Ein biometrischer Reisepass ist ein traditioneller Papierpass, der in einen Mikroprozessorchip und eine Antenne eingebettet ist und biometrische Informationen enthält, die zur Identifizierung des Inhabers verwendet werden. Die Kombination aus Mikroprozessorchip und Antenne ist normalerweise ein Hochfrequenz-Identifikationschip (RFID) und verwendet Funkwellen, um Informationen mit einem Lesegerät auszutauschen. Der RFID-Chip in einem biometrischen Reisepass enthält typischerweise alle auf dem physischen Dokument gedruckten Informationen sowie ein digitales Gesichtsbild. Es wird angenommen, dass diese Art von Reisepass Fälschungen verhindert und es Reisenden schneller und sicherer macht, sich zwischen Ländern zu bewegen, aber einige argumentieren, dass die Verwendung von RFID-Chips die bürgerlichen Freiheiten verletzt.
Die Entwicklung und Implementierung biometrischer Reisepässe begann ungefähr im Jahr 2003. In diesem Jahr verabschiedete die Internationale Zivilluftfahrt-Organisation einen Plan zur Einführung maschinenlesbarer Reisepässe mit RFID-Chips. Alle 188 Mitgliedsstaaten, einschließlich der Vereinigten Staaten, waren an den Plan gebunden. Der erste biometrische Reisepass der USA wurde 2005 ausgestellt.
Ab 2011 ist es schwierig und teuer, den in einen biometrischen Reisepass eingebetteten Chip zu fälschen, da Public Key Infrastructure das verwendete Datenauthentifizierungssystem ist. RFID-Chips können neben einem digitalen Gesichtsbild auch Fingerabdruck- und Irisinformationen enthalten. Diese auf dem Chip gespeicherten Bilder werden bei Identifizierungsverfahren an der Grenze oder beim Zoll mit den Merkmalen der Person verglichen, die sich als Inhaber ausgibt.
Aufgrund von Fälschungsbedenken sind alle Informationen, die der RFID-Chip eines biometrischen Reisepasses enthält, nicht öffentlich. Im Allgemeinen enthält der Chip eine auf seiner Oberfläche aufgedruckte Identifikationsnummer und eine digitale Signatur. Diese beiden Nummern werden in einer Datenbank gespeichert und mit den persönlichen Daten des Passinhabers verknüpft. Die im RFID-Chip gespeicherten Informationen können nicht verändert werden; ändern sich die Daten des Inhabers, benötigt er einen neuen Reisepass und muss ggf. eine Bearbeitungsgebühr entrichten.
Der Chip in einem biometrischen Reisepass ist mit bestimmten Schutzmaßnahmen ausgestattet, um Fälschungen zu verhindern. Einige Chips erhalten zufällige Chipkennungen, um eine Rückverfolgung zu verhindern. Basic Access Control erfordert, dass das Lesegerät einen Schlüssel bereitstellt, bevor auf Chipdaten zugegriffen werden kann, während die passive Authentifizierung verhindert, dass die Daten geändert werden. Das Klonen des Chips wird mit Active Authentication verhindert. Wenn der Chip Fingerabdruck- und Irisdaten enthält, wird Extended Access Control (EAC) für seine starke Verschlüsselung verwendet; EAC wurde im Juni 2009 in der Europäischen Union verpflichtend.
Trotz dieser Schutzmaßnahmen wurden mehrere Schwachstellen in biometrischen Passchips nachgewiesen. Marc Witteman enthüllte 2005, dass einige Passdokumentnummern vorhersehbar sind, was es einfacher macht, den Verschlüsselungsschlüssel des Chips zu erraten. EAC, Passive Authentication und Active Authentication waren auch Ziele erfolgreicher Angriffe in Großbritannien und anderen Ländern.
Einige Organisationen behaupten, dass die Chips von jedem mit der richtigen Ausrüstung drahtlos aus der Ferne gelesen werden können. Solche Sicherheitslücken haben dazu geführt, dass Datenschutzaktivisten argumentieren, dass Kontaktkarten anstelle von biometrischen Pässen ausgestellt werden sollten. Eine Kontaktkarte wird gelesen, indem sie wie eine Kreditkarte durch ein Lesegerät gezogen wird, wodurch die Möglichkeit ausgeschlossen ist, dass jemand Chipinformationen aus der Ferne liest. Andere Nationen haben die kontaktlose Smartcard-Technologie anstelle des RFID-Chips übernommen.
Ein in der Europäischen Union ausgestellter biometrischer Reisepass enthält seit 2011 digitale Bildgebungs- und Fingerabdruck-Scan-Informationen auf dem Chip, mit einigen Ausnahmen für einzelne Mitgliedstaaten. Viele andere Nationen stellen inzwischen biometrische Pässe aus, darunter Kanada, die Schweiz und Singapur. Nationen ohne die erforderlichen technologischen Fähigkeiten und Infrastrukturen werden die Umsetzung zwangsläufig verzögern.