RFID im Reisepass
Die momentane Situation rund um RFID-Chips mit biometrischen Daten in unseren Reisepässen ist schnell zusammengefasst:
1. RFID bringt uns keinen Sicherheitsgewinn. Die amateurhafte Verschlüsselung, die effektiv nur 35 Bit beträgt, wurde längst geknackt. Die RFID-Chips können somit mit etwas technischem Know-How ohne weiteres ausgelesen und geklont werden:
Der Schlüssel hat eigentlich 50 Bit, setzt sich aber unter anderem aus Zahlen wie Passnummer, Ablaufdatum, Geburtsdatum zusammen. Aus den 50 Bit Schlüsselstärke werden somit (laut einigen Experten) noch 35 Bit effektive Schlüsselstärke. Das sind etwa 35 Milliarden Möglichkeiten. Wenn ein Computer etwa nur 15.000 Knack-Versuche pro Sekunde macht, dann ist der Schlüssel im Durchschnitt nach 13 Tagen geknackt.
Die 15.000 Versuche stammen allerdings von einem Passwort-Cracker für eine ganz andere Anwendung (John the Ripper auf einem Darwin 7.1 Power Mac G4 Dual 1.42GHz) und laut den Hackern die die niederländischen Reisepässe angegriffen haben, dauerte es bei den Reisepässen nur etwa 2 Stunden (4,7 Millionen Versuche pro Sekunde) ...
Quelle: weblog.christoph-probst.com
Die Dokumente, die dazu nötig sind, finden sich alle im Internet. Es gibt keinen Sicherheitsgewinn.
2. Den datenschutzrechtlichen Bedenken bleiben bestehen. Der passive RFID-Chip kann auch unberechtigt und unbemerkt ausgelesen werden. Staaten, die es mit dem Datenschutz und Rechtsstaat nicht so genau nehmen, wird nun die Möglichkeit gegeben sehr einfach biometrische Zentraldatenbanken zu erstellen.
3. Die zusätzlichen Kosten haben wir natürlich auch zu tragen, nicht nur über Steuern, sondern auch über höhere Gebühren für die Pässe.
Das ganze Ausmaß der Katastrophe fasst Wolfgang Rudolph sehr treffend in der aktuellen Ausgabe (Sendung Nr. 5) des ComputerClub 2 zusammen: Download (Ogg Vorbis, ca. 25,5 MB, zweiter Beitrag ab 10:16).
Was tun? Über die Schutzhülle für den RFID-Pass vom FoeBuD, der gegen unberechtigten Auslesen des Passes schützt, hatte ich ja schon berichtet. Doch noch eine andere interessante Information hat Wolfgang Rudolph auf Lager: Wenn der Pass "aus Versehen" in die Mikrowelle gerät, so ist der RFID-Chip kaputt - der Pass bleibt trotzdem weiterhin gültig.
1. RFID bringt uns keinen Sicherheitsgewinn. Die amateurhafte Verschlüsselung, die effektiv nur 35 Bit beträgt, wurde längst geknackt. Die RFID-Chips können somit mit etwas technischem Know-How ohne weiteres ausgelesen und geklont werden:
Der Schlüssel hat eigentlich 50 Bit, setzt sich aber unter anderem aus Zahlen wie Passnummer, Ablaufdatum, Geburtsdatum zusammen. Aus den 50 Bit Schlüsselstärke werden somit (laut einigen Experten) noch 35 Bit effektive Schlüsselstärke. Das sind etwa 35 Milliarden Möglichkeiten. Wenn ein Computer etwa nur 15.000 Knack-Versuche pro Sekunde macht, dann ist der Schlüssel im Durchschnitt nach 13 Tagen geknackt.
Die 15.000 Versuche stammen allerdings von einem Passwort-Cracker für eine ganz andere Anwendung (John the Ripper auf einem Darwin 7.1 Power Mac G4 Dual 1.42GHz) und laut den Hackern die die niederländischen Reisepässe angegriffen haben, dauerte es bei den Reisepässen nur etwa 2 Stunden (4,7 Millionen Versuche pro Sekunde) ...
Quelle: weblog.christoph-probst.com
Die Dokumente, die dazu nötig sind, finden sich alle im Internet. Es gibt keinen Sicherheitsgewinn.
2. Den datenschutzrechtlichen Bedenken bleiben bestehen. Der passive RFID-Chip kann auch unberechtigt und unbemerkt ausgelesen werden. Staaten, die es mit dem Datenschutz und Rechtsstaat nicht so genau nehmen, wird nun die Möglichkeit gegeben sehr einfach biometrische Zentraldatenbanken zu erstellen.
3. Die zusätzlichen Kosten haben wir natürlich auch zu tragen, nicht nur über Steuern, sondern auch über höhere Gebühren für die Pässe.
Das ganze Ausmaß der Katastrophe fasst Wolfgang Rudolph sehr treffend in der aktuellen Ausgabe (Sendung Nr. 5) des ComputerClub 2 zusammen: Download (Ogg Vorbis, ca. 25,5 MB, zweiter Beitrag ab 10:16).
Was tun? Über die Schutzhülle für den RFID-Pass vom FoeBuD, der gegen unberechtigten Auslesen des Passes schützt, hatte ich ja schon berichtet. Doch noch eine andere interessante Information hat Wolfgang Rudolph auf Lager: Wenn der Pass "aus Versehen" in die Mikrowelle gerät, so ist der RFID-Chip kaputt - der Pass bleibt trotzdem weiterhin gültig.
Hackmeck - 30. Aug, 01:54
3 Kommentare - Kommentar verfassen - 0 Trackbacks
Tim (anonym) - 30. Aug, 06:57
Im Microwellengerät verbraten (10 Sekunden genügen) und bei der Kontrolle Unwissen vortäuschen.
Stefan (anonym) - 31. Aug, 12:07
Mikrowelle
Wer die Idee mit der Mikrowelle durchführt, ist selber Schuld, wenn er dann bei Kontrollen am Flughafen, etc. unverhältnismäßig lange aufgehalten und intensiv kontrolliert wird. Wer sich gerne in Schwierigkeiten bringen möchte, soll das bitte schön machen.
Die Schutzhülle, die unberechtigtes Auslesen verhindert sollte für paranoide Menschen vollkommen ausreichen.
Wovor haben die paranoiden Menschen eigentlich Angst? Warum sollte es für den einzelnen gefährlich sein, wenn biometrische Merkmale gespeichert werden? Damit kann man außer zur sicheren Identifizierung sowieso nichts anfangen und das kann nur im Sinne jedes Menschen sein.
Es ist ganz ähnlich wie mit der Videoüberwachung an öffentlichen Orten. Die Videokamera verhindert nach jüngsten Untersuchungen villeicht keine Straftaten, erleichtert aber die Aufklärung.
Die Kritiker sämtlicher Maßnahmen, die die Sicherheit erhöhen sollen, machen auf mich immer den Eindruck, als hätten sie selbst etwas zu verbergen. :-)
Im Ernst, es kann nur im Sinne der Allgemeinheit sein, dass Straftaten möglichst erschwert werden oder die Aufklärung erleichtert wird. Der gläserne Bürger ist das Schreckgespenst der modernen Welt. Niemand möchte solche Verhältnisse, aber wer möchte Opfer einer Straftat werden? Es sollte sinnvolle Kompromisse geben, ohne dass immer sofort paranoide Hysteriker wegen jeder Sicherheitsmaßnahme anfangen zu weinen.
Die Schutzhülle, die unberechtigtes Auslesen verhindert sollte für paranoide Menschen vollkommen ausreichen.
Wovor haben die paranoiden Menschen eigentlich Angst? Warum sollte es für den einzelnen gefährlich sein, wenn biometrische Merkmale gespeichert werden? Damit kann man außer zur sicheren Identifizierung sowieso nichts anfangen und das kann nur im Sinne jedes Menschen sein.
Es ist ganz ähnlich wie mit der Videoüberwachung an öffentlichen Orten. Die Videokamera verhindert nach jüngsten Untersuchungen villeicht keine Straftaten, erleichtert aber die Aufklärung.
Die Kritiker sämtlicher Maßnahmen, die die Sicherheit erhöhen sollen, machen auf mich immer den Eindruck, als hätten sie selbst etwas zu verbergen. :-)
Im Ernst, es kann nur im Sinne der Allgemeinheit sein, dass Straftaten möglichst erschwert werden oder die Aufklärung erleichtert wird. Der gläserne Bürger ist das Schreckgespenst der modernen Welt. Niemand möchte solche Verhältnisse, aber wer möchte Opfer einer Straftat werden? Es sollte sinnvolle Kompromisse geben, ohne dass immer sofort paranoide Hysteriker wegen jeder Sicherheitsmaßnahme anfangen zu weinen.
Hackmeck - 31. Aug, 13:15
"Ich hab doch nichts zu verbergen"
Ich hab etwas zu verbergen, nämlich meine Privatsphäre, z.B. wann ich wo war. All das lässt sich z.B. über meinen Fingerabdruck feststellen, der in diesem Reisepass mit biometrischen Merkmalen gespeichert ist.
Warum? Zunächst handelt es sich dabei um ein Recht, das auch im Grundgesetz als "Recht auf informationelle Selbstbestimmung" verankert ist - aus gutem Grund. Es handelt sich dabei um ein sog. "Abwehrrecht" gegenüber dem Staat, das geschaffen wurde als man die Lehren aus den vielen absolutistischen Regimen des 20. Jahrunderts zog. Diese werden nun nach und nach abgebaut. Ist das so schlimm? Sind unsere Demokratien nicht schon fest genug verankert? Ist es nicht sogar - wie die taz meint - so, dass die Zustimmung der Bevökerung zu solchen Maßnahmen das Vertrauen in unsere Demokratie und unseren Rechtsstaat beweist?
Nunja: 1. Wird der Rechtsstaat auch gerade mitaufgelöst, siehe z.B. Umkehr der Beweislast im Bereich des Ausländerstrafrechts.
2. In einer der ältesten Demokratien und einem der ältesten Rechtsstaaten auf Erden, der mal als Staat mit den am weitgehendesten definierten Verfassungsrechten galt, werden zur Zeit Tausende Menschen versteckt und gefangengehalten - ohne Anwalt, ohne Verfahren, ohne Kontakt zu Außenwelt. Ich rede von den USA. Wie schnell sich die Demokratie zur Demokratur wandeln kann, können wir dort zur Zeit live erleben. Und auch anderswo auf der Welt sind diktatorische Strömungen durch die Angst vor terroristischer Bedrohung wieder auf dem Vormarsch: Putins Russland z.B..
Jede Information, die du von dir preisgibst, kann im Zweifel gegen dich verwendet werden. Selbst in äußerst stabilen demokratischer Phasen wie die 1980er Jahre der BRD, wird von denjenigen, die Informationen besitzen, Missbrauch mit diesen betrieben. So wurden beispielsweise - von der unionsgeführten Bundesregierung angewiesen - zahlreiche Verfassungschützer dazu eingesetzt, grüne Bundespolitiker zu beobachten.
Jeder Mensch, der für sich den Anspruch hat, politisch interessiert und engagiert zu sein, die Mächtigen zu kontrollieren und zu kritisieren - und zwar heute und in Zukunft, was auch immer diese bringen mag - muss meiner Meinung nach ein Bewusstsein für die Preisgaben seiner Daten besitzen.
Im Ernst, es kann nur im Sinne der Allgemeinheit sein, dass Straftaten möglichst erschwert werden oder die Aufklärung erleichtert wird.
Und genau das ist ja, wie ich oben ausführte, nicht mal der Fall. 35 Bit effektive Verschlüsselung sind ein Witz, selbst unser eBay-Passwort wird mit 128-Bit-Verschlüsselung übertragen. Dabei steigt der Aufwand zum Knacken des Schlüssels übrigens nicht linear mit der Schlüsselbreite, sondern überexponentiell. Wenn man - wie oben ausgeführt - den RFID-Chip mit einem Standard-PC und Software von der Stange ("Jack the Ripper") klonen kann, wo ist da bitte der Sicherheitsgewinn?
Mit dem oben genannten Argument sollte man aber auch vorsichtig umgehen: Letztlich kann man damit eine Videoüberwachung jedes einzelnen Fleckchen Erdes fordern - inkl. der Schlafzimmer aller Menschen.
Warum? Zunächst handelt es sich dabei um ein Recht, das auch im Grundgesetz als "Recht auf informationelle Selbstbestimmung" verankert ist - aus gutem Grund. Es handelt sich dabei um ein sog. "Abwehrrecht" gegenüber dem Staat, das geschaffen wurde als man die Lehren aus den vielen absolutistischen Regimen des 20. Jahrunderts zog. Diese werden nun nach und nach abgebaut. Ist das so schlimm? Sind unsere Demokratien nicht schon fest genug verankert? Ist es nicht sogar - wie die taz meint - so, dass die Zustimmung der Bevökerung zu solchen Maßnahmen das Vertrauen in unsere Demokratie und unseren Rechtsstaat beweist?
Nunja: 1. Wird der Rechtsstaat auch gerade mitaufgelöst, siehe z.B. Umkehr der Beweislast im Bereich des Ausländerstrafrechts.
2. In einer der ältesten Demokratien und einem der ältesten Rechtsstaaten auf Erden, der mal als Staat mit den am weitgehendesten definierten Verfassungsrechten galt, werden zur Zeit Tausende Menschen versteckt und gefangengehalten - ohne Anwalt, ohne Verfahren, ohne Kontakt zu Außenwelt. Ich rede von den USA. Wie schnell sich die Demokratie zur Demokratur wandeln kann, können wir dort zur Zeit live erleben. Und auch anderswo auf der Welt sind diktatorische Strömungen durch die Angst vor terroristischer Bedrohung wieder auf dem Vormarsch: Putins Russland z.B..
Jede Information, die du von dir preisgibst, kann im Zweifel gegen dich verwendet werden. Selbst in äußerst stabilen demokratischer Phasen wie die 1980er Jahre der BRD, wird von denjenigen, die Informationen besitzen, Missbrauch mit diesen betrieben. So wurden beispielsweise - von der unionsgeführten Bundesregierung angewiesen - zahlreiche Verfassungschützer dazu eingesetzt, grüne Bundespolitiker zu beobachten.
Jeder Mensch, der für sich den Anspruch hat, politisch interessiert und engagiert zu sein, die Mächtigen zu kontrollieren und zu kritisieren - und zwar heute und in Zukunft, was auch immer diese bringen mag - muss meiner Meinung nach ein Bewusstsein für die Preisgaben seiner Daten besitzen.
Im Ernst, es kann nur im Sinne der Allgemeinheit sein, dass Straftaten möglichst erschwert werden oder die Aufklärung erleichtert wird.
Und genau das ist ja, wie ich oben ausführte, nicht mal der Fall. 35 Bit effektive Verschlüsselung sind ein Witz, selbst unser eBay-Passwort wird mit 128-Bit-Verschlüsselung übertragen. Dabei steigt der Aufwand zum Knacken des Schlüssels übrigens nicht linear mit der Schlüsselbreite, sondern überexponentiell. Wenn man - wie oben ausgeführt - den RFID-Chip mit einem Standard-PC und Software von der Stange ("Jack the Ripper") klonen kann, wo ist da bitte der Sicherheitsgewinn?
Mit dem oben genannten Argument sollte man aber auch vorsichtig umgehen: Letztlich kann man damit eine Videoüberwachung jedes einzelnen Fleckchen Erdes fordern - inkl. der Schlafzimmer aller Menschen.
Trackback URL:
http://fuckup.twoday.net/stories/2598863/modTrackback