Sicherheitslücken von RFID
Oder auch: Wenn der biometrische Pass nicht sicher ist
Da denkt man als Informatiker, die Industrie habe dazugelehrnt, dass veraltete Verschlüsselungsalgorythmen nie sicher sind. Und nun lese ich auf heise.de, dass einer dieser Schlüssel bei RFID eingesetzt wurde.
Nun, zuerstmal: Was ist RFID und was hat das mit dem Pass zu tun?
RFID ist die Abkürzung für Radio Frequency Identification, was in etwa mit Identifikation mit elektromagnetischen Wellen bedeutet. Oder auch anders ausgedrückt: Datenaustausch ohne aktives zutun des Karteninhabers. Um dem ganzen auch ein Gesicht zu geben: Ein Chip, von dem Daten gelesen werden können, ohne dass sie die Karte aus dem Portmonee nehmen müssen, z.B. ein Türöffner, ein Personalausweis, oder eben auch der neue biometrische Pass.
Auf diesem werden die Daten, die elektronisch gespeichert sind, auf einem solchen RFID-Chip abgelegt sein, damit das Auslesen einfacher geht.
Nun die Problematik der Geschichte: Eigentlich sollten die Daten zwischen Lesegerät und Chip verschlüsselt stattfinden, und nur zugelassene Lesegeräte dürften den Chip auslsen. Leider haben wohl ein Hersteller zuwenig darauf geachtet, und einen alten und schon geknackten Verschlüsselungsalgorythmus genommen. Das war im März dieses Jahres, der Hersteller hat Verbesserung (nachdem unabhängige Personen die Firma auf diesen Missstand aufmerksam machen mussten!) versprochen, und eine verbesserte Variante herausgebracht. Aus Kompatibilitätsgründen können die neuen Chips aber mit alten Lesegeräten immer noch auf diesem Weg kommunizieren. Jetzt kursiert aber im Internet schon ein Programm, welches es Personen mit Programmierkenntnissen das Auslesen von Chips auf Distanz (ca. 1-2m) relativ einfach macht. Diese ausgelesene Daten können für alles gebraucht werden, wofür der Orginalchip gedacht war.
Und der biometrische Pass, der kommen soll? Leider wissen wir nicht, was für ein Chip darin ist, und welche Verschlüsselung er hat. Aber zumindest die Daten können, wenn auch verschlüsselt, 1:1 kopiert werden. Und RFID-Chips können 1:1 kopiert werden, was dem Missbrauch Tür und Tor öffnet.
Falls sie schon einen biometrischen Pass haben, empfehle ich ihnen, ihn immer in Alufolie einzupacken, und nur bei gebrauch auszupacken. RFID-Chips senden in der Regel nicht von sich aus, d.H. dem Chip kann in der Folie nichts passieren.
Diesen Beitrag drucken
DE will sich dem europäischen Parlament widersetzen
Vor ein paar Tagen schrieb ich zu den Auswüschen im Europäischen Parlament. Laut dem Bericht auf heise.de dürften auf Deutschen Flughäfen keine solchen Scanner eingesetzt werden. Zitat:
Bundesinnenminister Wolfgang Schäuble (CDU) schloss den Einsatz der umstrittenen Geräte aus, solange die Ganzkörperscanner Fluggäste nackt abbilden. Er halte es zwar für richtig, Geräte zu entwickeln, die das Abtasten von Passagieren ersetzen: "So lange solche Bilder entstehen, werden sie nicht eingesetzt werden", kommentierte Schäuble laut dpa unter Bezugnahme auf Aufnahmen der Ganzkörperscanner, in denen Personen vollständig nackt zu sehen sind.
Meine Intepretation dieser Aussage: Sobald die Bilder verunschärft werden, und nicht mehr jedes Detail der "nackten" Person zu erkennen sei, könne man über eine Zulassung diskutieren. Nun, wer definiert: "jedes Detail"?
Diesen Beitrag drucken