Elektronischer Personalausweis

Aus Piratenwiki
Wechseln zu: Navigation, Suche
Contact-new.svg
Elektronischer Personalausweis
Hauptseite | Aktion "E-Perso-Boykott"
EPA plakat pas zu Flyer.jpg
Hashtag: #ePerso

WICHTIG: neue AusweisAepp mit JAD decompiled: Auf Rapidshare hochgeladen, da es fuer die Wiki zu gross ist [1] ePA Interessantes im Code mit Download Link.


HINWEIS: Aktuelle Informationen zum elektronischen Personalausweis findet ihr unter datenperso.de

23.08.2010 CCC deckt Sicherheitslücken beim neuen Personalausweis auf Berlin – Der Chaos Computerclub (CCC) hat Sicherheitslücken im neuen Personalausweis gefunden.

Ab 1. November 2010 soll in Deutschland der Elektronische Personalausweis eingeführt werden und fortan den bisherigen Personalausweis ersetzen. Der Elektronische Personalausweis ist mit einem Wikipedia-logo.pngRFID-Chip ausgestattet, der zusätzlich zu den auf den Ausweis aufgedruckten Daten wie Name und Adresse sowie dem Ausweisfoto auch biometrische Daten seines Inhabers speichern soll. Die Speicherung von Fingerabdrücken beider Zeigefinger soll zunächst freiwillig geschehen.

Die eID-Funktion soll eine Identifikation auch im Internet ermöglichen. Mithilfe der Software Wikipedia-logo.pngBürgerclient und eines Lesegeräts können sich Bürger dann nach Eingabe ihrer sechsstelligen PIN gegenüber Unternehmen ausweisen. Die Übertragung der Daten soll dabei verschlüsselt erfolgen. Unternehmen könnten nur auf Ausweisdaten zugreifen, wenn sie ein Berechtigungszertifikat besäßen. Diese sollen vom Staat nur an geprüfte vertrauenswürdige Unternehmen vergeben werden. Auch Altersverifikationssysteme für jugendgefährdende Internetseiten sollen auf Basis des neuen Personalausweises entwickelt werden können. Die eID-Funktion soll zusätzlich die Identifikation für eGovernment ermöglichen.

Auf Wunsch soll auch eine Wikipedia-logo.pngqualifizierte elektronische Signatur auf dem Chip gespeichert werden können.

Allerdings hat der neue Ausweis auch deutliche Nachteile: Gerade der RFID-Chip stellt ein nicht zu unterschätzendes Sicherheitsrisiko dar, weil man ihn aus etwa zwei Metern Entfernung völlig unbemerkt auslesen kann. Ist die Verschlüsselung der Ausweisdaten erst einmal geknackt, können Kriminelle ganz einfach Tausende von Ausweisen kopieren, indem sie sich auf belebten Plätzen herumtreiben und unbemerkt Ausweisdaten auslesen, mit denen sie Kopien anlegen können.

Das Schweizer Fernsehen hat bereits bewiesen, dass Schweizer Pässe innerhalb von vier Stunden ohne Wissen des Ausweisinhabers geknackt werden können.[1] Nimmt die verfügbare Rechenleistung in den nächsten zehn Jahren so rapide zu wie in den letzten zehn Jahren, so wird sich diese Zeit bald auf wenige Minuten verkürzt haben.

Laut einem Bericht des ZDF-Magazins WISO vom Februar 2009 bestehen in den Rechnern vieler Meldebehörden Sicherheitslücken, die es Hackern erlauben, in den Rechner einzudringen, Spionagesoftware zu installieren und damit Daten zu manipulieren. So sei es möglich, manipulierte Fingerabdrücke in andere Reisepässe einzutragen.[2]

Dem deutschen IT-Sicherheitsfachmann Lukas Grunwald ist es bereits gelungen, innerhalb von zwei Wochen einen Weg zu finden, wie man die Ausweisdaten aus einem beliebigen Elektronischen Reisepass auf einen anderen RFID-Chip kopieren kann.[3][4]

Darüber hinaus stellt sich die Frage, was eine elektronische Signatur und die eID-Funktion auf einem Personalausweis zu suchen haben. Es handelt sich hier um Funktionen, die auch von einem anderen, speziell dafür hergestellten Dokument bereitgestellt werden könnten und die mit dem eigentlichen Zweck eines Personalausweises - nämlich der Feststellung der Identität einer Person bei Kontrollen - wenig zu tun haben.

Ein weiterer Kritikpunkt ist, dass die Sicherheit im Internet, die der neue Personalausweis bieten soll, trügerisch ist. Es ist zu befürchten, dass das erhöhte Sicherheitsgefühl bei der Bevölkerung zu einem sorgloseren Umgang mit Online-Shopping führt.[5] Der Chaos Computer Club (CCC) sieht im Ausweis weniger einen Sicherheitsgewinn denn eine Wirtschaftsförderungsmaßnahme. Der Elektronische Personalausweis werde der Bundesdruckerei und Herstellern von Lesegeräten ein Umsatzplus verschaffen.[6] Zusätzlich wird er bei Leuten, die dem Internet skeptisch gegenüberstehen, die Hemmschwelle zum Online-Einkauf senken und es Firmen erleichtern, mit Kunden in Kontakt zu treten.

Fraglich ist auch, ob Bürger, die sich weigern, Fingerabdrücke abzugeben, nicht von vornherein als verdächtig betrachtet werden.[7]

Darüber hinaus ist es Britischen Hackern zufolge auch möglich, elektronische Ausweisdokumente mit RFID-Chips zu verfolgen und Bewegungsprofile zu erstellen. Mit dem aktuellen Elektronischen Reisepass (ePass) sei dies bereits gelungen.[8]

Hilf mit, die Bürger darüber zu informieren, dass sie noch bis Oktober 2010 die Möglichkeit haben, einen "alten" Personalausweis zu beantragen, der dann noch 10 Jahre lang gilt.

Piratenaktionen

  • Die Info-Website wurde fertig gestellt: datenperso.de. Helfende Piraten sind immer gerne gesehen und können sich bei sirskunkalot melden
  • Im Shop des FoeBuD kann man RFID-Schutzhüllen bestellen, die bei Infoaktionen ein gutes Give-Away abgeben würden. Die billigsten kosten allerdings um 7€ das Stück.
    Kennt jemand eine günstigere Quelle? Am einprägsamsten wäre es natürlich, wenn man Piratenembleme drauf drucken würde, allerdings tut es da zur Not auch ein Aufkleber.
Wie wäre es damit, das als interaktive Bastelaktion zu machen? Ein paar Rollen Alufolie, ein paar Rollen Paketklebeband und jeder Bürger kann sich unter Anleitung selbst eine basteln (oder eine gebastelt kriegen). Kosten sind niedrig, man hat durch den "Mitmachfaktor" eher Leute am Stand ("Was ist denn da los?"-Effekt) und man kann problemlos auch für andere Formate Hüllen machen (z. B. E-Pass). Ideal wäre natürlich, eine RFID-Karte und ein Lesegerät zum Vorführen/Testen zu haben. (Hinweis: Man muss mehrere Lagen nehmen und aufpassen dass die Karte nicht herausschaut, sondern die Ränder der Hülle sogar etwas überstehen. Dann funktioniert die Abschirmung aber auch.) --Jan 00:49, 31. Mär. 2010 (CEST)
Die AG Werbemittel Bayern hat schon einmal ein Angebot eingeholt. Je nach Bestellmenge gäbe es die Schutzhüllen schon für ca. 4 Euro. -- JustThomas 12:26, 31. Mär. 2010 (CEST)
Vielleicht alternativ aus Fernost importieren? Preise wären vermutlich günstiger, oder wir bekämen mehr. --Dagobart 13:56, 9. Mai 2010 (CEST)
  • Aktionstag anfang Herbst (evtl. mit einem diesjährigen Opt-Out-Day zussammenlegen) an dem aufgerufen wird den alten Personalausweis schnell noch zu "verlieren" und einen neuen alten Perso zu beantragen.Wenn man den Ansturm auf alte Ausweise so im Nachhinein auch statistisch durch die vielen Neubeantragungen kurz vor November belegen könnte wäre die auch ein Zeichen dafür, dass der ePerso von der Bevölkerung nicht gewollt ist.

--S3sebastian 13:35, 3. Jun. 2010 (CEST)

  • Aktion E-Perso Boykott & Infostände
http://wiki.piratenpartei.de/E-Perso_Boykott

--Geekpirat 09:12, 20. Apr. 2010 (CEST)

  • Seit kurzem gibt es in Bayern einen Flyer zum ePA: http://wiki.piratenpartei.de/BY:Flyer2010 - dieser wurde auch gedruckt und geht in Kürze an die Stammtische/Infostände --WolfgangP 17:26, 8. Mai 2010 (CEST)
    Da sind aber ein paar technische Ungenauigkeiten drin. Die qualifizierte Digitale Signatur hat nichts mit eID zu tun, das sind getrennte Anwendungen. Die Chip Authentication selbst ist nicht für die Prüfung der Ausweisdaten zuständig, das wird über die Passive Authentication realisiert. Die hat ein eigenes Zertifikat (Schlüsselpaar). Auch die qualifizierte elektronische Signatur ist davon getrennt. Einem Bürger der kein QDS Zertifikat hat kann man auch keines unterschieben, auch nicht wenn man den geheimen Schlüssel des Zertifizierungsdienstleisters kennen würde, immerhin muss die Ausgabe des Zertifikats ja bei diesem protokolliert sein. --eckes
    Antwort: siehe Diskussionsseite

Vortragsfolien zur Kritik

Vortragsfolien eines Vortrags zum ePerso, den ich (Jan Schejbal, "AusweisApp-Hacker") erstellt und gehalten habe. Kurz zusammengefasst habe ich folgende Punkte angesprochen (die Liste kann gut als Übersicht über die Probleme und Kritik benutzt werden):

  • AusweisApp (obfuscated, bloatware)

Angriffe:

  • CCC-Angriff (Keylogger)
  • "AusweisApp-Hack"
    • realistisch
    • erlaubt Virus zu installieren
    • Volle Kontrolle über PC, Ausweis missbrauchbar
  • PIN-Klau ohne Malware
    • eher theoretisch

Kritik:

  • Neuer Perso unnötig
  • Unsichere Basisleser
  • QES kann über eID erschlichen werden
  • eID als Anscheinsbeweis
  • Wirtschaftsförderung/Kosten
    • Bundesdruckerei
    • Hardwarehersteller
    • Ausweis-Gebühr
    • an Firmen verschenkte Basisleser
    • teure Lesegeräte
    • QES-Zert nicht inklusive!
  • Hoffnung der Regierung auf Technologieexport
    • negativer Einfluss auf technische Entscheidungen?
  • Übertriebene Behauptunen zur Sicherheit
  • Politische Missbrauchsgefahr (Axel E. Fischer, "Vermummungsverbot")
  • Verwendung des Ausweises auf fremden Lesegeräten (CeBIT)
  • Fazit: Pfui, Finger weg.

Sicherheitsmerkmale der Personalausweiskarte

Personalausweis/elektronischer Reisepass - Sicherheitsmerkmale der Personalausweiskarte
bundesdruckerei.de (Website)

1. Identigram®: Holographisches Portrait (HOLOGRAPHIC SHADOW PICTURE, HSP®)
Das Lichtbild der Inhaberin/des Inhabers des Passes oder Personalausweises wird bei Betrachtung der Pass- oder Ausweiskarte unter flacherem Winkel rechts neben dem herkömmlichen Bild ein zweites Mal in holographischer Form sichtbar. Durch das holographische Abbildungsverfahren ergibt sich eine stilisierte Hell-Dunkel-Wiedergabe der Bildinhalte des Ausweisfotos, in die links vier Bundesadlermotive eingearbeitet sind.

2. Identigram®: 3D-Bundesadler
Eine dreidimensionale Darstellung des Bundesadlers ist unter definiertem Betrachtungswinkel in roter Farbe erkennbar.

3. Identigram®: Kinematische Bewegungsstrukturen
Die über dem herkömmlichen Lichtbild angeordneten Bewegungsstrukturen zeigen als zentrales Element einen von zwölf Sternen umgebenen Bundesadler. Bei Kippbewegung der Pass- oder Ausweiskarte von links nach rechts verwandelt sich das in der Mittelposition sichtbare Adlermotiv über eine Sechseckstruktur in den Buchstaben "D". Die Sterne werden abwechselnd größer und kleiner. Die Sechsecke oberhalb und unterhalb des Adlermotivs wandern auf und ab. Eine Kette von Sternen am rechten Bildrand geht in ein "D" über.

4. Identigram®: Makroschrift und Mikroschrift
Am linken Rand des herkömmlichen Lichtbildes bestehen die kinematischen Bewegungsstrukturen aus einem geschwungenen Makroschriftband mit dem Text "BUNDESREPUBLIK DEUTSCHLAND", an das sich links mehrere, parallel verlaufende Mikroschriftzeilen mit gleichem Text anschließen.

5. Identigram®: Kontrastumkehr
Beim Abkippen der Pass- oder Ausweiskarte erfährt die Fläche des zentralen Adlermotivs eine Kontrastumkehr, so dass der zunächst helle Adler nun dunkel in einer hellen Sechseckfläche erscheint.

6. Identigram®: Holographische Wiedergabe der maschinenlesbaren Zeilen
Auch die beiden maschinenlesbaren Zeilen der Pass- oder Ausweiskarte werden zusätzlich holographisch wiedergegeben. Sie liegen jeweils über den herkömmlichen maschinenlesbaren Zeilen.

7. Identigram®: Maschinell prüfbare Struktur
Das Identigram® enthält eine maschinell prüfbare Struktur, die neben dem maschinellen Lesen der Ausweise zur Unterstützung der Sichtkontrolle auch eine maschinelle Echtheitsprüfung ermöglicht. Diese Struktur beinhaltet keine personen- oder dokumentenbezogenen Daten.

8. Oberflächenprägung
Die Pass- bzw. Ausweiskarte ist in ein Spezial-Laminat eingebettet. Eine Sicherheitsprägung verleiht dem Dokument am rechten Rand eine reliefartig fühlbare Oberfläche. Die umgestaltete Prägung beinhaltet den Buchstaben "D", das Bundesadlermotiv und die Schriftzüge "BUNDESREPUBLIK DEUTSCHLAND" sowie "REISEPASS" bzw. "PERSONALAUSWEIS".

Unverändert sind folgende Sicherheitsmerkmale:

9. Sicherheitsdruck mit mehrfarbigen Guillochen
Guillochen sind Schutzmuster aus feinen, miteinander verschlungenen Linien, wobei sich Strukturen in verschiedenen Farben passgenau zu einem ausgewogenen Gesamtbild ergänzen. Bei Reproduktionen (z. B. als Farbkopie) werden die Linienstrukturen des Originals in punktierte Rasterstrukturen aufgelöst.

10. Laserbeschriftung
Name und Vorname der Inhaberin/des Inhabers des Passes oder Personalausweises werden am rechten Lichtbildrand durch Lasertechnik in das Ausweismaterial eingebracht.

11. Wasserzeichen
Im durchscheinenden Licht ist im Papier der Pass- und Ausweiskarte ein mehrstufiges Wasserzeichen in Form von über die Fläche verteilten stilisierten Adlern zu erkennen.
Text der Bundesdruckerei

Weitere Informationen

bitte ergänzen!

Argumentationshilfen / Pressespiegel

bitte ergänzen!

Einzelnachweise

  1. youtube.com: Der neue Schweizer Pass
  2. heise.de: Bericht: Unsichere Verarbeitung der Fingerabdrücke in Meldebehörden, 02.02.2009
  3. netzeitung.de: Elektronischer Reisepass geknackt, 04.08.2006
  4. wired.com: Hackers Clone E-Passports, 03.08.2006
  5. SZ online: Chaos Computer Club über den Pass - "Die werden jeden Quatsch unterschreiben", 23.07.2008
  6. dradio.de: Elektronische Welten - Erika Mustermann auf Messebesuch, 03.03.2010
  7. golem.de: CCC: Meldestellen werden Bürgern Fingerabdrücke abnötigen, 23.07.2008
  8. gulli.com: (Un-)Sicherheit von ePässen - neue Studie, 27.01.2010