Meldung gesetzt von ~ Dr. Dieter Porth
---
<<< Vorheriges
---
>>> Zukünftiges
--- Weitere Links unter Ticker, Historie oder Startseite
Themenlisten: ~
fragen ~
Hochschule ~
Alltag ~
Politik ~
Berlin ~
Bookmark setzen -
⇐ Sicherheitsmängel
Rückruf der neuen Personalausweise – Wann?
09.11.2011 Beim wissenschaftlichen Informationsdienst wurde eine Pressemeldung der Ruhr-Universität von Bochum veröffentlicht. Dort ist es Forschern gelungen, den Sicherheitsschlüssel von RFID-Chips innerhalb von 7 Stunden auszulesen. Der Neue Personalausweis arbeitet mit gleicher Technik und ist damit potentiell unsicher. In einer offenen Anfrage wendet sich der Redakteur an den Innen, - Polizei- und Geheimdienstminister des Bundes mit der Frage, wann der neue Personalausweis wegen technischer Unzulänglichkeit zurückgerufen wird.
[Nachtrag -
24.11.2011Antwort des Innenministeriums auf offene Anfrage - Personalausweis ist sicher
24.11.2011Nachsatz: Kritik wurde nicht beantwortet]
Internet-Zitat: Link zur zitierten Webseite: Kontaktlink zu Informationsdienst Wissenschaft (IDW) [ Homepage ]
Die Zitierte Meldung beim IDW - Der perfekte Klon: RUB-Forscher knacken RFID-Chips
(Link zur Meldung bzw. bei der Uni Bochum – Hinweis vom 3.11.11 – Angesurft am 9.11.11) [Dr. Josef König – Pressestelle - Ruhr-Universität Bochum]
Der perfekte Klon - RUB-Forscher knacken RFID-Chips
Über das Magnetfeld zum Schlüssel
Profis halten ein Stethoskop an den Safe, um über das charakteristische Einrasten die richtige Zahlenkombination zu erkennen. Wissenschaftlern der Ruhr-Universität Bochum ist es gelungen, den Sicherheitsmechanismus einer weltweit genutzten kontaktlosen Chipkartentechnik auf ganz ähnliche Art und Weise auszuhebeln. Mittels "Seitenkanalanalyse" können die Forscher vom Lehrstuhl für Eingebettete Sicherheit (Prof. Dr.-Ing. Christof Paar) Chipkarten klonen, die millionenfach für Sicherheit sorgen sollen.
[ohne Bildzitat]
Mathematisch unknackbar
RFID-Chipkarten (Radio Frequency Identification) vom Typ DESFire MF3ICD40 werden häufig in Bezahl- und Zugriffskontroll-Systemen benutzt. Die Sicherheit beruht dabei auf Triple-DES, einer aus rein mathematischer Sicht unknackbaren Chiffre. DESFire-Karten kommen zum Beispiel in den Verkehrsbetrieben von Melbourne, San Francisco und Prag als elektronische Fahrkarten zum Einsatz. Hergestellt werden die Karten von NXP, der im Jahr 2006 ausgegliederten Halbleiter-Sparte von Philips Electronics.
Veränderungen im Magnetfeld
Als Passagier, Mitarbeiter oder Kunde weisen sich Personen aus, indem sie ihre Karte kurz vor ein Lesegerät halten. Für die notwendige Sicherheit soll der Schlüssel im Inneren des integrierten Funkchips sorgen. Doch ebenso wie der Schließmechanismus am Banktresor nicht lautlos funktioniert, hinterlässt auch dieses Verfahren deutliche Spuren. "Wir haben den Stromverbrauch des Chips beim Ver- und Entschlüsseln mit einer kleinen Sonde gemessen", berichtet David Oswald. Die Veränderungen im Magnetfeld sind so aufschlussreich, dass die Bochumer Forscher den 112-Bit Schlüssel vollständig auslesen konnten.
Geringer Aufwand, großer Schaden
Mit dem Schlüssel lassen sich unerkannt beliebig viele Kopien einer Karte erstellen. Und der Aufwand ist nicht groß: "Für unsere Messungen brauchten wir eine entsprechende RFID-Karte, ein Lesegerät, die Sonde und ein Oszilloskop, mit dem wir den Stromverbrauch beobachten können", so Oswald. Der reine Materialpreis für das Equipment betrage nur wenige Tausend Euro. Und bei detailliertem Vorwissen zu Aufbau und Charakteristika der Karte liege der Zeitaufwand für einen solchen Angriff bei rund sieben Stunden. Der Hersteller NXP hat die Lücke inzwischen bestätigt und empfiehlt seinen Kunden den Umstieg auf ein neueres Modell.
Nur unzureichend gesichert
Bereits im Jahr 2008 konnten Forscher um Prof. Dr.-Ing. Christof Paar am Lehrstuhl für Eingebettete Sicherheit der Ruhr-Universität mit Seitenkanalanalyse vermeintlich sichere Lösungen unterlaufen. Vor drei Jahren öffneten sich den Wissenschaftlern fremde Autotüren und Garagentore auf scheinbar wundersame Weise. Denn schon hier erwies sich die zum Einsatz kommende KeeLoq RFID-Technologie, der zuvor Hersteller und Kunden blind vertraut hatten, als unzureichend gesichert.
Weitere Informationen
Prof. Dr.-Ing. Christof Paar, Lehrstuhl für Eingebettete Sicherheit, Fakultät für Elektrotechnik und Informationstechnik der RUB, Tel. [Tel. aus Datenschutzgründen gelöscht]
Homepage: http://www.emsec.rub.de
(Redaktion: Jens Wylkop - Pressestelle RUB )
Offene Anfrage beim Bundesinnenministerium, welches auch für die Polizei und Geheimdienste zuständig ist
Offene Anfrage vom 9.11.2011
Link zur Veröffentlichung: http://www.buergerstimmen.de/politik/selfpolitik_207.htm
Sehr geehrter Herr Innen-, Polizei, & Geheimdienstminister,
sehr geehrte Bundesregierung,
An der Ruhr-Universtät in Bochum wurde ein technisches Verfahren entwickelt, um die geheimen Schlüssel des RFID-Chips vom Typ DESFire MF3ICD40 innerhalb von kurzer Zeit auszulesen. (http://idw-online.de/de/news448967 - Meldung vom 3.11.11) Eine analoge Technik wird auch beim Personalausweis verwendet.
Selbst wenn die RFID-Chips des Personalausweises (http://de.wikipedia.org/wiki/Personalausweis_%28Deutschland%29) derzeit noch nicht betroffen sind, so sind sie angesichts der Innovationsgeschwindigkeit im IT-Bereich nicht länger sicher.
Wann werden die neuen Personalausweise zurückgerufen und durch die bisherigen Personalausweise ersetzt?
Viel Spaß bei ihren Feiern zum Jubiläum des Mauerfalls und beim Gedenken an die Reichspogromnacht. Vielleicht wird der 9. November ja wieder geschichtsträchtig.
Mit besten Grüßen
Ihr
Dr. Dieter Porth
Nachtrag: Änderungen, Ergänzungen und/oder Gegendarstellungen
Antwort des Innenministeriums auf offene Anfrage - Personalausweis ist sicher
24.11.2011 Hinweise des Innenministeriums vom 21.11.2011 per Email
"Ihr Schreiben vom 9. November 2011 ist im Bundesministerium des Innern eingegangen.
Ihre darin enthaltenen kritischen Gedanken und Anmerkungen zum neuen Personalausweis sind hier aufmerksam zur Kenntnis genommen worden.
Wie Sie sich sicher vorstellen können, erhält das Bundesinnenministerium zahlreiche Informationen und Anregungen dieser Art.
Dennoch möchte ich Ihnen Folgendes mitteilen:
Der neue Personalausweis garantiert einen sicheren datenschutzfreundlichen sowie datensparsamen Identitätsnachweis.
Die kontaktlose Datenschnittstelle des Ausweises wird durch Eingabe eines Passwortes und PACE-Protokolls (Password Authenticated Connection Establishment) geschützt.
Die Nutzung der elektronischen Identitäts-Anwendung setzt immer eine erfolgreiche PIN-Eingabe, PACE, Terminal- und Chip-Authentisierung voraus.
Jegliche Nutzung des Ausweises erfolgt über eine verschlüsselte Kommunikation mit immer wieder neu vereinbarten Sitzungsschlüsseln.
Zu PACE:
Die Protokolle BAC und PACE stellen sicher, dass ein Auslesen des nPA-Chips nur dann möglich ist, wenn der PA physisch vorliegt. Sowohl BAC als auch PACE verhindern somit, dass der PA-Chip z.B. online über das Internet ohne Wissen des Inhabers ausgelesen werden kann. Mittelfristig plant das Bundesamt für die Sicherheit der Informationstechnik, das Protokoll PACE (Stärke der Verschlüsselung der Kommunikation zwischen Chip und Lesegerät ist bei PACE wesentlich stärker als bei BAC) über die ICAO und ISO-Gremien verpflichtend für alle elektronischen Reisedokumente festzulegen. PACE hat darüber hinaus noch weitere Funktionen beim ePA:
- Zugriff von hoheitlichen Stellen, die ein EAC-Zertifikat besitzen, auf die Authentisierungsdaten im Chip, ohne dass die Einwilligung des Inhabers
erforderlich ist (z.B. für den Zugriff auf die Adressdaten)
- Nach zwei Fehlversuchen bei der PIN-Eingabe muss der Ausweisinhaber vor dem dritten Versuch zuerst die auf dem ePA aufgedruckte
Zugangsnummer eingeben, bevor er die PIN zum dritten (und letzten) Mal eingeben kann. Dies ist z.B. sehr hilfreich gegen DoS-Attacken
auf die eID-Funktion des ePA (Sperrung der eID-Funktion durch absichtliches Senden von falschen PINs, z.B. in einem Bus).
- Die Zugangsnummer ist insb. erforderlich bei der PIN-Änderung in der PAB sowie beim Ändern der Adresse.
Der Ausweis bietet auch in sog. unsicheren Umgebungen durch Kryptografie (Verschlüsselung) Sicherheit."
Nachsatz: Kritik wurde nicht beantwortet
24.11.2011 Der Hinweis auf das PACE-Verfahren führt von der eigentlichen Kritik weg. So wie ich die Forscher verstanden habe, können sie mit physikalischen Methoden den geheimen private Schlüssel auslesen. Wenn aber der geheime private Schlüssel bekannt ist, dann kann das PACE-Verfahren ausgetrickst werden.
Der neue Personlausweis suggeriert Identitätsnachweis im Internet, der voraussichtlich (angesichts der Fortschritte im Bereich der Elektronik) schon in naher Zukunft nicht mehr gegeben sein wird.
Dr. Dieter Porth
Leserbriefe / Kommentare zur Meldung
Leserbriefe können anonym und ohne Angabe einer Emailadresse geschrieben werden. Die IP-Nr des Schreiber wird registriert. Die Redaktion behält sich vor, rassistische, sexistische, gewaltverherrlichende oder auch beleidigende bzw. Ehr-verletzende Leserbriefe zu löschen.
- Ende der Leserbriefe
Themenlinks
| Ältere Themenmeldung | Neuere Themenmeldung |
|---|---|
Berlin 08.11.2011 Media-Control |
Berlin 09.11.2011 Energiewende |
Politik, Alltag 08.11.2011 Maßzahlen |
Politik 09.11.2011 Energiewende Alltag 09.11.2011 Wohnungsnot |
Hochschule 08.11.2011 Hörsaalkino |
Hochschule 11.11.2011 Rückholbarkeit |
fragen 08.11.2010 KGS-Vorstoß |
fragen 14.04.2012 Polizeiaufgaben |
Nachrichtenticker und Querverweise
| Ticker | |
|---|---|
| Ältere Nachricht | |
|
Maßzahlen 08.11.2011 Die Bertelsmann-Stiftung hat eine Studie herausgegeben, die die Armut und die Bildungschancen der Kinder in verschiedenen Staaten der 1. Welt misst. Gut schneiden lediglich die skandinavischen Länder ab, während zum Beispiel Amerika, England und Deutschland eher schlecht wegkommen. Dies liegt nach Ansicht der Studie daran, dass in diesen Ländern die Verarmung der Armen (bzw. der Arbeitssklaven) wegen des härten Kampfes um Arbeit schon weiter fortgeschritten ist. Als Lösungsweg aus der sozialen Ungerechtigkeit wird statt einer gerechteren Verteilung von Vermögen lieber das Potemkimsche Dorf von der besseren Bildung propagiert. Gesellschaftskritik 08.11.2011 In der Meldung sind verschiedene Termine aufgelistet. Am 12.11.11 veranstaltet die Rosa-Luxenburg-Stiftung ein Seminar über den ökologischen Sozialismus. Die Antimilitaristen weisen auf das Konzert des Heeresmusikkorps am 15.11. in der Stadthalle hin und die Störuingen in den vergangenen Jahren hin. Im Juzi trifft sich am 10.11. die offene Diskussionsgruppe um über Ökoanarchismus zu diskutieren. Die Arbeitsgruppe Gesellschaftskritik beim Asta führt im Rahmen der OpenUni am 13.11 von 12-14 Uhr ein Seminar zum Thema "Proletarität und Revolutionstheorie" durch. Straßenbau 08.11.2011 Der Göttinger Kreisverband der Grünen kritisiert gemeinsam mit dem Grünen Kreisverband des Eichsfelds die Straßenbaupolitik der Bundesregierung. Sie beklagen unter anderem, dass Orte mit hoher Verkehrslast wie Kallmerode und Westerode noch lange auf Entlastung warten dürfen, während Orte wie Ferna mit geringer Verkehrsbelastung bevorzugt werden. Auch wird die Ortsumgehung bei Worbis kritisiert, die Duderstadt laut meldung dauerhaft vom Bahnverkehr abschneiden wird. Innenstadt 08.11.2011 Die CDU-FDP-Ratsgruppe begrüßt ausdrücklich das konsequente Vorgehen der Polizei am letzten Wochenende, die in der Innenstadt verstärkt Kontrollen durchführte. Gleichzeitig bewertet sie die Vorwürfe der Grünen und Linken als reinen Populismus. Die CDU begrüßt ausdrücklich die Signale der Göttinger Grünen und Linken zu den Themen Alkoholverkaufsverbote und Sperrzeiten als Fortschritt. Media-Control 08.11.2011 In der Pressemeldung zu den aktuellen Kino-Charts war sich die Media-Control nicht sicher, ob am zurückliegenden Wochenende mehr Zuschauer in "Paranormal Activitty 3" oder in "Tim & Struppi" gegangen sind. Beide Filme kamen auf rund 266k Zuschauer. Der drittplatzierte Film "Real Steel" brachte es immerhin noch auf 229k Zuschauer. Schiller-Lichtspiele 08.11.2011 Das Kino Schiller Lichtspiele zeigt in der Woche vom 10.11. bis 16.11.11 den Weltuntergangsfilm "Melancholia" und die 3D-Comic-Verfilmung "Die Abenteuer von Tim & Struppi - Das Geheimnis der 'Einhorn'". Auch erstrahlt in Hann. Münden auf der Leinwand der bundesweit neu startende griechisch-mythologische Actionfilm "Krieg der Götter" - natürlich in 3D-Qualität. | |
| Neuere Nachricht | |
|
Castorproteste 09.11.2011 Das Anti-Atom-Forum übergab eine Resolution an den Polizeipräsidenten, wonach die Polizei bei dem Castortransport mit Blick auf die persönlichen Gesundheitsgefahren die Arbeit verweigern sollte. Der Polizeipräsident sagte, dass die Polizei an Recht und Gesetz gebunden sei. Gleichzeitig kritisierte er Aufrufe in unbenannter "Presse", dass zum Beispiel Steine als Distanzwaffen gegen Polisten einzusetzen seien. In ähnlicher Weise argumentierte der Personalrat. Die Anti-Atom-Initiative sah sich nachträglich von der Polizeimeldung überrumpelt, weil die Pressemeldung der Polizei schon vor dem Gespräch veröffentlicht wurde. Der Polizeipräsident outet sich damit nach Ansichte der Anti-Atominitiative als "sturer Hund". Weiter kritisiert die Initiative, dass Polizeibeamte in Zivil ihre Veranstaltungen bespitzeln würden, wobei dies nach Ansicht der Anti-Atom-Initiative eindeutig einen Rechtsbruch darstellt. Um die Rechtschaffenheit der Göttinger Polizei zu dokumentieren, wurde hier auch eine Meldung der Polizei beigefügt. Danach fanden sich, nachdem ein Göttinger Journalist ein Auskunftsbegehren gestellt hat, entgegen einer ersten Aussage in den Datenbeständen der Polizei doch noch Daten, die die Polizei umgehend löschte. Die nachträgliche Löschung machte aus der früheren Antwort eine Wahrlüge. Eine Übergabe der gelöschten Daten fand laut Meldung nicht statt, so dass die Redaktion die Löschung nach bisherigen Kenntnisstand als Indiz zur Vertuschung einer illegalen Bespitzelung durch die Göttinger Polizei wertet. Tagesordnungen 09.11.2011 In der kommenden Woche haben der Ortsrate in Herberhausen, in Weende sowie der Ostdörfer bei Groß Ellershausen ihre konstituierende Sitzung. Überall werden die entsprechenden Ortbürgermeister gewählt, die Posten besetzt. Für Weende wollen SPD und Grünen unter anderem prüfen lassen, ob man im Altdorf das Abbrennen von Feuerwerken verbieten kann. Gaunertrojaner 09.11.2011 In Göttingen sollen die Kartenlesegeräte an mehreren Kassen manipuliert worden sein, wobei die Polizei laut Meldung nicht genau weiß, welche Änderungen genau vorgenommen wurden. So konnten Gauner Informationen für die Karten der Kartenzahler im Supermarkt bekommen. Die Abbuchungen erfolgten anschließend über die USA und Mexiko. Bislang haben sich sechzig Geschädigte gemeldet. Die Polizei rechnet mit weiteren Anzeigen. Energiewende 09.11.2011 Zwei Göttinger wirkten in Berlin beim Bürgerdialog „Energietechnologien für die Zukunft“ mit. Sie arbeiteten dort mit neunzig anderen Bürgern zusammen und haben zum feierlichen Abschluss der Veranstaltung der Bundesforschungsministerin Annette Schavan einen Bürgerreport überreicht, der Handlungsempfehlungen für die Politik enthielt. Die zentrale Forderung war, dass das Allgemeine Wissen um regenerative Energien, die Subventionssummen und auch die gesetzlichen Rahmenbedingungen zu verbessern wären. Wohnungsnot 09.11.2011 Aus der Wohnungsnot wegen der doppelten Abitursjahrgänge versuchen Betrüger Kapital zu schlagen. Sie inserieren in Internet-Immobilienbörsen und wollen dort lukrative aber nicht existente Wohnungen vermieten. Sie verlangen im Voraus die Zahlung von einer Mietkaution, um dann Mietvertrag und Wohnungsschlüssel zuzusenden. Dass die Wohnungsnot ein Problem ist, zeigt der als weitere Meldung angefügte Aufruf der Universität. Wer es ehrlich meint, kann gern seine zu vermietende Wohnung oder sein zu vermietendes Zimmer der Wohnungsvermittlung der Universität bekannt geben. |