Biometrie in nationaal identiteitsmanagement Auteur: Elisabeth de Leeuw - Lecoeur MSIT > Elisabeth is Adviseur informatiebeveiliging bij het ministerie van Binnenlandse Zaken, e-mail:
[email protected].
Eén van de terreinen waarop biometrie op korte termijn grootschalig zal worden ingezet is het ‘nationaal identiteitsmanagement’. Zowel de Europese Unie1 als de Verenigde Staten2 bereiden zich voor om op korte termijn over te gaan op de toepassing van biometrie op reisdocumenten. Bij de invoering van biometrie op reisdocumenten zijn richtlijnen van toepassing van de ICAO (International Civil Aviation Organisation). ICAO geeft aan dat als eerste, verplicht biometrisch kenmerk het gelaat dient te worden toegepast. De toepassing van iris of vingerafdruk is facultatief. Het biometrisch kenmerk dient in de vorm van een image (een plaatje) te worden opgeslagen op een contactloze chip op het reisdocument. In dit artikel zal ik het verschijnsel ‘biometrie op reisdocumenten’ plaatsen in de bredere context van ‘nationaal identiteitsmanagement’. Vervolgens zal ik enkele issues bespreken die aan de voorliggende plannen verbonden zijn. Daarbij zal ik aangeven in hoeverre met de huidige voornemens het gestelde doel kan worden gerealiseerd en ook zal ik enkele suggesties tot verbetering geven. Tenslotte zal ik een aantal relevante vragen de revue laten passeren die tot nu toe onbeantwoord bleven.
Biometrie in de context van nationaal identiteitsmanagement Documentfraude en andere vormen van identiteitsfraude Nationaal identiteitsmanagement heeft tot doel de gegevens en rechten van ingezetenen en niet-ingezetenen binnen de grenzen van een nationale staat te registreren en te controleren. De uitgifte en controle van reisdocu-
Elisabeth is dit jaar winnaar geworden van de Joop Bautz Security Award in de categorie potentials. Biometrie is een veelbelovende technologie die zich momenteel snel ontwikkelt en in het middelpunt van de belangstelling staat. Op veel plaatsen wordt biometrie al ingezet als (hulp)middel bij identificatie, authenticatie en autorisatie. De verwachting is dat de toepassing van biometrie binnen enkele jaren exponentieel zal toenemen.
menten is van meet af aan een centrale component van het nationaal identiteitsmanagement. Fraudeurs slagen er echter sinds jaar en dag in reisdocumenten te vervalsen. Er zijn in de loop der tijd vele maatregelen genomen om de reisdocumenten tegen deze documentfraude te beveiligen. Als gevolg van de verbeterde beveiliging van de reisdocumenten treedt er een verschuiving op van vormen van documentfraude naar andere vormen van identiteitsfraude. De toename van look alike fraude, waarbij een individu zich bedient van het document van een andere persoon waarmee hij of zij gelijkenis vertoont, maakt deel uit van deze tendens. De toepassing van biometrie heeft de bedoeling deze vorm van fraude tegen te gaan. Met behulp van biometrie kan immers in principe worden vastgesteld of de aanbieder van het document ook de rechtmatige houder ervan is. Fraude is een fenomeen dat zich voortdurend aanpast aan wijzigende omstandigheden. Bij de toepassing van biometrie dient bewust rekening te worden gehouden met de verschillende mogelijkheden tot frauderen. Daarnaast zullen, indien met de toepassing van biometrie op reisdocumenten het beoogde effect wordt behaald, andere vormen van identiteitsfraude toenemen.
Kwaliteit van nationaal identiteitsmanagement De vraag of de toepassing van biometrie een bijdrage levert aan de bestrijding van frauduleus gebruik, kan niet los worden gezien van de bredere context waarbinnen de reisdocumenten functioneren. Namelijk, door de toepassing van biometrie wordt uitsluitend vastgesteld of de aanbieder van een reisdocument de rechtmatige houder is. De vraag of het reisdocument de werkelijke identiteit3 van de houder bevat wordt niet beantwoord. De integriteit van de gegevens op het reisdocument, en daarmee de integriteit van de gegevens in de nationale bevolkingsregisters waaruit de documentgegevens afkomstig zijn, is daarom van beslissende betekenis voor de betrouwbaarheid van het controleproces als geheel. Er zijn gegronde redenen om te twijfelen aan de kwaliteit van de gegevens van de nationale bevolkingsregisters. Onderzoek bijvoorbeeld van Arre Zuurmond4 in Nederland toont aan dat de integriteit van de gegevens in de bevolkingsregisters varieert. Geschat wordt dat vijf tot negentig procent van de gegevens incorrect is, reden waarom de Nederlandse politie een eigen bevolkingsregister in stand houdt5. De kwaliteit van de nationale bevolkingsregisters zal als gevolg van de invoe-
[1] In december 2004 heeft de Europese Unie (Verordening (EG) Nr. 2252/2004 van de Raad van 13 december 2004) in de verordening betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten bepaald dat de reisdocumenten van de lidstaten van de Europese Unie de gelaatscan en twee vingerafdrukken moeten gaan bevatten. De deadline voor de invoering hiervan is gesteld op 28 augustus 2006. De Europese Unie sluit zich aan bij de eisen van de ICAO, zij het dat uitsluitend de vingerafdruk als facultatief biometrisch kenmerk wordt gehanteerd. [2] De Verenigde Staten hebben aangekondigd dat alle reizigers uit de 27 landen die deelnemen aan het zogenaamde Visa Waiver programma, waaronder alle landen van de EU behalve Griekenland, op termijn een machinaal leesbaar paspoort met biometrische gegevens nodig hebben om van visumplicht vrijgesteld te blijven. De deadline voor de invoering hiervan is aan herhaalde bijstellingen onderhevig en is nu gesteld op 26 oktober 2006. De Verenigde Staten sluiten aan bij de eisen zoals gesteld door ICAO. [3] In dit geval: de identiteit zoals vastgesteld door de nationale overheid [4] Bron: ‘GBA: werkelijke en administratieve werkelijkheid lopen uiteen’, korte samenvatting van de toespraak van bijzonder hoogleraar ICT A. Zuurmond te Leiden, gehouden op het congres Burgerzaken, georganiseerd door de VNG en de Nederlandse Vereniging voor Burgerzaken (NVVB) op 22 en 23 april 2004 in Noordwijkerhout), in: Burgerzaken en Recht, 11 (2004) [5] Bron: Hollandse Helden Overheidsinnovatie volgens uitvoerders, Initiatiefgroep Belgendoenhetbeter.nl, Noor Huijboom, Jorrit de Jong, Marco Meesters, Joeri van den Steenhoven, Arre Zuurmond
6
INFORMATIEBEVEILIGING NOVEMBER 2005
ring van biometrie naar verwachting verder onder druk komen te staan. Het aantal fraudeurs dat zich onder een valse identiteit zal willen registreren bij de nationale bevolkingsregisters zal toenemen, om zo de scherpere documentcontroles met behulp van biometrie te omzeilen. Fraudeurs kunnen zich daarbij onder meer bedienen van valse brondocumenten, bijvoorbeeld een vals buitenlandse reisdocument of een vals geboortebewijs. Daarnaast kunnen onjuiste persoonsgegevens worden opgegeven, bijvoorbeeld een vals adres of geboortedatum. Teneinde fraude met nationale identiteitsdocumenten effectief te bestrijden, dient de invoering van biometrie gekoppeld te worden aan een verhoogde aandacht voor de integriteit van de gegevens van het nationaal identiteitsmanagement.
Geschiktheid van biometrische technologie voor de beoogde toepassing Biometrie in de grootschalige praktijk De verwachtingen ten aanzien van de prestaties van biometrische technologie zijn hoog gespannen. Bij de keuze van biometrische technologie heeft ICAO zich onder meer laten leiden door performance indicators. Leveranciers van gelaat-, iris- en vingerafdruktechnologieën zijn optimistisch over de foutpercentages en geven indicaties variërend van 0,01 procent tot maximaal twee procent voor onterechte weigeringen dan wel onterechte herkenningen. Cijfers gebaseerd op laboratoriumtesten zien er wat positiever uit dan de cijfers in de praktijk werkelijk zijn. De resultaten vanuit de ‘echte’ praktijk zien er minder optimistisch uit en variëren van 0,1 procent tot maximaal tien procent voor onterechte weigeringen dan wel onterechte herkenningen6.
De resultaten van een grootschalige praktijkproef van biometrie op reisdocumenten in het Verenigd Koninkrijk laten een heel ander beeld zien. Het foutpercentage voor gelaatsherkenningtechnologie bedroeg tijdens deze proef 31 procent, voor iristechnologie en vingerafdruktechnologie bedroegen de foutpercentages respectievelijk 4 en 19 procent7. De tegenvallende resultaten van deze praktijkproef zijn verontrustend, maar komen niet als een complete verrassing. Zo stelde Van Renesse al in april 2002 dat de foutpercentages ‘in de harde praktijk van heterogenen groepen’ variëren tussen de één en vijf procent8. De cijfers laten zich verklaren door de hoge mate van onzekerheid over de mate waarin externe factoren van invloed zijn op de prestaties van biometrische technologie. Tot deze factoren behoren leeftijd, ras, sexe en psychologie van de te controleren personen. Daarnaast spelen fysieke en maatschappelijke omgevingsfactoren een rol9. Deze factoren doen zich in het bijzonder gelden bij een wereldwijde toepassing van biometrie, zoals in het geval van de reisdocumenten. Indien deze factoren in de praktijk niet beheerst kunnen worden, zijn de verwachtingen ten aanzien van de verbetering van de kwaliteit van het controleproces onterecht. Dit onterechte vertrouwen vormt een risico op zichzelf. Feedback vanuit het systeem ten aanzien van omgeving en gebruiker kan een bijdrage leveren aan de beheersing van deze factoren Nader onderzoek naar de mogelijkheden tot beheersing van externe factoren die de performance in de grootschalige praktijk beïnvloeden, is noodzakelijk om te komen tot een effectieve toepassing van biometrie op reisdocumenten. Een van de mogelijke oplossingen is een interactief afnameen verificatieproces10.
Biometrie in de praktijk van fraudebestrijding Bij de ontwikkeling en implementatie van een door biometrie ondersteund controleproces op de reisdocumenten dient de bestrijding van fraude centraal te staan. Immers, de winst van een verbeterd controleproces is dat tijdens het proces meer personen, die zich wensen te onttrekken aan wet- en regelgeving getraceerd worden. Het feit dat iemand fraude wil plegen, is van grote invloed op de effectiviteit van het biometrische proces. Echter, zowel de laboratoriumproeven als de praktijkproeven met biometrie tot nu toe, zijn uitgevoerd op testpopulaties waarin geen fraudeurs voorkomen dan wel geen individuen die een dergelijke rol fingeren. Fraudeurs kunnen op verschillende manieren proberen direct in te breken op het biometrisch controleproces, bijvoorbeeld: • Geprobeerd kan worden toch met het document van een andere, gelijkende persoon te passeren, indien er sprake is van een familierelatie met die ander is de kans op succes groter: in een samenvatting van een onderzoek uitgevoerd naar de performance van gelaatsherkenningtechnologie stelt TNO “the test revealed that face recognition systems perform substantially worse for look alikes compared to people wit no family relation”11; • Er kan sabotage gepleegd worden door de eigen biometrische kenmerken of de chip op het document te verminken, waardoor men gebruik kan maken van een fall back procedure: waarbij verificatie door de grensbeambte, net als vroeger, zonder de toepassing van biometrie wordt uitgevoerd; • Door allerlei vormen van afwijkend gedrag, zoals het produceren van grimassen, het scheef aanbieden van het biometrische kenmerk, het vervormen van het gelaat met behulp
[6] Bron: Elisabeth de Leeuw - Lecoeur, Risks and threats attached to the application of biometric technology in national identity management, thesis submitted in fulfillment of the requirements for the degree of Master of Security in Information Technology at TIAS Business School Eindhoven and Tilburg, Amsterdam, October 2004 [7] Bron: Report of Biometrics Enrolment Trial, UK Passport Service, May 2005 [8] Bron: Implications of biometrics on travel-documents - 5th International Conference on Fraudulent Documents, Amsterdam, April 10 - 12, 2002, Rudolf L. van Renesse [9] Bron: Elisabeth de Leeuw - Lecoeur, Risks and threats attached to the application of biometric technology in national identity management, thesis submitted in fulfillment of the requirements for the degree of Master of Security in Information Technology at TIAS Business School Eindhoven and Tilburg, Amsterdam, October 2004 [10] In een interactief proces reageert de afname- en verificatieapparatuur reageren op de wijze waarop het biometrisch kenmerk wordt aangeboden De apparatuur registreert met een aantal sensoren de wijze en omstandigheden waaronder het biometrisch kenmerk wordt aangeboden. Op basis daarvan kan de apparatuur feedback geven aan het individu en parameters aanpassen aan specifieke omgevingsfactoren. [11] http://www.tpd.tno.nl/smartsite110.html
INFORMATIEBEVEILIGING NOVEMBER 2005
7
van make-up of het mismaken van vingerafdrukken door messneden of brandwonden, kan het controleproces gefrustreerd worden waardoor het foutpercentage toeneemt; en • Door middel van spoofing is het mogelijk een ander, bij het reisdocument passend biometrisch kenmerk te fingeren, bijvoorbeeld met behulp van een lens met een irisopdruk of een gelatine vlies voorzien van een vingerafdruk12. De werkelijke vraag naar de effectiviteit van biometrische technologie is daarom niet, wat de performance is gegeven een in de nationale context representatieve testpopulatie, maar eerder wat de performance is gegeven een testpopulatie samengesteld uit (gefingeerde) fraudeurs. Of deze vraag in een proefopstelling te beantwoorden is, laat zich in de context van dit artikel niet beantwoorden, maar het gedachte experiment is op zichzelf de moeite waard. De performance van de biometrische technologie zal in de context van een dergelijke testpopulatie zeker afnemen. We weten echter niet in welke mate dat het geval is en we beschikken evenmin over een estimated guess. Door de toepassing van het biometrische controleproces verschuift de aandacht van het intermenselijke niveau verder in de richting van techniek en systeem. De behoefte van luchthavens en luchtvaartmaatschappijen om kosten te beheersen en het comfort van de reizigers te bevorderen, en dus de doorlooptijd van het controleproces te bekorten zal deze tendens versterken13. Het geloof in de prestaties van techniek en systeem vormt hierbij een risico op zich. De kans op onterechte acceptatie én op onterechte weigering neemt hierdoor toe. Nader onderzoek naar de effectiviteit van biometrie in de praktijk van fraudebestrijding is nodig om te komen tot een onderbouwde kostenbatenanalyse.
Het perspectief van goedwillende burgers Verdachtmakingen tijdens het controleproces Voor een aantal personen, in de literatuur wordt hieraan gerefereerd met de term goats, geldt dat het opgeslagen biometrisch kenmerk per definitie moeilijk te matchen is met het levende biometrisch kenmerk waarover men beschikt14. Bij deze personen is de variatie van de biometrische kenmerken groter dan gemiddeld, hetgeen leidt tot frequente onterechte afwijzingen door het biometrische systeem. Bij individuen met een normale variatie van de biometrische kenmerken kunnen vermoeidheid, emoties en variaties in de fysieke omgeving eveneens leiden tot onterechte afwijzingen. De mogelijke gevolgen van een onterechte afwijzing worden geschetst door het volgende incident, dat zich afspeelde op 19 augustus 2004, in het pre-biometrische tijdperk dus15. Senator Edward Kennedy wordt op die dag, op weg van Washington naar Boston, op de luchthaven aangehouden omdat zijn naam op de watchlist voorkomt. Pas na tussenkomst van de secretaris van Homeland Security, Tom Ridge, kan hij zijn reis voortzetten. Het ligt voor de hand te verwachten dat de gevolgen van een dergelijke situatie voor een gewone burger veel ernstiger zouden zijn geweest. Hoewel het hier om een ander proces gaat, is de vergelijking interessant. Het geloof in de techniek en het systeem overstemt de waarnemingen op het intermenselijke niveau. Om valse beschuldigingen en daarmee verbonden vertragingen en mogelijke inhechtenisneming te voorkomen, is het noodzakelijk om een extra, niet biometrisch toetsingscriterium tijdens het biometrisch controleproces achter de hand te houden. Een dergelijk criterium kan worden opgeslagen in centrale databases en worden getoetst in een ‘verzwaarde’ fall back procedure.
Toolkit voor tracking en identity theft Allereerst wat meer achtergrondinformatie. Volgens de huidige voorstellen dient het biometrisch kenmerk op de chip te worden opgeslagen in de vorm van een image (jpeg-formaat). Optioneel is de implementatie van het Basic Access Control mechanisme, dat ervoor kan zorgen dat uitsluitend geautoriseerde kaartlezers toegang hebben tot de informatie op de chip. Bij afwezigheid van het Basic Access Control mechanisme kunnen gegevens ook worden uitgelezen nadat een document gestolen is. De toepassing van contactloze chips brengt los daarvan het risico met zich mee dat de gegevens van de chip door personen die daartoe niet geautoriseerd zijn, tijdens het controleproces worden uitgelezen16. Ook bestaat de mogelijkheid om de reisbewegingen van (de eigenaar van) het reisdocument te traceren17. Voor een fraudeur kan een uitgelezen biometrische kenmerk dienen om spoofs te vervaardigen18: een lens met de identieke irisopdruk afgeleid uit de image van de iris op de chip of een gelatine vlies voorzien van een identieke vingerafdruk afgeleid uit de image van de vingerafdruk op de chip. Een dief heeft dus mét het gestolen document gelijk de materialen in handen om het controleproces te ontduiken. Naar keuze kan de dief daar zelf gebruik van maken of het ‘product’ aan derden doorverkopen. Het biometrische reisdocument biedt daarmee een uitgangsbasis voor ‘perfecte’ biometrische documentfraude en in het verlengde daarvan, voor identity theft. Indien namelijk de documentfraude eenmaal is geslaagd zal vanwege de vermeende hogere kwaliteit van het controleproces het vertrouwen in de geclaimde valse identiteit groter zijn. Implementatie van het Basic Access Controll mechanisme en het aanbrengen van een kooi van Faraday, om het afluisteren van signalen van de contactloze chip te voorkomen, dienen te
[12] Biometrical Fingerprint Recognition: Don’t get your fingers burnt, Ton van der Putten en Jeroen Keuning, 21 september 2000 [13] Security and Privacy Issues in E-passports, Ari Juels, David Molnar en David Wagner [14] Bron: Elisabeth de Leeuw - Lecoeur, Risks and threats attached to the application of biometric technology in national identity management, thesis submitted in fulfillment of the requirements for the degree of Master of Security in Information Technology at TIAS Business School Eindhoven and Tilburg, Amsterdam, October 2004 [15] Arie Zeelenberg, Dienst Nationale Recherche Informatie, Unit Dactyloscopie & Identificatie, vestigde de aandacht op dit incident in een presentatie voor het Nederlands Biometrie Forum op 15 september 2005 te Delft [16] Verkenning Paspoort Beveiliging, presentatie door Riscure BV, Rotterdam tijdens What The Hack event, 27 juli 2005 [17] Security and Privacy Issues in E-passports, Ari Juels, David Molnar en David Wagner [18] Biometrical Fingerprint Recognition: Don’t get your fingers burnt, Ton van der Putten en Jeroen Keuning, 21 september 2000
8
INFORMATIEBEVEILIGING NOVEMBER 2005
Biometrische kenmerken zijn geen sleutels De doelstelling die nationale overheden nastreven met de toepassing van biometrie is onomstotelijk vast te stellen of de drager van een nationaal identiteits-
NId v.v. biometrie (bNId)
±
-
-
-
±
-
+
-
±
+
-
±
±
-
-
-
-
-
+
-
±
Nationaal Identiteits Document (NId)
Criterium Toepasselijkheid van het criterium 1 Geheim 7 Domeingebonden
Een goede sleutel19 is: • Geheim: de vorm van de sleutel mag niet bekend zijn; • Willekeurig(random): de vorm van de sleutel mag niet te voorspellen zijn; • Constant: de sleutel mag niet elk moment van vorm veranderen; • vervangbaar: is te vernietigen dan wel te vervangen; • Houderinformatie: bevat geen informatie over de houder van de sleutel; • Domeininformatie: bevat geen informatie over de domeinen waartoe de sleutel toegang verschaft; en is • Domeingebonden: een sleutel geeft noodzakelijkerwijs toegang tot slechts één domein of set van domeinen, met andere woorden: niet elke sleutel is een loper.
6 5 Domeininformatie21 Houderinformatie20
Kenmerken van een goede sleutel
Biometrie
Reisdocumenten zijn nationale identiteitsdocumenten en geven toegang tot zowel fysieke domeinen i.e. landen - als tot logische domeinen i.e. publieke en private diensten. Het gebruik van reisdocumenten is daarom vergelijkbaar met het gebruik van sleutels, die eveneens toegang bieden tot fysieke (bijvoorbeeld gebouwen) en logische (bijvoorbeeld elektronische applicaties) domeinen. Nationale identiteitsdocumenten voldoen echter maar zeer ten dele aan de eisen die aan een goede sleutel gesteld kunnen worden.
2 Random
Nationale identiteitsdocumenten als pseudo-sleutels
3 Constant
De logica van biometrie in nationaal identiteitsmanagement
4 Vervangbaar
worden ingezet om tracking en identity theft op basis van biometrische reisdocumenten te helpen voorkomen. Zowel burger als overheid hebben belang bij een bescherming tegen tracking en identity theft op basis van biometrische reisdocumenten. Aanvullende maatregelen op het gebied van data protectie zijn daarom van essentieel belang.
Nationale identiteitsdocumenten zijn moeilijk te vervalsen. Daartoe worden verschillende technologieën toegepast, waaronder watermerken en hologrammen. Een deel van deze echtheidskenmerken is geheim. De kwaliteit van de echtheidskenmerken variëren echter van document tot document. Biometrische kenmerken zijn moeilijk geheim te houden. Daarmee voldoen (biometrische) nationale identiteitsdocumenten maar ten dele aan dit criterium. Vorm en inhoud van nationale identiteitsdocumenten wordt niet at random bepaald. De echtheidskenmerken zijn weliswaar geheim, maar standaard. De inhoud is gebaseerd op een aantal kenmerken van de houder van het document, zowel visueel als tekstueel. Biometrische kenmerken zijn veelal niet random (enkele uitzonderingen waaronder de iris daargelaten). Daarmee voldoen (biometrische) nationale identiteitsdocumenten niet aan dit criterium. Nationale identiteitsdocumenten zijn binnen de geldigheidsduur niet aan wijzigingen onderhevig. Het levende biometrisch kenmerk van de burger is echter wel aan wijzigingen onderhevig, onder invloed van tijd, stemming, vermoeidheid en andere factoren. Daarmee voldoen biometrische nationale identiteitsdocumenten slechts ten dele aan dit criterium. Nationale identiteitsdocumenten zijn te vernietigen en te vervangen. Logische vernietiging van het document door de nationale overheid geschiedt door opname in een zwarte lijst, die tijdens het controleproces geraadpleegd kan worden. Burgers kunnen indien gewenst het document in zijn geheel of delen daarvan, bijvoorbeeld het biometrisch kenmerk, fysiek vernietigen. Vervanging geschiedt na inleveren van het oude document door de burger gevolgd door fysieke vernietiging door de nationale overheid. Het levende biometrische kenmerk van de burger is echter niet te vernietigen of te vervangen, zonder ernstig lichamelijk letsel. Daarmee voldoen biometrische nationale identiteitsdocumenten niet aan dit criterium. Nationale identiteitsdocumenten bevatten cruciale informatie over de houder, waaronder naam, geboortedatum en -plaats, sofi-nummer en gelaat (foto). Biometrie is houderinformatie by definition. Biometrische nationale identiteitsdocumenten bevatten zowel de conventionele houderinformatie als ook een of meerdere biometrische kenmerken. Daarmee voldoen (biometrische) nationale identiteitsdocumenten niet aan dit criterium. Nationale identiteitsdocumenten bevatten geen informatie met betrekking tot het geldigheidsdomein. Echter informatie over het geldigheidsdomein van nationale identiteitsdocumenten is publiekelijk toegankelijk. Biometrie bevat geen informatie over het geldigheidsdomein, maar informatie over de domeinen waartoe biometrie toegang verschaft zal naar het zich laat aanzien publiekelijk toegankelijk zijn. Daarmee voldoen (biometrische) nationale identiteitsdocumenten niet aan het criterium dat domeininformatie niet aan het document verbonden mag zijn. Nationale identiteitsdocumenten geven toegang tot vooraf vastgestelde en derhalve in principe een beperkt aantal fysieke domeinen i.e. landen en logische domeinen, i.e. vormen van publieke en private dienstverlening. Het levende biometrische kenmerk van de burger kan bovendien worden gebruikt om toegang te krijgen tot een in principe talloos aantal andere domeinen, afhankelijk van het aantal biometrische identiteitdocumenten dat wordt gehanteerd naast het nationale identiteitsdocument. Daarmee voldoen biometrische nationale identiteitsdocumenten slechts zeer ten dele aan dit criterium.
[19] Biometrics: Uses and Abuses, Bruce Schneier, in: Inside Risks 110 (CACM 42, 8, August 1999) [20] Invers criterium: informatie omtrent de identiteit van de houder opgenomen op het document vormt een aangrijpingspunt voor identity theft. [21] Invers criterium: informatie omtrent het domein waarvoor het document geldig is vormt een aangrijpingspunt voor verschillende vormen van identiteitsfraude, waaronder documentfraude en look alike fraude.
INFORMATIEBEVEILIGING NOVEMBER 2005
9
document ook de legitieme houder is. Met andere woorden, de authenticiteit van de identiteitsclaim kan door middel van biometrie worden vastgesteld. Op het moment dat de authenticiteit van de identiteitsclaim is vastgesteld, kan de drager van het identiteitsdocument daarover beschikken als ware hij of zij de legitieme houder. Biometrie geeft dus toegang tot het gebruik van het identiteitsdocument en de daarmee verbonden identiteitsclaim, die op hun beurt weer toegang geven tot een aantal fysieke en logische domeinen. Met andere woorden, in de context van de voorgenomen toepassing kan het biometrisch kenmerk op identiteitsdocumenten worden beschouwd als een sleutel die toegang verschaft tot de aan een identiteitsdocument verbonden identiteitsclaim. Het ligt in de bedoeling biometrie bij grenspassage uitsluitend onder toezicht toe te passen; indien gewenst zal naar het identiteitsdocument zelf gekeken worden en zullen er ook aanvullende controles plaatsvinden. Biometrie is in deze situatie dus niet de enige sleutel tot de identiteitsclaim. Het is echter niet uitgesloten dat biometrische controles aan de hand van nationale identiteitsdocumenten in andere situaties zonder toezicht zullen plaatsvinden. In die situaties vormt het biometrisch kenmerk een enige sleutel, die direct toegang verschaft tot de geldigheidsdomeinen van het identiteitsdocument.
Nationale identiteitsdocumenten versus sleutels Navolgend analyseer ik in hoeverre respectievelijk nationale identiteitsdocumenten (NId), biometrie en biometrische nationale identiteitsdocumenten (bNId) voldoen aan de criteria die aan sleutels kunnen worden gesteld: (zie figuur vorige pagina.)
Biometrische nationale identiteitsdocumenten voldoen in vergelijking met klassieke nationale identiteitsdocumenten in duidelijk mindere mate aan de zeven voor sleutels geldende criteria. De toepassing van biometrische technologie sec voldoet in nog mindere mate aan deze criteria. Nationale identiteitsdocumenten worden in de praktijk gehanteerd als pseudo-sleutels: ze bieden net als sleutels toegang tot fysieke of logi-
sche domeinen, maar voldoen niet aan de eisen die aan sleutels kunnen worden gesteld. Biometrische nationale identiteitsdocumenten voldoen in mindere mate aan de eisen die aan sleutels kunnen worden gesteld dan klassieke nationale identiteitsdocumenten. Dat geldt des te sterker, indien in de dagelijkse praktijk onder druk van de omstandigheden, controle uitsluitend op basis van biometrische kenmerken geschiedt. Vanuit dit oogpunt bezien wordt met de toepassing van biometrie op nationale identiteitsdocumenten geen verbetering van het controleproces gerealiseerd.
Maatschappelijke aspecten van biometrie Kenmerkend voor biometrische technologie is dat daarmee een verbinding wordt gemaakt tussen mens en machine. Anders gezegd, de levende mens of althans diens levende biometrische kenmerken - maakt een integraal deel uit van het biometrische systeem. In die zin is biometrische technologie te beschouwen als een variant, of zo je wil, inverse van cybernetica: • in het geval van cybernetica worden technische componenten in een levend lichaam geïmplanteerd, teneinde (...) de functies van het lichaam te verbeteren22; • in het geval van biometrie worden levende biometrische kenmerken ofwel componenten van een levend lichaam aan een technisch systeem toegevoegd, teneinde de functies van dit systeem te verbeteren. Het woord levend heeft in deze context meerdere betekenissen. Op de eerste plaats gaat het om het begrip levend [biometrisch kenmerk] in tegenstelling tot het begrip opgeslagen [biometrisch kenmerk]. In bredere zin verwijst het naar de levende mens of actor [de aanbieder van het biometrisch kenmerk tijdens het controleproces]. Tenslotte verwijst het woord levend ook naar het feit dat actor en systeem onlosmakelijk deel uitmaken van de maatschappelijke omgeving. Succes of falen van de toepassing van biometrie zijn derhalve niet uitsluitend afhankelijk van de kwaliteit van de biometrische technologie of de direct daarmee verbonden procedures, maar evenzeer van de maatschappelijke
[22] Definitie ontleend aan http://www.globalguardians.com/encyclopedia/encyclopediacd.php
10
INFORMATIEBEVEILIGING NOVEMBER 2005
omgeving waarbinnen biometrie wordt toegepast. Succes of falen kan worden beoordeeld - in de nauwe zin van het woord - in termen van het halen van de beoogde doelstelling ofwel, in de context van nationaal identiteitsmanagement, in termen van succes inzake de bestrijding van look alike fraude. De toepassing van biometrie heeft echter mogelijk ook onbedoelde effecten op het maatschappelijke vlak en vice versa. Dit roept veel vragen op die tot nu toe onbeantwoord zijn gebleven: • Wat is het effect van dit welhaast intieme controlesysteem op de sociale psychologie van de massa die aan deze controle onderworpen wordt?; • Hoe groot is of wordt de weerstand tegen het proces in de praktijk van alledag?; • Wat zijn de consequenties van een mogelijk toegenomen weerstand voor de performance van biometrische systemen?; • In hoeverre wordt een proces van vervreemding in gang gezet van gecontroleerden ten opzichte van controleurs c.q. een vervreemding van burgers ten opzichte van bestuur?; • Wat is het effect van dit welhaast perfect lijkende controlesysteem op de attitude van controleurs en bestuurders?; • Draagt een grootschalige toepassing van biometrie bij aan een verdere technocratisering van de samenleving?; • Zijn bestuurders in staat het roer in handen te houden of worden zij op hun beurt straks zelf bestuurd door een schijnbaar autonome dynamiek in de ontwikkeling van de biometrische technologie?; en • Wat zijn de consequenties op het interpersoonlijke en culturele vlak? Het antwoord op deze vragen is van centrale betekenis om te komen tot een afgewogen beleid ten aanzien van de toepassing van biometrie. Een grotere betrokkenheid van sociaal filosofen, psychologen, sociologen en politicologen bij het van huis uit technologische domein van de biometrie bij deze vraagstukken is daarom dringend gewenst.
Over deze rubriek> InZicht geeft een overzicht van recent verschenen en te verschijnen boeken en whitepapers in binnen- en buitenland, geselecteerd door de redactie. Onze bronnen voor de toelichting bestaan uit persberichten en internet, niet gegarandeerd onafhankelijke informatie. Actualiteit staat bij de inhoud van deze rubriek voorop.
INZICHT Perfect Passwords Selection, Protection and Authentication Auteur: Mark Burnett ISBN: -59749041-5 Uitgever: Syngress Editie: 1e editiie, 22 november 2005 Vorm: Paperback, 200 pag. Gebruikerswachtwoorden zijn de sleutels tot het netwerkrijkdom. Toch kiezen gebruikers in de meeste gevallen voor de meest voor de hand liggende en eenvoudig te raden wachtwoorden. Dit terwijl systeembeheerders meestal met de meest onmogelijke combinaties van letters en cijfers komen. Auteur Mark Burnett heeft meer dan 2.000.000 wachtwoorden verzameld en geanalyseerd. In dit hoogst vermakelijke en informatieve boek, gevuld met tientallen illustraties publiceert hij zijn bevindingen en zet hij de meest rigide eisen van de security professionals af tegen het gewenste gebruikersgemak van de eindgebruiker. Ieder van ons herinnert zich ongetwijfeld zijn eerste stappen op het internet. Snel kwamen we er achter dat een wachtwoord nodig is om toegang te krijgen. Dus ontwikkelden we een wachtwoordstrategie. Statistieken laten echter duidelijk zien dat de meeste wachtwoordstrategieën niet doordacht zijn en krakers in een mum van tijd je wachtwoord kraken. Sommige bedrijven wijzen je volledige willekeurige letter- en getallenreeksen toe. Wie kan deze nietszeggende karakters onthouden, zonder ze op te schrijven? Weer andere bedrijven dringen een maandelijkse, ja misschien zelfs wel wekelijkse, verandering van je
wachtwoord op. Het is heel logisch dat zich in een dergelijke situatie heel voorspelbare patronen gaan voordoen. Gebruikers kunt u hier niet de schuld van geven, zij hebben nooit geleerd met strikte wachtwoordpolicies om te gaan. Welnu, dit boek leert je om te gaan met de wereld van wachtwoordpolicies, de wachtwoordkrakers en de menselijke voorspelbaarheid. Het leert je specifieke wachtwoordpatronen die de meest rigide securityeisen kunnen doorstaan, terwijl gebruikers geen enkele moeite zullen hebben ze te herinneren. Als u te maken heeft met het wachtwoordbeleid, dan is dit een boek voor u.
Practical Biometrics From Aspiration to Implementation Auteur:Julian Ashbourn ISBN: 1-85233-774-5 Uitgever: Springer Editie: 1e editie, lente 2004 Vorm: Hardcover, 159 pag. Vanuit een operationeel perspectief geschreven biedt dit boek een schat aan praktisch advies. De auteur onderzoekt de vele issues die onlosmakelijk zijn verbonden aan de vooral grootschalige toepassing van biometrische technologie in de praktijk.
Threat Modeling Auteurs: Frank Swiderski, Window Snyder ISBN: 0-73561991-3 Uitgever: Microsoft Press Editie:1e editie, 16 juni 2004 Vorm: Paperback, 288 pag. De Microsoft applicatie security specialisten Frank Swiderski en Window Snyder beschrijven in dit boek het concept en de doelstellingen van threat modeling, een gestructureerde aanpak voor de identificatie, evaluatie en vermindering van systeemrisico’s. Dit boek leert onder andere hoe threat modeling te gebruiken om uw systemen te bezien vanuit een een aanvallersperspectief. Review scenario’s worden zodanig geïllustreerd dat het threat modeling concept zichtbaar in actie komt. Hierdoor wordt de ‘aanvaller’ direct tegenover de ontwikkelaar of architect geplaatst.
Cryptographic Security Architecture Design and verification Auteur: Peter Gutman ISBN: 0-38795387-6 Uitgever: Springer Editie: 1e editie, 4 april 2003 Vorm: Hardcover, 360 pag. Een cryptografisch beveiligde infrastructuur betreft de combinatie van hardware en software die het gebruik van encryptie sleutels en gerelateerde cryptovariabelen beschermen en controleren. Dit boek biedt een uitgebreid ontwerp voor een toekomstvaste, flexibele en sterk beveiligde cryptografische infrastructuur met nadruk op toepassing van solide security modellen en toepassingen. Tevens wordt een nieuwe verificatie techniek aangereikt waarmee het mogelijk is om verificatie uit te voeren vanuit de high-level specificaties tot aan de code.
INFORMATIEBEVEILIGING NOVEMBER 2005
11