You are on page 1of 6

Biometrie in nationaal identiteitsmanagement

Auteur: Elisabeth de Leeuw - Lecoeur MSIT > Elisabeth is Adviseur informatiebeveiliging bij het ministerie van Binnenlandse
Zaken, e-mail: elisabeth_de_leeuw@euronet.nl.

Eén van de terreinen waarop biometrie Elisabeth is dit jaar winnaar geworden van de Joop Bautz Security
op korte termijn grootschalig zal wor- Award in de categorie potentials.
den ingezet is het ‘nationaal identi-
teitsmanagement’. Zowel de Europese Biometrie is een veelbelovende technologie die zich momenteel snel
Unie1 als de Verenigde Staten2 berei- ontwikkelt en in het middelpunt van de belangstelling staat. Op veel
den zich voor om op korte termijn over plaatsen wordt biometrie al ingezet als (hulp)middel bij identificatie,
te gaan op de toepassing van biome- authenticatie en autorisatie. De verwachting is dat de toepassing van
trie op reisdocumenten. Bij de invoe- biometrie binnen enkele jaren exponentieel zal toenemen.
ring van biometrie op reisdocumenten
zijn richtlijnen van toepassing van de
ICAO (International Civil Aviation menten is van meet af aan een centra- Kwaliteit van nationaal identiteits-
Organisation). ICAO geeft aan dat als le component van het nationaal identi- management
eerste, verplicht biometrisch kenmerk teitsmanagement. Fraudeurs slagen er De vraag of de toepassing van biome-
het gelaat dient te worden toegepast. echter sinds jaar en dag in reisdocu- trie een bijdrage levert aan de bestrij-
De toepassing van iris of vingerafdruk menten te vervalsen. Er zijn in de loop ding van frauduleus gebruik, kan niet
is facultatief. Het biometrisch kenmerk der tijd vele maatregelen genomen om los worden gezien van de bredere con-
dient in de vorm van een image (een de reisdocumenten tegen deze docu- text waarbinnen de reisdocumenten
plaatje) te worden opgeslagen op een mentfraude te beveiligen. Als gevolg functioneren. Namelijk, door de toe-
contactloze chip op het reisdocument. van de verbeterde beveiliging van de passing van biometrie wordt uitslui-
In dit artikel zal ik het verschijnsel ‘bio- reisdocumenten treedt er een verschui- tend vastgesteld of de aanbieder van
metrie op reisdocumenten’ plaatsen in ving op van vormen van documentfrau- een reisdocument de rechtmatige hou-
de bredere context van ‘nationaal de naar andere vormen van identiteits- der is. De vraag of het reisdocument
identiteitsmanagement’. Vervolgens zal fraude. de werkelijke identiteit3 van de houder
ik enkele issues bespreken die aan de De toename van look alike fraude, bevat wordt niet beantwoord. De inte-
voorliggende plannen verbonden zijn. waarbij een individu zich bedient van griteit van de gegevens op het reisdo-
Daarbij zal ik aangeven in hoeverre het document van een andere persoon cument, en daarmee de integriteit van
met de huidige voornemens het waarmee hij of zij gelijkenis vertoont, de gegevens in de nationale bevol-
gestelde doel kan worden gerealiseerd maakt deel uit van deze tendens. De kingsregisters waaruit de documentge-
en ook zal ik enkele suggesties tot ver- toepassing van biometrie heeft de gevens afkomstig zijn, is daarom van
betering geven. Tenslotte zal ik een bedoeling deze vorm van fraude tegen beslissende betekenis voor de
aantal relevante vragen de revue laten te gaan. Met behulp van biometrie kan betrouwbaarheid van het controlepro-
passeren die tot nu toe onbeantwoord immers in principe worden vastgesteld ces als geheel.
bleven. of de aanbieder van het document ook Er zijn gegronde redenen om te twijfe-
de rechtmatige houder ervan is. len aan de kwaliteit van de gegevens
Biometrie in de context van natio- Fraude is een fenomeen dat zich van de nationale bevolkingsregisters.
naal identiteitsmanagement voortdurend aanpast aan wijzigende Onderzoek bijvoorbeeld van Arre
omstandigheden. Bij de toepassing Zuurmond4 in Nederland toont aan dat
Documentfraude en andere vor- van biometrie dient bewust rekening de integriteit van de gegevens in de
men van identiteitsfraude te worden gehouden met de verschil- bevolkingsregisters varieert. Geschat
Nationaal identiteitsmanagement heeft lende mogelijkheden tot frauderen. wordt dat vijf tot negentig procent van
tot doel de gegevens en rechten van Daarnaast zullen, indien met de toe- de gegevens incorrect is, reden waar-
ingezetenen en niet-ingezetenen passing van biometrie op reisdocu- om de Nederlandse politie een eigen
binnen de grenzen van een nationale menten het beoogde effect wordt bevolkingsregister in stand houdt5. De
staat te registreren en te controleren. behaald, andere vormen van identi- kwaliteit van de nationale bevolkings-
De uitgifte en controle van reisdocu- teitsfraude toenemen. registers zal als gevolg van de invoe-

[1] In december 2004 heeft de Europese Unie (Verordening (EG) Nr. 2252/2004 van de Raad van 13 december 2004) in de verordening betreffende normen voor
de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten bepaald dat de reisdocumenten van de
lidstaten van de Europese Unie de gelaatscan en twee vingerafdrukken moeten gaan bevatten. De deadline voor de invoering hiervan is gesteld op 28 augustus
2006. De Europese Unie sluit zich aan bij de eisen van de ICAO, zij het dat uitsluitend de vingerafdruk als facultatief biometrisch kenmerk wordt gehanteerd.
[2] De Verenigde Staten hebben aangekondigd dat alle reizigers uit de 27 landen die deelnemen aan het zogenaamde Visa Waiver programma, waaronder alle lan-
den van de EU behalve Griekenland, op termijn een machinaal leesbaar paspoort met biometrische gegevens nodig hebben om van visumplicht vrijgesteld te blij-
ven. De deadline voor de invoering hiervan is aan herhaalde bijstellingen onderhevig en is nu gesteld op 26 oktober 2006. De Verenigde Staten sluiten aan bij de
eisen zoals gesteld door ICAO.
[3] In dit geval: de identiteit zoals vastgesteld door de nationale overheid
[4] Bron: ‘GBA: werkelijke en administratieve werkelijkheid lopen uiteen’, korte samenvatting van de toespraak van bijzonder hoogleraar ICT A. Zuurmond te Leiden,
gehouden op het congres Burgerzaken, georganiseerd door de VNG en de Nederlandse Vereniging voor Burgerzaken (NVVB) op 22 en 23 april 2004 in
Noordwijkerhout), in: Burgerzaken en Recht, 11 (2004)
[5] Bron: Hollandse Helden Overheidsinnovatie volgens uitvoerders, Initiatiefgroep Belgendoenhetbeter.nl, Noor Huijboom, Jorrit de Jong, Marco Meesters, Joeri van
den Steenhoven, Arre Zuurmond

6 INFORMATIEBEVEILIGING NOVEMBER 2005


ring van biometrie naar verwachting De resultaten van een grootschalige Biometrie in de praktijk
verder onder druk komen te staan. Het praktijkproef van biometrie op reisdo- van fraudebestrijding
aantal fraudeurs dat zich onder een cumenten in het Verenigd Koninkrijk Bij de ontwikkeling en implementatie
valse identiteit zal willen registreren bij laten een heel ander beeld zien. Het van een door biometrie ondersteund
de nationale bevolkingsregisters zal foutpercentage voor gelaatsherken- controleproces op de reisdocumenten
toenemen, om zo de scherpere docu- ningtechnologie bedroeg tijdens deze dient de bestrijding van fraude cen-
mentcontroles met behulp van biome- proef 31 procent, voor iristechnologie traal te staan. Immers, de winst van
trie te omzeilen. Fraudeurs kunnen zich en vingerafdruktechnologie bedroegen een verbeterd controleproces is dat tij-
daarbij onder meer bedienen van valse de foutpercentages respectievelijk 4 dens het proces meer personen, die
brondocumenten, bijvoorbeeld een en 19 procent7. zich wensen te onttrekken aan wet- en
vals buitenlandse reisdocument of een De tegenvallende resultaten van deze regelgeving getraceerd worden.
vals geboortebewijs. Daarnaast kunnen praktijkproef zijn verontrustend, maar Het feit dat iemand fraude wil plegen,
onjuiste persoonsgegevens worden komen niet als een complete verras- is van grote invloed op de effectiviteit
opgegeven, bijvoorbeeld een vals sing. Zo stelde Van Renesse al in april van het biometrische proces. Echter,
adres of geboortedatum. 2002 dat de foutpercentages ‘in de zowel de laboratoriumproeven als de
Teneinde fraude met nationale identi- harde praktijk van heterogenen groe- praktijkproeven met biometrie tot nu
teitsdocumenten effectief te bestrij- pen’ variëren tussen de één en vijf toe, zijn uitgevoerd op testpopulaties
den, dient de invoering van biome- procent8. De cijfers laten zich verkla- waarin geen fraudeurs voorkomen dan
trie gekoppeld te worden aan een ren door de hoge mate van onzeker- wel geen individuen die een dergelijke
verhoogde aandacht voor de inte- heid over de mate waarin externe fac- rol fingeren.
griteit van de gegevens van het toren van invloed zijn op de prestaties Fraudeurs kunnen op verschillende
nationaal identiteitsmanagement. van biometrische technologie. Tot manieren proberen direct in te breken
deze factoren behoren leeftijd, ras, op het biometrisch controleproces, bij-
Geschiktheid van biometrische sexe en psychologie van de te contro- voorbeeld:
technologie voor de beoogde leren personen. Daarnaast spelen • Geprobeerd kan worden toch met het
toepassing fysieke en maatschappelijke omge- document van een andere, gelijkende
vingsfactoren een rol9. Deze factoren persoon te passeren, indien er sprake
Biometrie in de doen zich in het bijzonder gelden bij is van een familierelatie met die ander
grootschalige praktijk een wereldwijde toepassing van bio- is de kans op succes groter: in een
De verwachtingen ten aanzien van de metrie, zoals in het geval van de reis- samenvatting van een onderzoek uit-
prestaties van biometrische technolo- documenten. gevoerd naar de performance van
gie zijn hoog gespannen. Bij de keuze Indien deze factoren in de praktijk niet gelaatsherkenningtechnologie stelt
van biometrische technologie heeft beheerst kunnen worden, zijn de ver- TNO “the test revealed that face
ICAO zich onder meer laten leiden wachtingen ten aanzien van de verbe- recognition systems perform substan-
door performance indicators. tering van de kwaliteit van het contro- tially worse for look alikes compared
Leveranciers van gelaat-, iris- en vin- leproces onterecht. Dit onterechte ver- to people wit no family relation”11;
gerafdruktechnologieën zijn opti- trouwen vormt een risico op zichzelf. • Er kan sabotage gepleegd worden
mistisch over de foutpercentages en Feedback vanuit het systeem ten aan- door de eigen biometrische kenmer-
geven indicaties variërend van 0,01 zien van omgeving en gebruiker kan ken of de chip op het document te
procent tot maximaal twee procent een bijdrage leveren aan de beheer- verminken, waardoor men gebruik
voor onterechte weigeringen dan wel sing van deze factoren kan maken van een fall back proce-
onterechte herkenningen. Cijfers geba- Nader onderzoek naar de mogelijkhe- dure: waarbij verificatie door de
seerd op laboratoriumtesten zien er den tot beheersing van externe facto- grensbeambte, net als vroeger, zon-
wat positiever uit dan de cijfers in de ren die de performance in de groot- der de toepassing van biometrie
praktijk werkelijk zijn. De resultaten schalige praktijk beïnvloeden, is nood- wordt uitgevoerd;
vanuit de ‘echte’ praktijk zien er min- zakelijk om te komen tot een effectie- • Door allerlei vormen van afwijkend
der optimistisch uit en variëren van 0,1 ve toepassing van biometrie op reisdo- gedrag, zoals het produceren van
procent tot maximaal tien procent voor cumenten. Een van de mogelijke grimassen, het scheef aanbieden van
onterechte weigeringen dan wel onte- oplossingen is een interactief afname- het biometrische kenmerk, het ver-
rechte herkenningen6. en verificatieproces10. vormen van het gelaat met behulp

[6] Bron: Elisabeth de Leeuw - Lecoeur, Risks and threats attached to the application of biometric technology in national identity management, thesis
submitted in fulfillment of the requirements for the degree of Master of Security in Information Technology at TIAS Business School Eindhoven and
Tilburg, Amsterdam, October 2004
[7] Bron: Report of Biometrics Enrolment Trial, UK Passport Service, May 2005
[8] Bron: Implications of biometrics on travel-documents - 5th International Conference on Fraudulent Documents, Amsterdam, April 10 - 12, 2002,
Rudolf L. van Renesse
[9] Bron: Elisabeth de Leeuw - Lecoeur, Risks and threats attached to the application of biometric technology in national identity management, thesis
submitted in fulfillment of the requirements for the degree of Master of Security in Information Technology at TIAS Business School Eindhoven and
Tilburg, Amsterdam, October 2004
[10] In een interactief proces reageert de afname- en verificatieapparatuur reageren op de wijze waarop het biometrisch kenmerk wordt aangeboden De
apparatuur registreert met een aantal sensoren de wijze en omstandigheden waaronder het biometrisch kenmerk wordt aangeboden. Op basis
daarvan kan de apparatuur feedback geven aan het individu en parameters aanpassen aan specifieke omgevingsfactoren.
[11] http://www.tpd.tno.nl/smartsite110.html

INFORMATIEBEVEILIGING NOVEMBER 2005 7


van make-up of het mismaken van Het perspectief van goedwillende Toolkit voor tracking en
vingerafdrukken door messneden of burgers identity theft
brandwonden, kan het controlepro- Allereerst wat meer achtergrondinfor-
ces gefrustreerd worden waardoor Verdachtmakingen tijdens matie. Volgens de huidige voorstellen
het foutpercentage toeneemt; en het controleproces dient het biometrisch kenmerk op de
• Door middel van spoofing is het Voor een aantal personen, in de litera- chip te worden opgeslagen in de vorm
mogelijk een ander, bij het reisdocu- tuur wordt hieraan gerefereerd met de van een image (jpeg-formaat).
ment passend biometrisch kenmerk term goats, geldt dat het opgeslagen Optioneel is de implementatie van het
te fingeren, bijvoorbeeld met behulp biometrisch kenmerk per definitie Basic Access Control mechanisme, dat
van een lens met een irisopdruk of moeilijk te matchen is met het levende ervoor kan zorgen dat uitsluitend
een gelatine vlies voorzien van een biometrisch kenmerk waarover men geautoriseerde kaartlezers toegang
vingerafdruk12. beschikt14. Bij deze personen is de vari- hebben tot de informatie op de chip.
De werkelijke vraag naar de effecti- atie van de biometrische kenmerken Bij afwezigheid van het Basic Access
viteit van biometrische technologie is groter dan gemiddeld, hetgeen leidt Control mechanisme kunnen gegevens
daarom niet, wat de performance is tot frequente onterechte afwijzingen ook worden uitgelezen nadat een
gegeven een in de nationale context door het biometrische systeem. Bij document gestolen is. De toepassing
representatieve testpopulatie, maar individuen met een normale variatie van contactloze chips brengt los daar-
eerder wat de performance is gegeven van de biometrische kenmerken kun- van het risico met zich mee dat de
een testpopulatie samengesteld uit nen vermoeidheid, emoties en variaties gegevens van de chip door personen
(gefingeerde) fraudeurs. Of deze vraag in de fysieke omgeving eveneens lei- die daartoe niet geautoriseerd zijn, tij-
in een proefopstelling te beantwoor- den tot onterechte afwijzingen. dens het controleproces worden uitge-
den is, laat zich in de context van dit De mogelijke gevolgen van een onte- lezen16. Ook bestaat de mogelijkheid
artikel niet beantwoorden, maar het rechte afwijzing worden geschetst om de reisbewegingen van (de eige-
gedachte experiment is op zichzelf de door het volgende incident, dat zich naar van) het reisdocument te
moeite waard. De performance van de afspeelde op 19 augustus 2004, in het traceren17.
biometrische technologie zal in de pre-biometrische tijdperk dus15. Voor een fraudeur kan een uitgelezen
context van een dergelijke testpopula- Senator Edward Kennedy wordt op die biometrische kenmerk dienen om
tie zeker afnemen. We weten echter dag, op weg van Washington naar spoofs te vervaardigen18: een lens met
niet in welke mate dat het geval is en Boston, op de luchthaven aangehou- de identieke irisopdruk afgeleid uit de
we beschikken evenmin over een esti- den omdat zijn naam op de watchlist image van de iris op de chip of een
mated guess. voorkomt. Pas na tussenkomst van de gelatine vlies voorzien van een identie-
Door de toepassing van het biometri- secretaris van Homeland Security, Tom ke vingerafdruk afgeleid uit de image
sche controleproces verschuift de aan- Ridge, kan hij zijn reis voortzetten. Het van de vingerafdruk op de chip. Een
dacht van het intermenselijke niveau ligt voor de hand te verwachten dat de dief heeft dus mét het gestolen docu-
verder in de richting van techniek en gevolgen van een dergelijke situatie ment gelijk de materialen in handen
systeem. De behoefte van luchthavens voor een gewone burger veel ernstiger om het controleproces te ontduiken.
en luchtvaartmaatschappijen om zouden zijn geweest. Naar keuze kan de dief daar zelf
kosten te beheersen en het comfort Hoewel het hier om een ander proces gebruik van maken of het ‘product’
van de reizigers te bevorderen, en dus gaat, is de vergelijking interessant. Het aan derden doorverkopen. Het biome-
de doorlooptijd van het controleproces geloof in de techniek en het systeem trische reisdocument biedt daarmee
te bekorten zal deze tendens verster- overstemt de waarnemingen op het een uitgangsbasis voor ‘perfecte’ bio-
ken13. Het geloof in de prestaties van intermenselijke niveau. metrische documentfraude en in het
techniek en systeem vormt hierbij een Om valse beschuldigingen en daar- verlengde daarvan, voor identity theft.
risico op zich. De kans op onterechte mee verbonden vertragingen en Indien namelijk de documentfraude
acceptatie én op onterechte weigering mogelijke inhechtenisneming te voor- eenmaal is geslaagd zal vanwege de
neemt hierdoor toe. komen, is het noodzakelijk om een vermeende hogere kwaliteit van het
Nader onderzoek naar de effecti- extra, niet biometrisch toetsingscrite- controleproces het vertrouwen in de
viteit van biometrie in de praktijk van rium tijdens het biometrisch controle- geclaimde valse identiteit groter zijn.
fraudebestrijding is nodig om te proces achter de hand te houden. Implementatie van het Basic Access
komen tot een onderbouwde kosten- Een dergelijk criterium kan worden Controll mechanisme en het aanbren-
batenanalyse. opgeslagen in centrale databases en gen van een kooi van Faraday, om het
worden getoetst in een ‘verzwaarde’ afluisteren van signalen van de con-
fall back procedure. tactloze chip te voorkomen, dienen te

[12] Biometrical Fingerprint Recognition: Don’t get your fingers burnt, Ton van der Putten en Jeroen Keuning, 21 september 2000
[13] Security and Privacy Issues in E-passports, Ari Juels, David Molnar en David Wagner
[14] Bron: Elisabeth de Leeuw - Lecoeur, Risks and threats attached to the application of biometric technology in national identity management, thesis
submitted in fulfillment of the requirements for the degree of Master of Security in Information Technology at TIAS Business School Eindhoven and
Tilburg, Amsterdam, October 2004
[15] Arie Zeelenberg, Dienst Nationale Recherche Informatie, Unit Dactyloscopie & Identificatie, vestigde de aandacht op dit incident in een presentatie
voor het Nederlands Biometrie Forum op 15 september 2005 te Delft
[16] Verkenning Paspoort Beveiliging, presentatie door Riscure BV, Rotterdam tijdens What The Hack event, 27 juli 2005
[17] Security and Privacy Issues in E-passports, Ari Juels, David Molnar en David Wagner
[18] Biometrical Fingerprint Recognition: Don’t get your fingers burnt, Ton van der Putten en Jeroen Keuning, 21 september 2000

8 INFORMATIEBEVEILIGING NOVEMBER 2005


NId v.v. biometrie (bNId)
worden ingezet om tracking en identi-
ty theft op basis van biometrische reis-

Toepasselijkheid van

Nationaal Identiteits
documenten te helpen voorkomen.
Zowel burger als overheid hebben

Document (NId)
belang bij een bescherming tegen

het criterium
tracking en identity theft op basis

Biometrie
Criterium
van biometrische reisdocumenten.
Aanvullende maatregelen op het
gebied van data protectie zijn daar-
om van essentieel belang.
Nationale identiteitsdocumenten zijn moeilijk te vervalsen. Daartoe ± - -

Geheim
worden verschillende technologieën toegepast, waaronder watermer-

1
De logica van biometrie in natio- ken en hologrammen. Een deel van deze echtheidskenmerken is
naal identiteitsmanagement geheim. De kwaliteit van de echtheidskenmerken variëren echter van
document tot document. Biometrische kenmerken zijn moeilijk geheim
Nationale identiteitsdocumenten te houden. Daarmee voldoen (biometrische) nationale identiteitsdocu-
menten maar ten dele aan dit criterium.
als pseudo-sleutels Vorm en inhoud van nationale identiteitsdocumenten wordt niet at - ± -
Random

Reisdocumenten zijn nationale identi- random bepaald. De echtheidskenmerken zijn weliswaar geheim,
2

teitsdocumenten en geven toegang maar standaard. De inhoud is gebaseerd op een aantal kenmerken
tot zowel fysieke domeinen i.e. landen van de houder van het document, zowel visueel als tekstueel.
- als tot logische domeinen i.e. publie- Biometrische kenmerken zijn veelal niet random (enkele uitzonderin-
gen waaronder de iris daargelaten). Daarmee voldoen (biometrische)
ke en private diensten. Het gebruik
nationale identiteitsdocumenten niet aan dit criterium.
van reisdocumenten is daarom verge- Nationale identiteitsdocumenten zijn binnen de geldigheidsduur niet + - ±
Constant

lijkbaar met het gebruik van sleutels, aan wijzigingen onderhevig. Het levende biometrisch kenmerk van
die eveneens toegang bieden tot fysie- de burger is echter wel aan wijzigingen onderhevig, onder invloed
3

ke (bijvoorbeeld gebouwen) en logi- van tijd, stemming, vermoeidheid en andere factoren. Daarmee vol-
doen biometrische nationale identiteitsdocumenten slechts ten dele
sche (bijvoorbeeld elektronische appli-
aan dit criterium.
caties) domeinen. Nationale identiteits- Nationale identiteitsdocumenten zijn te vernietigen en te vervangen. + - ±
Vervangbaar

documenten voldoen echter maar zeer Logische vernietiging van het document door de nationale overheid
ten dele aan de eisen die aan een geschiedt door opname in een zwarte lijst, die tijdens het controlepro-
goede sleutel gesteld kunnen worden. ces geraadpleegd kan worden. Burgers kunnen indien gewenst het
4

document in zijn geheel of delen daarvan, bijvoorbeeld het biometrisch


kenmerk, fysiek vernietigen. Vervanging geschiedt na inleveren van het
Kenmerken van een goede sleutel oude document door de burger gevolgd door fysieke vernietiging door
Een goede sleutel19 is: de nationale overheid. Het levende biometrische kenmerk van de bur-
• Geheim: de vorm van de sleutel mag ger is echter niet te vernietigen of te vervangen, zonder ernstig licha-
niet bekend zijn; melijk letsel. Daarmee voldoen biometrische nationale identiteitsdocu-
menten niet aan dit criterium.
• Willekeurig(random): de vorm van de ± - -
Domeininformatie21 Houderinformatie20

Nationale identiteitsdocumenten bevatten cruciale informatie over


sleutel mag niet te voorspellen zijn; de houder, waaronder naam, geboortedatum en -plaats, sofi-nummer
• Constant: de sleutel mag niet elk en gelaat (foto). Biometrie is houderinformatie by definition.
moment van vorm veranderen; Biometrische nationale identiteitsdocumenten bevatten zowel de
• vervangbaar: is te vernietigen dan conventionele houderinformatie als ook een of meerdere biometri-
sche kenmerken. Daarmee voldoen (biometrische) nationale identi-
5

wel te vervangen;
teitsdocumenten niet aan dit criterium.
• Houderinformatie: bevat geen infor- Nationale identiteitsdocumenten bevatten geen informatie met - - -
matie over de houder van de sleutel; betrekking tot het geldigheidsdomein. Echter informatie over het
• Domeininformatie: bevat geen infor- geldigheidsdomein van nationale identiteitsdocumenten is publieke-
matie over de domeinen waartoe de lijk toegankelijk. Biometrie bevat geen informatie over het geldig-
heidsdomein, maar informatie over de domeinen waartoe biometrie
sleutel toegang verschaft; en is
toegang verschaft zal naar het zich laat aanzien publiekelijk toegan-
• Domeingebonden: een sleutel geeft kelijk zijn. Daarmee voldoen (biometrische) nationale identiteitsdocu-
6

noodzakelijkerwijs toegang tot menten niet aan het criterium dat domeininformatie niet aan het
slechts één domein of set van domei- document verbonden mag zijn.
Nationale identiteitsdocumenten geven toegang tot vooraf vastge- + - ±
nen, met andere woorden: niet elke
Domeingebonden

stelde en derhalve in principe een beperkt aantal fysieke domeinen


sleutel is een loper.
i.e. landen en logische domeinen, i.e. vormen van publieke en priva-
te dienstverlening. Het levende biometrische kenmerk van de burger
Biometrische kenmerken zijn kan bovendien worden gebruikt om toegang te krijgen tot een in
geen sleutels principe talloos aantal andere domeinen, afhankelijk van het aantal
7

De doelstelling die nationale overheden biometrische identiteitdocumenten dat wordt gehanteerd naast het
nationale identiteitsdocument. Daarmee voldoen biometrische natio-
nastreven met de toepassing van bio-
nale identiteitsdocumenten slechts zeer ten dele aan dit criterium.
metrie is onomstotelijk vast te stellen of
de drager van een nationaal identiteits-

[19] Biometrics: Uses and Abuses, Bruce Schneier, in: Inside Risks 110 (CACM 42, 8, August 1999)
[20] Invers criterium: informatie omtrent de identiteit van de houder opgenomen op het document vormt een aangrijpingspunt voor identity theft.
[21] Invers criterium: informatie omtrent het domein waarvoor het document geldig is vormt een aangrijpingspunt voor verschillende vormen van identi-
teitsfraude, waaronder documentfraude en look alike fraude.

INFORMATIEBEVEILIGING NOVEMBER 2005 9


document ook de legitieme houder is. sche domeinen, maar voldoen niet omgeving waarbinnen biometrie wordt
Met andere woorden, de authenticiteit aan de eisen die aan sleutels kunnen toegepast.
van de identiteitsclaim kan door middel worden gesteld. Succes of falen kan worden beoor-
van biometrie worden vastgesteld. Op deeld - in de nauwe zin van het woord
het moment dat de authenticiteit van Biometrische nationale identiteitsdo- - in termen van het halen van de
de identiteitsclaim is vastgesteld, kan cumenten voldoen in mindere mate beoogde doelstelling ofwel, in de con-
de drager van het identiteitsdocument aan de eisen die aan sleutels kunnen text van nationaal identiteitsmanage-
daarover beschikken als ware hij of zij worden gesteld dan klassieke natio- ment, in termen van succes inzake de
de legitieme houder. nale identiteitsdocumenten. Dat bestrijding van look alike fraude.
Biometrie geeft dus toegang tot het geldt des te sterker, indien in de De toepassing van biometrie heeft
gebruik van het identiteitsdocument en dagelijkse praktijk onder druk van de echter mogelijk ook onbedoelde effec-
de daarmee verbonden identiteitsclaim, omstandigheden, controle uitsluitend ten op het maatschappelijke vlak en
die op hun beurt weer toegang geven op basis van biometrische kenmer- vice versa. Dit roept veel vragen op
tot een aantal fysieke en logische ken geschiedt. Vanuit dit oogpunt die tot nu toe onbeantwoord zijn
domeinen. Met andere woorden, in de bezien wordt met de toepassing van gebleven:
context van de voorgenomen toepas- biometrie op nationale identiteitsdo- • Wat is het effect van dit welhaast
sing kan het biometrisch kenmerk op cumenten geen verbetering van het intieme controlesysteem op de soci-
identiteitsdocumenten worden controleproces gerealiseerd. ale psychologie van de massa die
beschouwd als een sleutel die toegang aan deze controle onderworpen
verschaft tot de aan een identiteitsdo- Maatschappelijke aspecten van wordt?;
cument verbonden identiteitsclaim. biometrie • Hoe groot is of wordt de weerstand
Het ligt in de bedoeling biometrie bij Kenmerkend voor biometrische tech- tegen het proces in de praktijk van
grenspassage uitsluitend onder toe- nologie is dat daarmee een verbinding alledag?;
zicht toe te passen; indien gewenst zal wordt gemaakt tussen mens en machi- • Wat zijn de consequenties van een
naar het identiteitsdocument zelf ne. Anders gezegd, de levende mens - mogelijk toegenomen weerstand
gekeken worden en zullen er ook aan- of althans diens levende biometrische voor de performance van biometri-
vullende controles plaatsvinden. kenmerken - maakt een integraal deel sche systemen?;
Biometrie is in deze situatie dus niet uit van het biometrische systeem. • In hoeverre wordt een proces van
de enige sleutel tot de identiteitsclaim. In die zin is biometrische technologie vervreemding in gang gezet van
Het is echter niet uitgesloten dat bio- te beschouwen als een variant, of zo je gecontroleerden ten opzichte van
metrische controles aan de hand van wil, inverse van cybernetica: controleurs c.q. een vervreemding
nationale identiteitsdocumenten in • in het geval van cybernetica worden van burgers ten opzichte van
andere situaties zonder toezicht zullen technische componenten in een bestuur?;
plaatsvinden. In die situaties vormt het levend lichaam geïmplanteerd, ten- • Wat is het effect van dit welhaast
biometrisch kenmerk een enige sleu- einde (...) de functies van het lichaam perfect lijkende controlesysteem op
tel, die direct toegang verschaft tot de te verbeteren22; de attitude van controleurs en
geldigheidsdomeinen van het identi- • in het geval van biometrie worden bestuurders?;
teitsdocument. levende biometrische kenmerken • Draagt een grootschalige toepassing
ofwel componenten van een levend van biometrie bij aan een verdere
Nationale identiteitsdocumenten lichaam aan een technisch systeem technocratisering van de samenle-
versus sleutels toegevoegd, teneinde de functies ving?;
Navolgend analyseer ik in hoeverre van dit systeem te verbeteren. • Zijn bestuurders in staat het roer in
respectievelijk nationale identiteitsdo- Het woord levend heeft in deze con- handen te houden of worden zij op
cumenten (NId), biometrie en biome- text meerdere betekenissen. Op de hun beurt straks zelf bestuurd door
trische nationale identiteitsdocumen- eerste plaats gaat het om het begrip een schijnbaar autonome dynamiek
ten (bNId) voldoen aan de criteria die levend [biometrisch kenmerk] in tegen- in de ontwikkeling van de biometri-
aan sleutels kunnen worden gesteld: stelling tot het begrip opgeslagen sche technologie?; en
(zie figuur vorige pagina.) [biometrisch kenmerk]. In bredere zin • Wat zijn de consequenties op het
verwijst het naar de levende mens of interpersoonlijke en culturele vlak?
Biometrische nationale identiteitsdocu- actor [de aanbieder van het biome-
menten voldoen in vergelijking met trisch kenmerk tijdens het controlepro- Het antwoord op deze vragen is van
klassieke nationale identiteitsdocumen- ces]. Tenslotte verwijst het woord centrale betekenis om te komen tot
ten in duidelijk mindere mate aan de levend ook naar het feit dat actor en een afgewogen beleid ten aanzien van
zeven voor sleutels geldende criteria. systeem onlosmakelijk deel uitmaken de toepassing van biometrie. Een gro-
De toepassing van biometrische tech- van de maatschappelijke omgeving. tere betrokkenheid van sociaal filoso-
nologie sec voldoet in nog mindere Succes of falen van de toepassing van fen, psychologen, sociologen en politi-
mate aan deze criteria. biometrie zijn derhalve niet uitsluitend cologen bij het van huis uit technologi-
Nationale identiteitsdocumenten afhankelijk van de kwaliteit van de bio- sche domein van de biometrie bij deze
worden in de praktijk gehanteerd als metrische technologie of de direct vraagstukken is daarom dringend
pseudo-sleutels: ze bieden net als daarmee verbonden procedures, maar gewenst.
sleutels toegang tot fysieke of logi- evenzeer van de maatschappelijke
[22] Definitie ontleend aan http://www.globalguardians.com/encyclopedia/encyclopediacd.php

10 INFORMATIEBEVEILIGING NOVEMBER 2005


Over deze rubriek> InZicht geeft een overzicht van recent ver-
schenen en te verschijnen boeken en whi-
tepapers in binnen- en buitenland, gese-
lecteerd door de redactie. Onze bronnen
voor de toelichting bestaan uit persbe-
richten en internet, niet gegarandeerd
onafhankelijke informatie. Actualiteit staat
bij de inhoud van deze rubriek voorop.

INZICHT
Practical
Perfect wachtwoord op. Het is heel logisch Biometrics
Passwords dat zich in een dergelijke situatie heel From Aspiration
Selection, voorspelbare patronen gaan voor- to Implemen-
Protection and doen. Gebruikers kunt u hier niet de tation
Authentication schuld van geven, zij hebben nooit Auteur:Julian
Auteur: Mark geleerd met strikte wachtwoord- Ashbourn
Burnett policies om te gaan. ISBN: 1-85233-774-5
ISBN: -59749- Welnu, dit boek leert je om te gaan Uitgever: Springer
041-5 met de wereld van wachtwoord- Editie: 1e editie, lente 2004
Uitgever: policies, de wachtwoordkrakers en de Vorm: Hardcover, 159 pag.
Syngress menselijke voorspelbaarheid. Het leert
Editie: 1e editiie, 22 november 2005 je specifieke wachtwoordpatronen die Vanuit een operationeel perspectief
Vorm: Paperback, 200 pag. de meest rigide securityeisen kunnen geschreven biedt dit boek een schat aan
doorstaan, terwijl gebruikers geen praktisch advies. De auteur onderzoekt
Gebruikerswachtwoorden zijn de sleutels enkele moeite zullen hebben ze te de vele issues die onlosmakelijk zijn ver-
tot het netwerkrijkdom. Toch kiezen herinneren. Als u te maken heeft met bonden aan de vooral grootschalige toe-
gebruikers in de meeste gevallen voor het wachtwoordbeleid, dan is dit een passing van biometrische technologie in
de meest voor de hand liggende en boek voor u. de praktijk.
eenvoudig te raden wachtwoorden. Dit
terwijl systeembeheerders meestal met Threat Modeling Cryptographic
de meest onmogelijke combinaties van Auteurs: Frank Security
letters en cijfers komen. Auteur Mark Swiderski, Architecture
Burnett heeft meer dan 2.000.000 Window Snyder Design and
wachtwoorden verzameld en geanaly- ISBN: 0-7356- verification
seerd. In dit hoogst vermakelijke en 1991-3 Auteur: Peter
informatieve boek, gevuld met tiental- Uitgever: Gutman
len illustraties publiceert hij zijn bevin- Microsoft Press ISBN: 0-387-
dingen en zet hij de meest rigide eisen Editie:1e editie, 95387-6
van de security professionals af tegen 16 juni 2004 Uitgever: Springer
het gewenste gebruikersgemak van de Vorm: Paperback, 288 pag. Editie: 1e editie, 4 april 2003
eindgebruiker. Vorm: Hardcover, 360 pag.
Ieder van ons herinnert zich ongetwijfeld De Microsoft applicatie security speci-
zijn eerste stappen op het internet. Snel alisten Frank Swiderski en Window Een cryptografisch beveiligde infrastruc-
kwamen we er achter dat een wacht- Snyder beschrijven in dit boek het tuur betreft de combinatie van hardware
woord nodig is om toegang te krijgen. concept en de doelstellingen van en software die het gebruik van encryp-
Dus ontwikkelden we een wachtwoord- threat modeling, een gestructureerde tie sleutels en gerelateerde cryptovaria-
strategie. Statistieken laten echter dui- aanpak voor de identificatie, evaluatie belen beschermen en controleren.
delijk zien dat de meeste wachtwoord- en vermindering van systeemrisico’s. Dit boek biedt een uitgebreid ontwerp
strategieën niet doordacht zijn en kra- Dit boek leert onder andere hoe voor een toekomstvaste, flexibele en
kers in een mum van tijd je wachtwoord threat modeling te gebruiken om uw sterk beveiligde cryptografische infra-
kraken. Sommige bedrijven wijzen je vol- systemen te bezien vanuit een een structuur met nadruk op toepassing van
ledige willekeurige letter- en getallen- aanvallersperspectief. Review scenario- solide security modellen en toepassin-
reeksen toe. Wie kan deze nietszeggen- ’s worden zodanig geïllustreerd dat gen. Tevens wordt een nieuwe verificatie
de karakters onthouden, zonder ze op te het threat modeling concept zichtbaar techniek aangereikt waarmee het moge-
schrijven? Weer andere bedrijven drin- in actie komt. Hierdoor wordt de ‘aan- lijk is om verificatie uit te voeren vanuit
gen een maandelijkse, ja misschien zelfs valler’ direct tegenover de ontwikke- de high-level specificaties tot aan de
wel wekelijkse, verandering van je laar of architect geplaatst. code.

INFORMATIEBEVEILIGING NOVEMBER 2005 11