Paspoort zonder dubbelgangers

Het nieuwe paspoort moet identiteitsfraude uitsluiten. Maar informatie over gezicht en vingers kan ook worden misbruikt...

Het vertrouwen van de burger in de overheid daalt, en dat is wederzijds. Nadat het afgelopen jaar al de identificatieplicht van kracht is geworden, wordt komend jaar een nieuw paspoort ingevoerd.

Een paspoort dat betrouwbaarder moet worden dan de eigenaar zelf. Maar hoe betrouwbaar is dat document dan, en hoe veilig voor de individuele burger?

Het nieuwe paspoort krijgt een chip met zogeheten biometrische gegevens: aan het lichaam ontleende kenmerken waaraan iemand te herkennen is.

De pasfoto en de lichaamslengte, die al in het huidige paspoort zijn opgenomen, zijn in feite ook biometrische kenmerken, maar niet onderscheidend genoeg. Daardoor komt nu veel look-alike fraude voor: mensen die enigszins lijken op de eigenaar van een gestolen of geleend paspoort, kunnen zo een valse identiteit aannemen en daarmee bij de sociale dienst aankloppen of illegaal de grens overgaan.

Probleem is de ambtenaar achter het loket. Voor een mens lijken gezichten al snel op elkaar. Zeker als ze een andere kleur hebben dan hij of zij zelf.

Dus laten de Verenigde Staten en Europa het herkennen in de toekomst zo veel mogelijk aan apparaten over. Die hebben, zo is het idee, tenminste wél door dat ieder mens uniek is. Met een uniek gezicht, unieke ogen, oren, vingers, tenen, stem en geur. Allemaal bruikbaar voor identificatie.

Gelaatsscan

Voor de Nederlandse paspoortchip heeft het ministerie van Binnenlandse Zaken gekozen voor het gezicht en twee vingerafdrukken. De gelaatsscan, een digitale pasfoto, komt vanaf 28 augustus 2006 in nieuwe paspoorten.

De vingerafdrukken komen later - dat ligt wat gevoeliger. Maar ook die zullen, waarschijnlijk in 2009, straks op de chip zitten.

Makkelijker gezegd dan gedaan. Bij proeven in zes gemeenten dit jaar bleek het maken van de gelaatsscan en het nemen van de vingerafdrukken nogal wat onverwachte problemen op te leveren. Van de veertienduizend aanvragen mislukten er 231, ofwel 1,6 procent, blijkt uit een evaluatie.

Ook de tweede stap, het verifiëren van de identiteit van de paspoorteigenaar aan de hand van de gegevens op de chip, bleek lastiger dan gedacht: in meer dan tweehonderd gevallen mislukte dat door technische problemen en in 117 gevallen werden noch de vingerafdrukken, noch de gezichten door de computer herkend.

Een deel van het probleem kan worden opgelost met betere pasfoto`s, hoopt het ministerie. De foto`s, zelf mee te nemen door de paspoortaanvrager, moeten gaan voldoen aan de aanbevelingen van de internationale luchtvaartorganisatie ICAO.

Dat zijn serieuze aanbevelingen: niet lachen, een strakke blik recht in de camera, geen zonnebrillen of hoeden. Haarstukjes, tulbands en sluiers mogen wel, als het gezicht maar in beeld blijft.

De foto wordt vervolgens gescand en in de chip opgeslagen. Volgens het ministerie zou het te duur worden om in plaats van de fotoscan een live scan van het gezicht te maken, omdat dan elk gemeentehuis met een camera moet worden uitgerust. Wel krijgen de ambtenaren software om de kwaliteit van de foto te controleren.

Ook voor vingerafdrukken is de kwaliteit cruciaal. Als de afdruk niet duidelijk is, is de kans groot dat later de identiteitscontrole mislukt. Daarom is tijdens de proeven afgelopen jaar gekeken of de vingerafdrukken voldeden aan de normen van het Amerikaanse standaardenbureau, het National Institute of Standards and Technology. Hoe duidelijker de lijnen, eindpunten en wervels op de vinger, hoe lager het cijfer. Op een schaal van één (excellent) tot vijf (slecht) mogen de afdrukken hooguit een drie scoren om nog bruikbaar te zijn.

Wijsvingers

Uit de evaluatie van de Nederlandse proeven blijkt dat 80 procent van de aanvragers zowel links als rechts wijsvingers heeft van voldoende hoge kwaliteit. Bij ongeveer 13 procent voldeed één van de beide vingers.

Dat betekent dat bij 7 procent van de aanvragers geen van de vingerafdrukken bruikbaar was. `Een hoog percentage`, vindt vingerafdrukkendeskundige Asker Bazen van de Universiteit Twente. Vooral bij kinderen onder de 6 jaar en bij ouderen (boven de 65) bleek het onmogelijk goede afdrukken te nemen. De kindervingers waren vaak onwillig, of te week door gesabbel. Bij de 65-plussers bleken de vingertoppen vaak beschadigd. Minister Pechtold van Bestuurlijke Vernieuwing heeft laten weten dat hij `de uitkomsten bij de Europese Unie heeft aangekaart`.

`Dat mensen niet herkend worden hoeft nog niet onoverkomelijk te zijn`, zegt Bazen. `Je moet daar goede procedures voor bedenken. Degenen bij wie de herkenning niet werkt, moeten gewoon ouderwets, aan de hand van de pasfoto door de marechaussee worden gecontroleerd. Maar die mensen zijn daardoor wel enigszins verdacht. Het doel is natuurlijk zoveel mogelijk paspoorthouders automatisch te laten doorgaan.`

Een van de gevaren van het nieuwe paspoort is dat de chip, een zogeheten Radio Frequency Identifier (RFID), op afstand met onzichtbare radiostralen wordt uitgelezen. Het risico zou zijn dat de overheid, winkeliers of anderen de mogelijkheid krijgen om de informatie te skimmen, af te lezen, en zo het paspoort en de eigenaar ervan in de gaten te houden.

Om dat te voorkomen wordt de informatie op de chip versleuteld. Wie de gelaatsscan en persoonsgegevens wil lezen, heeft een code van cijfers en letters nodig die moet worden afgeleid uit de machine readable zone (MRZ) van het paspoort, de strook cijfers en letters voorin. In theorie zijn de mogelijke karaktercombinaties eindeloos, en is de daaruit gedestilleerde code dus onkraakbaar. In theorie.

Hacker

De praktijk is anders. De code is gebaseerd op de naam van de paspoorthouder en het nummer van het paspoort. Dat zijn geen willekeurige rijen van cijfers en letters, zoals bij een goede toegangscode het geval is. Het aantal mogelijke namen is niet oneindig, en het paspoortnummer is gebaseerd op geboortedatum - en dus te raden.

Een goede hacker, zegt Maurice Wessling van pivacy-waakhond Bits of Freedom, heeft twee uur nodig om de chip te kraken. Wel moet de kraker eerst de informatie van de MRZ bemachtigen om de aanval te kunnen openen. De vingerafdrukken krijgen overigens een extra versleuteling.

Een ander privacy-gevoelig punt is het unieke, ongecodeerde serienummer op de chip, dat de uitlees-apparaten bij de douane nodig hebben om verschillende paspoorten uit elkaar te houden. Wie kwaad wil, zou daarmee het paspoort, en dus de houder, toch nog ongemerkt kunnen volgen.

Veel ernstiger vindt Wessling echter dat de vingerafdrukken en gelaatsscan niet alleen op het paspoort zullen worden opgeslagen, maar ook in centrale databanken, volgens de plannen van het kabinet. Formeel is dat om de identiteit te controleren van personen die hun paspoort zijn verloren en een nieuwe aanvragen. Maar minister Remkes van Binnenlandse Zaken heeft ook al gezegd dat de centrale opslag `een bijdrage kan leveren aan de effectiviteit van de uitvoering van de identificatieplicht`. En minister Verdonk denkt dat het `essentieel` is in de `strijd tegen het internationale terrorisme`.

`Volstrekt infantiel`, noemt biometrie-expert Max Snijder zulke kreten. Volgens hem roepen de politici maar wat. `Stel een paar vragen en er blijft niets van over.`

Wessling is bang dat de overheid een eventuele centrale database van gezichten op termijn zal koppelen aan de beelden van bewakingscamera`s. `Je kunt er gif op innemen dat dat gaat gebeuren.`

Het zal nog wel even duren, schat Bazen van de Universiteit Twente. `Daarvoor zijn de fouten in beeldherkenning nog te groot.`

Toch is, uit vrees voor misbruik, de centrale opslag in Duitsland van de baan. In Nederland moet het plan nog door het parlement. Daar lijkt een meerderheid vóór. Want als we alles netjes in de wet vastleggen, is misbruik toch onmogelijk?

Wessling is er niet gerust op: `De politie zal zeggen: die database is er, dan is het toch onzin om er geen gebruik van te maken?

`Die function creep zie je steeds weer. Let op de nieuwjaarstoespraak van de Amsterdamse korpschef Welten. Je identiteit is steeds minder van jezelf.`

Meer over