25 764
Reisdocumenten

nr. 39
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Op 8 april 2008 heb ik mondelinge vragen beantwoord van de heer Duyvendak (GroenLinks) over een mogelijk «lek» in de Nederlandse reisdocumenten (Handelingen der Kamer II, vergaderjaar 2007–2008, nr. 73, blz. 5096–5097). In vervolg op die beantwoording heb ik op 10 april 2008 de Tweede Kamer een brief gezonden over hetzelfde onderwerp (Kamerstuk 25 764, nr. 38). Daarin heb ik aangekondigd de Tweede Kamer nog nader te zullen informeren over de uitkomst van enkele onderzoeken die zouden worden uitgevoerd. Met deze brief geef ik gevolg aan die toezegging.

Uitkomsten onderzoek Joint Research Centre1 van de Europese Unie

In september 2006 hebben medewerkers van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) in het Artikel 6 Comité (die de Europese Commissie bijstaat bij het opstellen van de technische specificaties bij de Europese Verordening betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten) aandacht gevraagd voor de mogelijke «identificatie» op afstand van de herkomst (van de producent) van elektronische reisdocumenten. Van Nederlandse zijde is de Europese Commissie voorgesteld om een onderzoek te laten doen naar deze materie. De Europese Commissie heeft aan het Joint Research Centre (JRC) gevraagd dat onderzoek te doen. Op 22 april 2008 zijn de uitkomsten van het onderzoek gepresenteerd in het Artikel 6 Comité.

Omdat de stukken die in het artikel 6 Comité worden besproken niet openbaar zijn, geef ik u hier een samenvattende beschrijving van de opzet en uitkomsten van het onderzoek van JRC.

JRC heeft de specificaties geanalyseerd waaraan de chips in reisdocumenten van de EU-lidstaten moeten voldoen en vastgesteld dat de door de Europese Commissie vastgestelde specificaties keuzemogelijkheden bevatten. Doordat de specificaties niet eenduidig zijn, ontstaan mogelijkheden om een reisdocu-mentchip te implementeren met verschillende functionaliteit. JRC heeft testen uitgevoerd met elektronische paspoorten van verschillende lidstaten en vastgesteld dat de chip in die documenten- voorafgaand aan het uitlezen van persoonsgegevens – verschillende functionaliteit bevatten en dientengevolge van elkaar onderscheidbaar zijn. Het JRC stelt dat het onmogelijk is om de chips in reisdocumenten van verschillende fabrikanten volledig identiek te implementeren. JRC ziet gegeven deze uitkomsten twee opties namelijk niets doen, danwel overgaan tot «shielding»1 van de reisdocumenten.

De Europese Commissie ziet in de uitkomsten van JRC geen reden om de technische specificaties te herzien. Lidstaten die iets willen doen aan het afschermen van de informatie die de chip afgeeft, kunnen zelf het initiatief nemen tot «shielding» van de reisdocumenten. De Commissie is niet voornemens om voorstellen te doen om dat verplicht te stellen. Dat standpunt wordt onderschreven door een grote meerderheid van de lidstaten van de Europese Unie. De lidstaten zien in de uitkomsten van het onderzoek geen bedreiging van de beveiliging van de elektronische reisdocumenten.

Nederlandse reisdocumenten

In mijn brief van 10 april 2008 schreef ik u dat de beveiliging van de reis-documenten mijn voortdurende aandacht heeft. In dat kader heb ik, omdat waakzaamheid noodzakelijk is, de instanties die in 2006 reeds beveiligingtesten hebben uitgevoerd, opdracht gegeven opnieuw onderzoek uit te voeren. Dit om na te gaan of er nieuwe ontwikkelingen zijn die tot nieuwe kwetsbaarheden zouden kunnen leiden. Inmiddels hebben Collis en de Radboud Universiteit Nijmegen de onderzoeken afgerond. Beiden concluderen dat er op dit moment geen sprake is van een dreiging voor de integriteit van de in de chip (van de reisdocumenten) opgeslagen gegevens.

Overigens hebben onderzoekers van de universiteit van Amsterdam en Riscure mij recent gemeld dat specificaties betreffende uitleesapparatuur, niet eenduidig c.q. mogelijk onvolledig zouden zijn. Een gevolg hiervan zou kunnen zijn dat bij het uitlezen van de documenten de beveiliging (active authentication) om het copieren van de gegevens in de chip te detecteren, wordt omzeild. Naar ik heb begrepen zal hier begin augustus 2008 een publicatie over verschijnen.

De betreffende «dreiging» is al eerder door ICAO onderkend en gedocumenteerd2. De apparatuur (aanvraagstation) die de uitgevende instanties van de reisdocumenten in 2009 nog gaan krijgen om onder meer de reisdocumenten voor het aanvraag- en uitgifteproces te kunnen uitlezen, laat ik nog testen en zal daarbij onder meer de elektronische handtekening over alle gegevens die in de chip zijn opgeslagen controleren. Door die controle uit te voeren is herkenbaar of de betreffende chip voorzien is van active authentication.

Voor de volledigheid wijs ik erop dat de apparaten die het ministerie van BZK sinds augustus 2006 op 28 locaties heeft geplaatst geen controles uitvoeren in het kader van het aanvraag en uitgifteproces van de reisdocumenten, maar uitsluitend bedoeld zijn om burgers de gelegenheid te geven te zien welke persoonsgegevens in de chip van hun document zijn opgeslagen.

Onderscheiden van de Nederlandse elektronische reisdocumenten

De Nederlandse reisdocumenten worden zoals bekend geproduceerd door Sdu Identification. Dit bedrijf maakt ook (delen van de) reisdocumenten voor Ierland, Finland en Slowakije. De producent heeft vastgesteld dat de reisdocumenten van deze landen niet van elkaar zijn te onderscheiden. Het ministerie van BZK heeft laten nagaan of de uitkomsten van de producent correct zijn. Daartoe zijn specimina1 van de documenten van de betreffende landen onderzocht. Het betreft in casu specimina uit 2006 en specimina die in 2008 zijn aangemaakt. Het verschil tussen de specimina zit er in dat in het derde kwartaal van 2007 in opdracht van het ministerie van BZK de producent de sterkte van de random generatie van het wisselende identificerende nummer van de chip in de reisdocumenten heeft verbeterd. De producent heeft deze maatregel ook doorgevoerd in de documenten die aan andere landen worden geleverd.

De conclusie van zowel Collis als de Radboud Universiteit Nijmegen is dat de bevindingen van de producent van de reisdocumenten correct zijn. Dat wil zeggen dat als er commando’s aan de chip worden gegeven tussen de documenten van Nederland, Ierland, Finland en Slowakije (van de generatie 2006 respectievelijk generatie 2008), geen verschillen te constateren zijn. De Radboud Universiteit geeft als aanbeveling om de random generator voor het wisselende identificerende nummer aan uitgebreidere testen te onderwerpen. Deze testen zijn echter reeds in januari 2007 in opdracht van het ministerie van BZK uitgevoerd door Brightsight2. Dit onderzoek heeft uigewezen dat het wisselende identificerende nummer van de chip een volledig random nummer is. De rapporten van Collis, de Radboud Universiteit Nijmegen, de producent van de reisdocumenten en Brightsight treft u als bijlage bij deze brief aan.3

Shielden

Ik heb ook laten nagaan of er mogelijkheden zijn om de Nederlandse reisdocumenten van «shielding» te voorzien en wat het effect daarvan kan zijn. Het onderzoek hiernaar is uitgevoerd door Cetecom4. Dit bedrijf uit Saarbrücken is gespecialiseerd in het uitvoeren van testen op chips in reisdocumenten.

Door Cetecom zijn de volgende varianten van shielden getest:

a. Paspoort

• in omslag van het document (zowel voor- en achterkant);

• in de achterkant van de omslag van het document;

• in twee visumpagina’s achter de houderpagina.

b. Nederlandse identiteitskaart

• acht verschillende, commercieel verkrijgbare, hoesjes met een creditkaart formaat.

Cetecom heeft onderzocht op welke afstand de chip in reisdocumenten te activeren en uit te lezen is. Het rapport van Cetecom treft u als bijlage bij deze brief aan. Cetecom concludeert dat de «niet geshielde» chip in reisdocumenten in het meest gunstige geval geactiveerd kan worden op een afstand van 60 centimeter. Hiervoor is geavanceerde apparatuur vereist (kosten meer dan € 5 000). Om met eenvoudigere apparatuur (kosten minder dan € 400) de chip in het reisdocument te activeren dient deze apparatuur dichter bij de chip gehouden te worden. Een chip kan dan op een afstand van 25 cm geactiveerd worden. Deze apparatuur is draagbaar hetgeen niet geldt voor de geavanceerde apparatuur.

Volgens de onderzoekers is met eenvoudige apparatuur de chip in een paspoort met shielding in zowel de voor- als achterkant te activeren vanaf een afstand van 0,275 cm. Echter het effect van de shielding wordt grotendeels teniet gedaan als het paspoort niet volledig dicht is. De shielding heeft met andere woorden alleen resultaat als het paspoort strak in een portefeuille of iets dergelijks wordt bewaard. Zodra het document«los» wordt bewaard valt het document uit zichzelf deels open. Bij de Nederlandse identiteitskaart met een «hoesje» wordt de afstand waarop de chip met eenvoudige apparatuur geactiveerd kan worden gereduceerd van 25 cm naar 2,431 cm. Cetecom gaat in zijn rapport uit van het meest gunstige scenario (laboratoriumomstandigheden) waarvan in de praktijk geen sprake is. Cetecom geeft in het rapport aan dat in de praktijk de genoemde afstanden veelal niet haalbaar zullen zijn.

Overigens wijst Cetecom erop dat shielden in zowel de voor- en achterkant van het paspoort tot problemen kan leiden bij het uitlezen van het document. De voor- en achterkant mogen zich namelijk hierbij niet op de lezer bevinden omdat dan het uitleesproces gehinderd wordt. Dit is bewerkelijker en vergt meer handelingen (en dus meer tijd).

Conclusies

De uitgevoerde onderzoeken door Collis en de Radboud Universiteit Nijmegen hebben geen nieuwe dreigingen voor de integriteit van de reisdocumenten aan het licht gebracht. Ondanks deze positieve uitkomsten blijft het ministerie van BZK alert en zal periodiek worden nagegaan of zich nieuwe dreigingen voordoen.

Het eventueel kunnen achterhalen van de producent van de reisdocumenten vind ik geen bedreiging van de integriteit van de reisdocumenten. De chip in «niet geshielde» reisdocumenten is (bij optimale omstandigheden) op slechts beperkte afstand te activeren. Gebleken is verder dat «shielding» in paspoorten een beperkt effect heeft wanneer het paspoort niet geheel gesloten is en dat een paspoort dat voorzien is van «shielding» tot complicaties kan leiden bij het uitlezen van de chip.

Tenslotte leidt het «shielden» van reisdocumenten tot een aanzienlijke verhoging van de prijs van reisdocumenten. Zo worden de kosten van het voorzien van «shielding» in de voor- en achterkant van de omslag van het paspoort geraamd op € 0,50 per document. Daar komen nog de kosten bij van het aanpassen van de machines voor het personaliseren van de reisdocumenten. De prijs van de geteste hoesjes voor de Nederlandse identiteitskaart bedragen gemiddeld € 5,–. Dit zijn stuksprijzen. Het is waarschijnlijk dat de prijs aanzienlijk lager zal zijn als er grote hoeveelheden worden afgenomen. Gelet op deze uitkomsten zal ik niet overgaan tot het aanbrengen van «shielding» in het paspoort en de Nederlandse identiteitskaart.