Guymon » Chip-Karten

Digitale Privatsphäre (an US Grenzen) schützen

admin — Fri, 13 Jan 2012 06:36:38 +0000

Die EFF veröffentlicht einige Hilfestellungen für den Schutz der eigenen Privatsphäre an US Grenzen.

Auch wenn man nicht plant in die USA zu reisen ist das Dokument lesenswert, da es eine Reihe von Hinweisen gibt die nicht nur an US Grenzen die Privatsphäre schützen.

Possibly related posts (automatically generated)

RFID-Verschlüsselung geknackt

admin — Tue, 15 Nov 2011 09:35:01 +0000

Forscher der Ruhr-Universität Bochum haben Chipkarten vom Typ DESFire MF3ICD40 geknackt. Da diese werden häufig in Bezahl- und Zugriffskontrollsystemen verwendet und uns immer versprochen wird wie toll und sicher alles wird wenn die Dinge erstmal massenhaft im Einsatz sind, ist das ein netter Realitätscheck.

Die von NXP hergestellten RFID-Karten sind mittels Triple-DES gesichert, einer aus mathematischer Sicht unknackbaren Chiffre. Die Bochumer Forscher konnten den 112-Bit-Schlüssel dennoch vollständig auslesen, indem sie Veränderungen im Magnetfeld untersuchten. “Wir haben den Stromverbrauch der Chips beim Ver- und Entschlüsseln mit einer kleinen Sonde gemessen”, erklärt David Oswald, Mitglied des Teams um Professor Christof Paar.

Mit dem Schlüssel lassen sich unerkannt beliebig viele Kopien einer Karte erstellen. Der Aufwand dafür hält sich in Grenzen: “Für unsere Messungen brauchten wir eine RFID-Karte, ein Lesegerät, die Sonde und ein Oszilloskop, mit dem wir den Stromverbrauch beobachten können”, sagt Oswald. Der reine Materialpreis für die Ausrüstung betrage nur wenige Tausend Euro. Der Zeitaufwand liege bei rund sieben Stunden - detailliertes Vorwissen zu Aufbau und Charakteristika der Karte vorausgesetzt.

Possibly related posts (automatically generated)

No Related Post

Die nächste Ausweis-Generation

admin — Wed, 02 Nov 2011 09:41:41 +0000

Bei Heise konnte man nachlesen was sich einige Behörden für die nächste Ausweisgeneration wünschen:

Die aufgebrachte Chip-Technik soll erheblich erweitert werden. So soll die Zahl der Sensoren und Aktuatoren erhöht werden, damit die “multimodale Biometrie” den Ausweis noch enger mit seinem Inhaber verknüpft. Wie Ullrich Hamann, Chef der Bundesdruckerei in Berlin ausführte, sind mehrere Anwendungen in der Erprobung, darunter ein bereits auf der CeBIT präsentiertes Volumen-Hologramm, dass eine “Kamerafahrt” um den Kopf des Ausweisinhabers anzeigt. Zusätzlich kann ein Fingerabdrucksensor auf der Karten angebracht werden, damit der Ausweis selbst entscheiden kann, ob er vom rechtmäßigen Inhaber benutzt wird. Auch soll eine biometrische Aufzeichnung der Unterschrift eingebaut werden, die Druckstärke und Schreibschwünge misst, damit die Unterschrift wirklich fälschungssicher wird.

Ferner wird laut Hamann ein DNA-Sensor in der Ausführung als Micro-TAS-Chip (micro total analysis-System) mit subkutaner Probeentnahme bereits erprobt. Die Speicherung und DNA-Überprüfung könnte im hoheitlichen Teil des nächsten “neuen” Personalausweises die Rasterfahndung und Vorbereitung einer DNA-Reihenuntersuchung entscheidend erleichtern, hieß es unter Verweis auf Polizeiwünsche.

WTF!, Geht’s noch?!?

Possibly related posts (automatically generated)

Geschäft mit Daten aus dem Zahlungsverkehr

admin — Sun, 18 Sep 2011 13:48:56 +0000

Der EC-Netzbetreiber easycash wollte Daten zur Kreditwürdigkeit von bis zu 50 Millionen deutschen EC-Kartenbesitzern an Versicherungen, Telekommunikationsfirmen und Inkassounternehmen verkaufen. Gesammelt hatte der Branchenprimus diese Daten an etwa 250.000 von ihm betriebenen Kassen in Supermärkten, Baumärkten und Tankstellen. Jede Zahlung mit der EC-Karte hätte so womöglich mitentschieden, ob ein Versicherungs- oder Handyvertrag zustande kommt und zu welchen Konditionen.

via ndr

Possibly related posts (automatically generated)

Weitere Sicherheitslücke beim elektronischen Personalausweis

admin — Mon, 08 Aug 2011 11:22:24 +0000

Und noch eine Sicherheitslücke im ePerso:

Der mehrstufige Angriff beginnt mit dem Exploit, den Schejbal bereits im Januar beschrieben hatte: Das Opfer wird auf eine Phishing-Seite gelockt, die ihm einen Dienst mit eID-Funktion vorgaukelt und dazu eine Kopie der AusweisApp in JavaScript präsentiert. Gibt er dort seine PIN ein, landet diese beim Angreifer.

Durch das Plug-in lässt sich der ePerso über das Netzwerk fernsteuern. Vergrößern In der nächsten Stufe nutzt der Angreifer die Möglichkeit des OWOK-Plug-ins, per JavaScript einen Kanal zur Chipkarte zu öffnen. Darüber kann er beliebige APDUs (Application Protocol Data Units) an die Karte schicken und die Antworten lesen. Schejbal hat dazu einen Proof of Concept entwickelt, den wir in der c’t-Redaktion nachvollziehen konnten. Über das Netzwerk war es möglich, über eine modifizierte Cyberflex-Shell Kommandos an den ePerso an einem anderen PC zu senden

Possibly related posts (automatically generated)

Der RFID-Chip im ePerso

admin — Thu, 02 Jun 2011 09:12:51 +0000

Bei den technischen Macken der neuen Chipkarte muss vor allem auf die Haftungsregelung aufmerksam gemacht werden. Denn bei der Nutzung des Ausweises gilt der sogenannte „Anscheinsbeweis“, der im Prinzip eine Beweislastumkehr darstellt. Ist die eID-Funktion oder die digitale Signatur irgendwo im Netz aktiv, gilt damit die Identität des jeweiligen Nutzers als verifiziert. Der Beweis für gehackte PINs, TANs, elektronische Signaturen und Zertifikate muss dann also von den NutzerInnen selbst geführt werden.

Nicht nur deshalb gilt:

Am sichersten ist der elektronische Ausweis immernoch, wenn der Chip mit einem elektromagnetischen Impuls überladen wird. Rechtlich und faktisch ist das Ausweis- dokument auch ohne funktionierenden Chip vollwertig gültig, weswegen Manipulationen am Chip keinerlei Folgen haben

via freundeskreis videoclips

Possibly related posts (automatically generated)

Smart Card Detective

admin — Sun, 26 Dec 2010 11:45:07 +0000

Der Smart Card Detective klingt nach einem nützlichen Gerät:

The SCD is a card-size device that can intercept, monitor and modify the data of an EMV transaction (EMV is the protocol used in Europe for smartcard payments). This device and the associated software are the result of my MPhil project. The main goal of the SCD was to offer a trusted display for anyone using credit cards, to avoid scams such as tampered terminals which show an amount on their screen but debit the card another (usually larger) amount.

However, the final result is a more general and open EMV framework that can basically do anything a card or a terminal might do. That is, the SCD can act as both a card or a terminal (or even a CAP device), and it can relay, monitor and modify a transaction between a card and a terminal.

Offensichtlich war den Bänkern das ein wenig peinlich, daher haben Sie die Cambridge Universität aufgefordert das Paper aus dem Netz zu nehmen. Die Antwort ist lesenswert .

Possibly related posts (automatically generated)

No Related Post

Der neue Perso

admin — Fri, 17 Dec 2010 08:00:38 +0000

Alexander Lehmann erklärt die Vorzüge des neuen Personalausweises. Das Video gibt es beim ndr.

Possibly related posts (automatically generated)

Surveillance and Security

admin — Mon, 13 Dec 2010 21:39:32 +0000

Ich lese gerade Surveillance and Security: Technological Politics and Power in Everyday Life und finde die Prämisse des Buchs sehr spannend, und richtig:

The question is usually along the lines of “Do they work?” – meaning, are surveillance systems efficacious at preventing crime or terrorism? Although important, this type of question is really an extension of the logic of trade-offs proffered in the opening quotes, because the implication is that if systems are not sufficiently effective, then they are not worth the sacrifice or investment.
This book argues that these are the wrong questions because they obscure the real changes underway and issus at play with incorporation of surveillance technologies into public life.

Weiter:

Surveillance technologies clearly alter social behaviour and are intended to do so, usually as planned deterrents to deviant behaviour but not always with the outcomes intended. They act as forms of social engineering that legislate norms for acceptable and unacceptable behaviours and actions, and they accomplish this task by individualizing people.

Possibly related posts (automatically generated)

Finger weg vom ePass

admin — Sun, 31 Oct 2010 12:39:49 +0000

Epic Fail.

Der “Neuen Osnabrücker Zeitung” sagte der Vorsitzende des Bundes Deutscher Kriminalbeamter, Klaus Jansen: “Der neue Personalausweis kommt mit einer Lesegerätetechnik für Onlinegeschäfte auf den Markt, bei der Kriminelle mit der Zunge schnalzen.” Er warf der Politik vor, “auf veralteten Elektroschrott zu setzen, um die Anschaffungskosten gering zu halten”. (…) Auch die Gewerkschaft der Polizei (GdP) mahnte zur Vorsicht: “Mein Rat lautet Finger weg vom neuen Ausweis, solange dessen Kinderkrankheiten nicht behoben sind”, sagte GdP-Bundesvize Bernhard Witthaut der Zeitung. Das Ausspähen von Daten werde Kriminellen nach derzeitigem Stand viel zu einfach gemacht.