is het a) snel uit te lezen en b) voor iedereen toepasbaar.