AMSTERDAM - De nieuwe 'onvervalsbare' paspoorten met microchip, blijken binnen een paar minuten te kunnen worden gekopieerd en aangepast. De controles worden niet goed uitgevoerd.

Dat ontdekte Jeroen van Beek, beveiligingstester bij KPMG en de Universiteit van Amsterdam die het systeem onderzocht. De ontdekking is pijnlijk voor de Engelse overheid, omdat het paspoort juist terrorisme en georganiseerde misdaad hadden moeten tegenhouden.

Tijdens de test werden de chips op paspoorten gekloond en voorzien van een afbeelding van Osama bin Laden en Elvis Presley. De paspoorten worden door readers wel gecontroleerd, maar een vervalste chip valt niet niet op omdat de software niet alle checks uitvoert.

Sleutels
In het internationale systeem om de RFID-chips te maken zit een mogelijkheid controles uit te voeren op basis van cryptografie, waarbij gewerkt wordt met publieke en geheime sleutels. De publieke sleutels worden volgens de standaarden van de internationale reisorganisatie ICAO opgeslagen in een centrale database.

Van de 45 deelnemende landen doen slechts vijf dat. In andere gevallen draagt de houder van het paspoort de publieke sleutel bij zich. De index, die vertelt wat er precies in het de contactloze chip staat, bleek helemaal niet beveiligd.

De onderzoeker verving het certificaat door een eigen en kon zo toch een kloppende digitale handtekening over de opgeslagen gegevens aanleveren. "De oude chip maak je onklaar door er met een hamer op te slaan", legt van Beek uit tegenover Webwereld. "Vervolgens wordt alleen nog de kloon uitgelezen."

Kloon
Tijdens een test op het gemeentehuis van Amsterdam en Amstelveen merkte de software niet dat er gewerkt wordt met een kloon. Van Beek vreest de vervalsingen ook bij scanners aan de grens grenscontroles niet door de mand zullen vallen.

Het onderzoek staat niet op zichzelf. Eerder toonde de Duitser Lukas Grünwald al dat het klonen van paspoortchips mogelijk was en wezen andere onderzoekers de weg naar het maken van een valse chip.

Van Beek maakte als eerste een concrete implementatie. "Mijn onderzoek toonde het probleem al aan en nu is het eindelijk concreet gemaakt", zegt Grünwald tegenover Webwereld. "Dit is echt een groot probleem nu."

Identiteitsdiefstal
Het probleem waar hij op doelt is de mogelijkheid om nu identiteitsdiefstal te plegen. Volgend jaar krijgen Europese paspoorten ook vingerafdruk in het reisdocument. De slechte controle laat de deur voor identiteitsdiefstal wagenwijd open staan.

"Als het systeem goed geïmplementeerd zou zijn, was dit niet mogelijk", zegt Van Beek. "Nu is de added value negatief, omdat je denkt dat het veilig is terwijl dat het niet is."

Van Beek bepleit dat de overheid zijn burgers van de wal in de sloot helpt. Het paspoort blijkt niet alleen onveilig, maar de belastingbetaler mag ook nog eens voor de kosten opdraaien. "De burger merkt juist door de RFID-technologie dat zijn paspoort steeds duurder wordt, terwijl de testapparatuur niet voldoet."