Duitse hackers creëren securityzorgen rond eID

Het Duitse hackercollectief Chaos Computer Club (CCC) heeft op de zender ARD gedemonstreerd hoe persoonlijke informatie kan ontfutseld worden van de toekomstige Duitse elektronische identiteitskaarten. De gebruikte techniek kan ook bij ons effectief zijn. De Duitse eID zou er in november moeten komen. Los van de identiteitsinformatie die de kaart (met rfid-chip) bevat, zou de Duitse overheid de kaart – net zoals bij ons trouwens – ook willen inschakelen voor meer commerciële toepassingen (als beveiligd authenticatiemiddel op websites, als bedrijfsbadge, …). Daarvoor zal de overheid bijna een miljoen rfid-kaartlezers verdelen aan de eerste eID-bezitters.

Het Duitse hackercollectief Chaos Computer Club (CCC) heeft op de zender ARD gedemonstreerd hoe persoonlijke informatie kan ontfutseld worden van de toekomstige Duitse elektronische identiteitskaarten. De gebruikte techniek kan ook bij ons effectief zijn.

De Duitse eID zou er in november moeten komen. Los van de identiteitsinformatie die de kaart (met rfid-chip) bevat, zou de Duitse overheid de kaart – net zoals bij ons trouwens – ook willen inschakelen voor meer commerciële toepassingen (als beveiligd authenticatiemiddel op websites, als bedrijfsbadge, …). Daarvoor zal de overheid bijna een miljoen rfid-kaartlezers verdelen aan de eerste eID-bezitters.

Maar de CCC stelde op televisie de security van de kaart in vraag. Via spyware die de hackers op een pc installeren, slagen ze er in om de PIN-code te lezen die de gebruiker van de eID-kaart ingeeft. Op zich niet specifiek een eID-probleem, aangezien de spyware eender welke andere code die je op de pc ingeeft, zou kunnen lezen. Toch veroorzaakte de uitzending beroering in Duitsland, waarbij uiteindelijk zelfs de minister van Binnenlandse Zaken Thomas de Maizière bevraagd werd over de eID-beveiliging.

Ook bij ons
Peter Strickx, Directeur-Generaal Systeemarchitecturen en Standaarden bij Fedict, merkt op dat de Duitse eID-kaart verschilt van de Belgische, onder meer door de rfid-chip. Toch bevestigt hij dat de opmerkingen over het intercepteren van de PIN-code van de eID-kaart ook hier van toepassing kunnen zijn. “Dat zou voor alle codes op een geïnfecteerde pc zo zijn.”

Hoewel de hackers claimen dat er problemen zijn met de security van de kaart, situeert het probleem zich eigenlijk op vlak van de kaartlezer. Aangezien je de code op het pc-klavier moet intypen, kan die gemakkelijk onderschept worden als de pc besmet is met de spyware.

Dat zou niet het geval zijn met een beveiligde kaartlezer met een eigen klavier (‘secure pinpad readers’). “Een aantal ziekenhuizen zullen dan ook voor het raadplegen van het elektronisch patiëntendossier via internet en eID ‘secure pinpad readers’ gebruiken. Dat vooral om een variante van de ‘man-in-the-middle-attack’ tegen te gaan: het gebruiken van de toegang tot een site of webtoepassing om ongemerkt binnen te geraken op een andere site.”

Toch vindt Strickx niet dat ook u en ik onmiddellijk naar secure pinpad readers moeten grijpen. “Het is toch nuttig te wijzen op de functie van de PIN-code bij de eID. Met name ‘de toegang tot een bewerking met de private sleutel’. Dus zonder de eID is de PIN-code nutteloos, heel anders dan bij sommige e-commercetransacties waarbij het kaartnummer, vervaldatum en naam van de houder volstaan voor een transactie. Om de PIN-code te misbruiken van op afstand moet de eID zich in de kaartlezer bevinden en moet er op dat moment naar een bewerking met de private sleutel gevraagd worden.” En dat gebeurt niet zo vaak? “Dat risico is niet uit te sluiten maar de kans dat zoiets gebeurt is toch vrij klein…”