Privacy en de Overheid, voortschrijdende techniek Alessandro Vermeulen (3242919) Utrecht University 4 februari 2010
1
Inleiding
Dit paper geeft een definitie van privacy en zal ingaan op een project van de overheid dat deze privacy schendt. Omdat de OV-Chipkaart het dichts bij de lezer staat zal hiervoor als voorbeeld de OV-Chipkaart gebruikt worden. Eerst zal hiervoor een uitleg gegeven worden over wat een RFID tag is en wat ermee mogelijk is. Uiteindelijk zal de lezer zien dat de schending van privacy kan voortkomen uit de voortschrijdende techniek.
2
Wat is privacy?
De grote vraag is hier, “Wat is privacy?”. Het woordenboek geeft een bepaalde definitie van privacy maar die is te subjectief om mee te kunnen werken. Er zijn mensen die privacy zien als het hebben van de volledige controle over wie over hen gegevens verzameld en over welke gegevens dit zijn. Hierbij hoort dan ook de wens om naar eigen wil gegevens te kunnen laten verwijderen. Een begrip dat sterk is geliëerd aan privacy is anonimiteit. Anonimiteit wil zeggen dat er geen enkel spoor van jouw acties (permanent) achterblijft. De controle door een mens in de trein is hier een voorbeeld van. Daarom stel ik privacy hier gelijk aan het begrip anonimiteit met een kleine aanpassing. Anonimiteit wil zeggen dat er geen enkel spoor van een bepaalde handeling mag achterblijven. Dit is echter onmogelijk te garanderen en daarom nemen we de definitie van privacy als volgt: Definition Privacy wil zeggen dat er geen enkel spoor van een handeling permanent achterblijft, ofwel doordat er niets wordt opgeslagen ofwel doordat de persoon de mogelijkheid heeft achtergebleven gegevens permanent te verwijderen. 1
Waarom moeten wij ons druk maken om onze privacy? Dit deden we ‘vroeger’ ook niet. Privacy was intrinsiek aan de gebruikte technieken van communicatie. Met de introductie van de brief is later ook het briefgeheim gekomen. Brieven zijn afgeschermd. De belangrijkste verandering is dat ‘zij’ tegenwoordig simpelweg de mogelijkheid hebben om, al dan niet bewust, inbreuk te plegen op onze privacy. Belangrijke ontwikkeling hierin is de opkomst van de computer, en dan met name de opkomst van de krachtige computers met veel opslag, en daarmee de automatisering. De inbreuk vindt veelal plaats doordat er op steeds meer plaatsen dingen worden geregistreerd. Zoals de registratie van het in- en uitchecken van OV-chipkaarten.
3
RFID
Een voorbeeld van een techniek die ruimte schept voor inbreuk op de privacy is de RFID tag. RFID staat voor Radio Frequency IDentification. Deze tags komen in verschillende soorten en maten. De kleinste, functionele, chip is de µ-chip van Hitachi, deze meet 0.15mm × 0.15mm. Een RFID tag systeem bestaat in het algemeen uit een tag met daarin een antenne en een processor met optioneel extra geheugen of stroomvoorziening, en een lezer. De RFID tag komt in een actieve, semi-actieve en passieve variant. Dit slaat op wie de verbinding instantiëert. In het geval van een actieve tag zal de tag autonoom verbinding zoeken met een lezer. Bij een semi-actieve tag spreken we van een tag die, bijvoorbeeld, eenmaal geactiveerd door een lezer op een vast interval zijn aanwezigheid bekend maakt. Deze tags zijn door de aard van hun functie vaak voorzien van een eigen stroombron. Een voorbeeld van een actieve tag is een RFID tag in een tolpoortjes systeem op de snelweg zoals veel in gebruik is in de Verenigde Staten, en zoals die hier misschien gebruikt gaan worden voor het rekeningrijden. Passieve tags worden onder andere gebruikt gebruikt in EAS (Electronic Article Surveillance), oftewel anti-diefstal systemen. De OV-Chipkaart is ook een voorbeeld van het gebruik van een passieve RFID-tag. Passieve tags zijn vaak ook niet voorzien van zware processoren of geheugens en worden vaak volledig van stroom voorzien door de lezer.
4
Overheidsprojecten
Er zijn verschillende projecten in de omloop die een inbreuk op de privacy vormen. Waaronder een paar van de overheid. Hier zal ik de OV-Chipkaart behandelen, dit omdat deze techniek waarschijnlijk het dichtst bij de lezer staaat.
2
Andere voorbeelden van projecten zijn het Elektronisch Patiënten Dossier en het rekeningrijden. Het EP-Dossier wordt niet behandeld omdat de burger er niet per se gebruik van hoeft te maken, men kan zich uitschrijven. De toekomst van het rekeningrijden is nog onduidelijk.
4.1
OV-Chipkaart
We beginnen met de alom bekende OV-Chipkaart. Deze kaart is voorzien van een passieve RFID tag met extra geheugen. Op het geheugen van deze kaart is onder een uniek ID, de naam van de kaarthouder, de geboortedatum van de kaarthouder en het laatste x aantal ritten opgeslagen. De OV-Chipkaart is er in drie smaken, een wegwerp, een anonieme en een persoonlijke kaart. De wegwerp-kaarten zijn onbeveiligd en zijn dus ook zo uit te lezen. Het is ook mogelijk om deze kaarten te kopiëren. De gebruikte chip is de Mifare Ultralight. Doordat deze kaart te kopiëren is, is de kaart ook te hergebruiken. Zoals gedemonstreerd door de UVA.[3] De OV-Chipkaart is een vorm van de persoonlijke kaart en verschilt alleen van de persoonlijke kaart in de daadwerkelijk opgeslagen gegevens. Er wordt onder andere ook nog op de kaart een zogenaamd reisproduct, namelijk of je een weekof weekend-abonnement hebt, opgeslagen. de anonieme en persoonlijke kaarten maken gebruik van de Mifare Classic 4k. Ook deze kaart is, meerdere malen zelfs, gekraakt.[2] [1] Het probleem van de wegwerp en anonieme kaarten is dus dat ze kunnen worden uitegelezen door iedereen met een RFID reader. Men kan dus in het geval van de UID van de wegwerp en anonieme kaart en wat extra gegevens de kaarthouder volgen. Bij de persoonlijke kaarten is het zelfs nog makkelijker. Hierbij zijn namelijk alle persoonlijke gegevens uit te lezen vanaf de chip zelf. Andere kwalijke dingen die hierdoor kunnen voorkomen is het ‘clonen’ van de OV-Chipkaart van een nietsvermoedende voorbijganger of het ‘clonen’ van wegwerpkaarten zodat men gratis kan reizen na het eenmalig aanschaffen van de wegwerpkaart. De invoer van de OV-Chipkaart is ondanks het kraken van de beveiligingen toch doorgevoerd. De overheid en vervoerders hebben de bezwaren van tafel geveegd met de redenering dat fraude met de kaarten door een beveiligingssysteem op een hoger niveau gedetecteerd en afgehandeld zou moeten worden. Over dit systeem is verder niets bekend. Nog naast het feit dat de OV-Chipkaart gekraakt kan worden en er zo fraudeleuze acties mee kunnen worden uitgevoerd, is het ook mogelijk dat de privacy al wordt geschaad als de kaart als bedoeld wordt gebruikt. Het systeem werkt namelijk zo, als de kaarthouder incheckt wordt er bijgehouden dat kaart met UID x heeft ingecheckt bij poortje met UID y, samen met het tijdstip waarop dit gebeurt. Dit log wordt opgeslagen in de centrale database 3
van de vervoerder en eenmaal daags wordt deze gesynchroniseerd met een overkoepelende database van TLS, de provider van de kaarten. Ook wordt er op de kaart een entry gemaakt van waar de kaart is ingecheckt. De kaart kan de laatste 10 ritten onthouden maar het is nog niet gezegd dat er ook meer ritten op kunnen komen. Zoals al eerder gezegd bevatten de persoonlijke kaarten een zogenaamd reisproduct. Bij een controle in de trein of bus wordt de kaart gescand en geeft dan al zijn geheimen vrij. De conducteur kan dus zien welke producten de kaarthouder allemaal heeft en aan de hand daarvan kan er gezegd worden of de kaart op dat moment een geldig reisbewijs is. Ook van deze controles wordt een log bijgehouden. Het probleem is hier tweeledig. Deels verschuift het moment van de controle naar het moment van aankoop en er worden logs bijgehouden. Deze logs vertellen onder andere waar en wanneer de kaarthouder gereisd heeft maar ook wanneer precies dit is geweest. In tegenstelling tot de papieren kaartjes die een hele dag gebruikt kunnen worden. Waar ook eerst het laten zien van bijvoorrbeeld een OV-Studentenkaart, trajectkaart of kortingskaart voldoende was om te laten zien dat de kaarthouder een geldig reisbewijs op zak had is dit nu vervangen door het stelselmatig controleren van deze geldigheid. Dit houdt in dat we kunnen spreken van een verschuiving van een controle gebaseerd op attributen naar een controle gebaseerd op de identiteit van de reiziger. Dit is op zichzelf natuurlijk al een alarmbel voor privacy-waakhonden. In het volgende gedeelte zullen er twee mogelijke oplossingen voor dit probleem besproken worden. 4.1.1
Zero-Knowledge Proof(s?)
Er is ook een reden voor het opslaan van de logs van het in- en uitchecken en de controle van kaarten. Deze worden namelijk gebruikt om te controleren of een kaart wel een geldig reisbewijs is. De gegevens die worden verkregen in deze controles is persistent. En dit is in strijd met wat wij eerder aannamen over wat privacy inhoudt, aangezien de kaarthouder de gegevens niet kan verwijderen. Een oplossing voor dit probleem zou zijn om de registraties te laten vallen. Dit kan echter niet zomaar gebeuren zonder de controle te verliezen op geldige vervoersbewijzen. Er dient dus een manier te worden gevonden om toch de geldigheid van een vervoersbewijs te controleren, zonder dat daarbij de reden voor de geldigheid bekend wordt. Dit ruikt naar Zero-Knowledge Proofs. De OVChipkaart zou bij controle moeten kunnen aantonen dat het inderdaad een geldig vervoersbewijs is, zonder dat dat er een reden wordt gegeven over het waarom en zonder informatie over de kaart/kaarthouder vrij te geven. Het verifiëren of de kaart ook hoort bij degene die hem presenteert is dan aan de controleur. Dit
4
laatste is belangrijk omdat er anders alsnog opgeslagen kan worden wie waar reist en wanneer. Dit is een zware opgave, er zijn namelijk een aantal redenen waardoor een OV-kaart een geldig vervoersbewijs is, waarvan er maar één hoeft te gelden: • De kaart is een Week-OV en hij is, op gegeven tijdstip, geldig; • de kaart is een Weekend-OV en hij is, op gegeven tijdstip, geldig; • de kaart is een trajectkaart en bevindt zich op het juiste traject; • de kaart is ingecheckt. Het zou simpel zijn om een systeem te bedenken dat voor elk van deze onderdelen een zou testen of de kaart een zero-proof bewijs kan geven van geldigheid. Dit zou er echter voor zorgen dat er alsnog gegevens worden overgedragen. Het is de vraag of men hier mee akkoord zou gaan. In het geval van het ontbreken van overdracht van enige verdere identificatiemateriaal zou het niet erg zijn omdat de gegevens niet aan iemand gekoppeld kunnen worden. Een voorbeeld van een project dat dit probeert uit te werken is het OV-Chipkaart 2.0 project van het Informatica departement van de Universiteit van Nijmegen. Voordelen Het voordeel van deze opzet is dat de privacy van de kaarthouder gegarandeerd is. Er worden namelijk geen kaart- of persoonspecifieke gegevens overgedragen. Wel dient te opgemerkt dat er nog steeds gegevens afgeleid kunnen worden bij opwaardeerpunten als gebruik wordt gemaakt van PIN. Bovendien heeft het hierboven beschreven systeem wel het voordeel dat de vervoerder simpel kan bijhouden welke soorten vervoersbewijzen er gehanteerd worden op een gegeven traject en tijdstip. Dit is gelijk aan de gegevens die de NS-Enquête mensen verzamelden. Nadelen Dit systeem zal hoogstwaarschijnlijk meer rekenkracht vergen aan de kant van zowel de kaart als de lezer. Voor de lezer is dit over het algemeen niet zo’n probleem. De kaart zal zijn energie echter moeten betrekken aan de radiogolven die het krijgt toegezonden. Het is dus nog maar de vraag of dit praktisch haalbaar is. 4.1.2
Loskoppelen registratie
Een andere mogelijkheid zou zijn om geen koppeling te hebben tussen kaartnummer en persoonsgegevens. Op het moment dat er controle plaatsvindt zou de controleur het nummer van de kaart kunnen opsturen naar een database die dan vervolgens vertelt of de kaart geldig is op gegeven traject en/of tijdstip. Doordat er geen koppeling met de persoon meer is en de verificatie van of de kaart bij de 5
persoon hoort wordt overgelaten aan de controleur met zijn vluchtige geheugen is het punt van de privacy hier niet meer. Voordelen Dit systeem is in theorie nog in te voeren als verbetering op het huidige systeem door alle gemaakte koppelingen tussen unieke kaartnummers en persoonsgegevens te verwijderen. Nadelen Het probleem hier is dat de persoonsgegevens toch van de kaart naar de lezer worden overgedragen. En eenmaal in handen van de andere partij is er geen waterdichte controle meer mogelijk op wat er met de gegevens gebeurt. De enige mogelijkheid om hier volledige controle over te houden is door de gegevens in de eerste plaats niet weg te geven.
5
De toekomst
Wat staat er ons nog te wachten? In Yokohama stad is er in 2005 al een proef geweest met het voorzien van kinderen van RFID tags.[4] Dit systeem stelt ouders in staat om hun kinderen in de gaten houden als ze in een groep van huis naar school lopen. Met het zorgzamer worden van de Nederlandse overheid en de daarmee samenhangende toename van ‘terrorisme’-bestrijding zullen er steeds meer maatregelen geopperd worden die de privacy zullen inperken. De registratie van het internetgebruik is hiervan een voorbeeld.
6
Conclusie
De term ‘privacy’ is een subjectief begrip maar er valt mee te werken door een handzamere definitie te kiezen. De privacy wordt, al dan niet kwaadwillend, geschonden door de komst van nieuwe technieken die in een oude mindset gebruikt worden. Een voorbeeld hiervan is het behandelde OV-Chipkaart systeem. Ook is het OV-Chipkaart systeem ingevoerd, ondanks de vele en serieuze bedenkingen en succesvolle kraakpogingen. Dit geeft aan dat er beter geluisterd dient te worden naar de academica. Maar vooral dat men zich er in het algemeen zich er beter van bewust moet zijn welke risico’s en gevolgen nieuwe technieken met zich mee kunnen brengen. Het is dus verstandig om bij de komst van een nieuwe techniek stil te staan bij de gevolgen die het kan hebben en niet zonder meer de ‘oude manier’ letterlijk te vertalen naar een nieuwe techniek. “Those who desire to give up freedom in order to gain security will not have, nor do they deserve, either one.” - Benjamin Franklin
6
Referenties [1] Nicolas T. Courtois. The dark side of security by obscurity and cloning mifare classic rail and building passes anywhere, anytime. Cryptology ePrint Archive, Report 2009/137, 2009. http://eprint.iacr.org/. [2] Flavio D. Garcia, Gerhard Koning Gans, Ruben Muijrers, Peter Rossum, Roel Verdult, Ronny Wichers Schreur, and Bart Jacobs. Dismantling mifare classic. In ESORICS ’08: Proceedings of the 13th European Symposium on Research in Computer Security, pages 97–114, Berlin, Heidelberg, 2008. Springer-Verlag. [3] Pieter Siekerman and Maurits van der Schee. Security evaluation of the disposable ov-chipkaart. https://ovchip.cs.ru.nl/images/3/33/Uva-report. pdf, July 2007. [4] Claire Swedberg. Rfid watches over school kids in japan. http://www. rfidjournal.com/article/view/2050/1/1, Dec 2005.
7
