Ik las laatst dat de Koeweitse overheid van plan was om het DNA van iedereen in het land te testen en te loggen. Ik werd er meteen aan herinnerd hoe slecht zulke ideeën zijn. Het is misschien wel goed voor het handhaven van de wet, maar het is een verschrikkelijk idee wat de persoonlijke privacy en algehele beveiliging betreft.

Waarom is zoiets slecht voor de beveiliging? Zou DNA niet juist de ultieme biometrische identifier zijn? Het gebruik daarvan op elk systeem wereldwijd zou het einde betekenen van cybercrime toch?

Nee! Het zou juist resulteren in precies het tegenovergestelde (en dat gebeurt al bijna). Voordat ik ga uitleggen hoe en waarom, is het misschien handig uit te leggen op welke manieren DNA en andere biometrische identifiers worden verzameld.

Vingerafdrukken

Mijn vingerafdrukken worden regelmatig afgenomen voor beveiligingstoepassingen waar ik mijzelf voor heb aangemeld. Of ik nu wel of geen toegang krijg en of het proces nou wel of niet wordt afgerond: de vingerafdrukken zijn verwerkt. Een deel van het inschrijvingsproces stelt vast dat de aanbieder de vingerafdrukken voor altijd mag houden. Ze worden verwerkt in een nationale vingerafdrukdatabase, ook als je niet verdacht wordt van een misdrijf.

Als je naar een ander land reist, worden je vingerafdrukken waarschijnlijk ook afgenomen bij aankomst. Ik heb mijn vingerafdrukken in elk geval al in verschillende landen afgegeven waaronder meermaals in het land waar ik zelf woon. In sommige gevallen moet je je vingerafdrukken zelfs afgeven voor je werk.

In Amerika moet je een volledige set van vingerafdrukken afgeven als je je rijbewijs aanvraagt. Ik gebruik zelfs m'n vingerafdruk om m'n smartphone te ontgrendelen. Ik ken ook veel mensen die dat doen om in te loggen op hun desktop computer of om binnen te komen op een afgesloten werkplek.

Gezichtsherkenning

Het idee dat je langs een beveiligingscamera kon lopen en herkend kon worden, was tot een paar jaar geleden science fiction. Vandaag de dag is het de normaalste zaak van de wereld. Deze techniek wordt zelfs gebruikt tijdens grote evenementen.

Ik weet niet wie de beste gezichtsherkenning heeft maar ik gok dat Facebook bij een van de betere hoort. Het verbaast mij nog steeds hoe accuraat hun gezichtsherkenningstechnologie is. Sommige onderzoeken claimen dat Facebooks technologie accurater is dan het menselijk brein en de FBI.

Gezichtsherkenning wordt zo'n beetje overal gebruikt. Winkels, auto's en acces control systemen. Zelfs je computer heeft tegenwoordig gezichtsherkenning aan boord als inlogmogelijkheid. Satellieten en drones zullen het ook krijgen, als de militaire versies het al niet hebben, het is moeilijk bij te houden allemaal.

DNA

Er is niets persoonlijker dan je DNA. Op dit moment is DNA nog niet zo populair als andere biometrische oplossingen maar daar gaat verandering in komen. Is jouw DNA al eens opgenomen in een database? Het mijne wel.

Ik heb mijn DNA ooit opgegeven voor een stamboom analyse en de kans is zeer groot dat deze uiteindelijk in een grote database zit. Sommige grote stamboom-websites en zelfs Google zijn bezig gigantische DNA-databases te bouwen.

Medische onderzoekers en de politie proberen steeds vaker toegang te krijgen tot deze publieke sites en willen deze databases vergelijken met hun eigen databases om medische en criminele mysteries op te lossen. In een artikel over "superhelden-DNA" is te lezen hoe onderzoekers 13 mensen met meer dan 400 verschrikkelijke genetische ziektes vonden maar geen symptomen vertoonden. Als je even doorleest kom je erachter dat onderzoekers het DNA van meer dan 600.000 mensen hebben onderzocht zonder dat deze mensen daarvan op de hoogte waren.

Ondertussen vraagt de politie steeds vaker voor toegang tot (privé) DNA-databases en in tenminste één geval (waarschijnlijk veel meer) zijn er al mensen opgepakt omdat hun DNA overeenkwam (geen exacte match) met een dat van een ongeïdentificeerde verdachte.

Hoe lang gaat het duren voordat ziekenhuizen verplicht zijn het DNA van pasgeboren kinderen af te nemen en deze toe te voegen aan een gecentraliseerde database? Dat wordt dan gedaan in de naam van de wetenschap en het terugdringen van ziektes, maar dat betekent wel dat iedereens persoonlijke en gevoeligste gegevens worden opgeslagen in een of meer databases. Wist je trouwens dat je tegenwoordig een draagbare DNA-analyse-machine kan kopen en een volledige analyse kan hebben binnen een uur?

Het probleem met biometrische identificatie

Dit is het probleem: De meeste biometrische identiteiten kunnen makkelijk worden gestolen en hergebruikt. We zouden geen biometrische identiteit moeten gebruiken voor serieuze of kritische dingen. Het is namelijk onmogelijk te voorkomen dat kwaadwillenden deze gegevens kunnen hergebruiken voor slechte dingen.

Geen van de instanties die jouw biometrische gegevens opslaan zijn veilig of onhackbaar. Hoe hard ze ook claimen dat wel te zijn. Als dat soort dingen worden geclaimd zijn ze aan het liegen of simpelweg onwetend. We hoeven niet eens uitgebreid te zoeken naar voorbeelden.

Kijk naar de beveiligingsdatabase van de Amerikaanse overheid. Diens database bevatte vingerafdrukken, geschiedenissen en namen van vrienden en kennissen. Elke persoon die een aanvraag indiende kwam in deze database terecht en Chinese hackers hebben tientallen miljoenen vingerafdrukken en identiteiten gestolen. Sommige van deze records dateerden van 1982.

En ik moet geloven dat Koeweit, 23andme, de FBI, ancestry.com en elke andere database die mijn DNA (of andere biometrische identiteit) voor altijd onhackbaar zal zijn?

Het is heel simpel. Als iemand je biometrische identiteit steelt kunnen zij het hergebruiken (en jij kan deze "identiteit" niet wijzigen). Het systeem waar jij op inlogt kan (en moet) een tweede authenticatie factor gebruiken. Zoiets als een pincode. Maar als je biometrische identiteit wordt gestolen is deze factor direct onbetrouwbaar... voor altijd!