Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

Archived entries for epass

Die nächste Ausweis-Generation

Bei Heise konnte man nachlesen was sich einige Behörden für die nächste Ausweisgeneration wünschen:

Die aufgebrachte Chip-Technik soll erheblich erweitert werden. So soll die Zahl der Sensoren und Aktuatoren erhöht werden, damit die “multimodale Biometrie” den Ausweis noch enger mit seinem Inhaber verknüpft. Wie Ullrich Hamann, Chef der Bundesdruckerei in Berlin ausführte, sind mehrere Anwendungen in der Erprobung, darunter ein bereits auf der CeBIT präsentiertes Volumen-Hologramm, dass eine “Kamerafahrt” um den Kopf des Ausweisinhabers anzeigt. Zusätzlich kann ein Fingerabdrucksensor auf der Karten angebracht werden, damit der Ausweis selbst entscheiden kann, ob er vom rechtmäßigen Inhaber benutzt wird. Auch soll eine biometrische Aufzeichnung der Unterschrift eingebaut werden, die Druckstärke und Schreibschwünge misst, damit die Unterschrift wirklich fälschungssicher wird.

Ferner wird laut Hamann ein DNA-Sensor in der Ausführung als Micro-TAS-Chip (micro total analysis-System) mit subkutaner Probeentnahme bereits erprobt. Die Speicherung und DNA-Überprüfung könnte im hoheitlichen Teil des nächsten “neuen” Personalausweises die Rasterfahndung und Vorbereitung einer DNA-Reihenuntersuchung entscheidend erleichtern, hieß es unter Verweis auf Polizeiwünsche.

WTF!, Geht’s noch?!?

Weitere Sicherheitslücke beim elektronischen Personalausweis

Und noch eine Sicherheitslücke im ePerso:

Der mehrstufige Angriff beginnt mit dem Exploit, den Schejbal bereits im Januar beschrieben hatte: Das Opfer wird auf eine Phishing-Seite gelockt, die ihm einen Dienst mit eID-Funktion vorgaukelt und dazu eine Kopie der AusweisApp in JavaScript präsentiert. Gibt er dort seine PIN ein, landet diese beim Angreifer.

Durch das Plug-in lässt sich der ePerso über das Netzwerk fernsteuern. Vergrößern In der nächsten Stufe nutzt der Angreifer die Möglichkeit des OWOK-Plug-ins, per JavaScript einen Kanal zur Chipkarte zu öffnen. Darüber kann er beliebige APDUs (Application Protocol Data Units) an die Karte schicken und die Antworten lesen. Schejbal hat dazu einen Proof of Concept entwickelt, den wir in der c’t-Redaktion nachvollziehen konnten. Über das Netzwerk war es möglich, über eine modifizierte Cyberflex-Shell Kommandos an den ePerso an einem anderen PC zu senden

Der RFID-Chip im ePerso

Bei den technischen Macken der neuen Chipkarte muss vor allem auf die Haftungsregelung aufmerksam gemacht werden. Denn bei der Nutzung des Ausweises gilt der sogenannte „Anscheinsbeweis“, der im Prinzip eine Beweislastumkehr darstellt. Ist die eID-Funktion oder die digitale Signatur irgendwo im Netz aktiv, gilt damit die Identität des jeweiligen Nutzers als verifiziert. Der Beweis für gehackte PINs, TANs, elektronische Signaturen und Zertifikate muss dann also von den NutzerInnen selbst geführt werden.

Nicht nur deshalb gilt:

Am sichersten ist der elektronische Ausweis immernoch, wenn der Chip mit einem elektromagnetischen Impuls überladen wird. Rechtlich und faktisch ist das Ausweis- dokument auch ohne funktionierenden Chip vollwertig gültig, weswegen Manipulationen am Chip keinerlei Folgen haben

via freundeskreis videoclips

Finger weg vom ePass

Epic Fail.

Der “Neuen Osnabrücker Zeitung” sagte der Vorsitzende des Bundes Deutscher Kriminalbeamter, Klaus Jansen: “Der neue Personalausweis kommt mit einer Lesegerätetechnik für Onlinegeschäfte auf den Markt, bei der Kriminelle mit der Zunge schnalzen.” Er warf der Politik vor, “auf veralteten Elektroschrott zu setzen, um die Anschaffungskosten gering zu halten”. (…) Auch die Gewerkschaft der Polizei (GdP) mahnte zur Vorsicht: “Mein Rat lautet Finger weg vom neuen Ausweis, solange dessen Kinderkrankheiten nicht behoben sind”, sagte GdP-Bundesvize Bernhard Witthaut der Zeitung. Das Ausspähen von Daten werde Kriminellen nach derzeitigem Stand viel zu einfach gemacht.

Sicherheitsprobleme beim elektronischen Personalausweis

Der Chaos Computer Club (CCC) hat in Zusammenarbeit mit Schweizer Sicherheitsexperten eine praktische Demonstration der Unsicherheit des elektronischen Personalausweises geliefert. Aus der Pressemeldung:

Die Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, daß sich schon mit einfacher, für jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch der elektronische Personalausweis (ePA) ferngesteuert benutzen lassen. Die dafür ausgenutzten Sicherheitslücken werden bereits heute hunderttausendfach von Kriminellen benutzt, um etwa Kontendaten zu erlangen.

“Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen”, kommentiert CCC-Sprecher Dirk Engling. “Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen.”

Copyright © 2004–2009. All rights reserved. – Impressum

RSS Feed. This blog is proudly powered by Wordpress and uses Modern Clix, a theme by Rodrigo Galindez.