Author Topic: [ePass & ePerso... ]  (Read 18642 times)

0 Members and 1 Guest are viewing this topic.

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9463
  • Subfrequenz Board Quotation Robot
[Das Ministerium attestiert dem System weiterreichende Sicherheit... ]
« Reply #30 on: September 17, 2013, 12:27:03 PM »
http://ccc.de/system/uploads/137/original/ePA-antwort.pdf

Quote
Trügerische Sicherheit: Der elektronische Personalausweis
2013-09-15 20:52:00, henning

Auf die Frage, was uns alle die zwangsweise biometrische Vermessung für den von Sicherheitslücken betroffenen Rohrkrepierer "elektronischer Personalausweis" kostet, hat die Bundesregierung nun einige Angaben gemacht. Zu den technischen Details der Antworten nimmt der Chaos Computer Club (CCC) hiermit Stellung.

Die Marketing-Abteilungen der üblichen Industrie-Verdächtigen haben dem Bundesministerium des Innern (BMI) einige Stichworte aufgeschrieben, um kritische Nachfragen des Abgeordneten Jan Korte (Die Linke) zur Sicherheit und zu den Kosten des elektronischen Ausweises (ePA) zu parieren. Heraus kamen einige Aussagen, die wir nicht unkommentiert lassen wollen:

Das BMI behauptet, es gäbe seit der Einführung des ePA "keinerlei Vorfälle, die Zweifel an der Sicherheit des Chips und der in ihm gespeicherten Daten hervorrufen". Ob Zweifel nicht doch angebracht wären, sei dahingestellt. [6] Daß bisher keine Fälle bekanntgeworden sind, ist im Umkehrschluß kein Beweis dafür, daß der im ePA verwendete Chip nicht bereits geöffnet, reverse engineered und geklont worden wäre.

Das Reverse Engineering von Sicherheitschips ist ein ausgesprochen angesagtes Forschungs- und Interessensgebiet. Daß der im ePA verwendete Chip dran glauben wird, ist somit nur eine Frage der Zeit. Wohl nur das Desinteresse von Ausweisbesitzern und Unternehmen, die neuen Funktionen des ePA zu nutzen, kann erklären, warum bisher keine entsprechenden Ergebnisse publiziert wurden.

Das unter Internetvollprofi Hans-Peter Friedrich irrlichternde Ministerium argumentiert außerdem, die vom Ausweis übertragenen Informationen seien "mit dauerhaft wirksamen [...] Verschlüsselungsverfahren sicher geschützt". Wie "dauerhaft" ein Verschlüsselungsverfahren Daten sichert, muß nicht nur angesichts der Snowden-Enthüllungen und der bekanntgewordenen Angriffe verschiedener Geheimdienste auf die Sicherheit kryptographischer Anwendungen neu bewertet werden, sondern auch anhand der kryptographischen Forschung. [3] Die Haltbarkeit von Schlüssellängen verschiedener Verfahren erwies sich in der gesamten Geschichte der Kryptographie stets als wenig "dauerhaft".

Den Vogel schießt das BMI allerdings mit der Behauptung ab, der Bürger könne sich doch "durch regelmäßige Aktualisierung des Betriebssystems, ein aktuelles Virenschutzprogramm sowie eine Firewall schützen". Diese Behauptung ist nicht nur vielfach widerlegt, [4] sondern schiebt die Verantwortlichkeit einfach auf den Bürger ab – ganz so wie der Noch-Ministeriumschef statt Maßnahmen gegen NSA und GCHQ lieber zur Verschlüsselung der eigenen E-Mails rät.

Moderne Schadsoftware wird oft nicht von Antiviren-Programmen und anderem Snake-Oil erkannt. Und wie eine Firewall gegen einen Keylogger helfen soll, möge das BMI bitte erst einmal erklären. Daß es aber möglich ist, unentdeckbare Spionagesoftware – beispielsweise auf dem Rechner eines Beschuldigten, der mit einem Staatstrojaner ausspioniert werden soll – zu verankern, sollte das BMI mittlerweile wissen. Immerhin nimmt es sich selber vor, das "Risiko einer Entdeckung [des Staatstrojaners] durch geeignete technische Maßnahmen so gering wie möglich" zu halten. [5]

Eine bereits entlarvte Desinformation wiederholt das BMI ebenfalls: "Der Ausweis kann also bei Kenntnis der PIN nur missbraucht werden, wenn er selber zur Verfügung stünde (z. B. gestohlen wird) und die eID noch nicht im Sperrregister gesperrt wurde." Zwar ist derzeit noch kein Verfahren publiziert, wie ein ePA-Chip (zerstörungsfrei) geklont werden kann. Allerdings ignoriert das BMI folgendes praktisches Szenario: Ein Angreifer kann den kompletten Kartenleser inklusive des daraufliegenden ePA aus der Ferne übernehmen. [4], [7] Es mag sein, daß die Voraussetzungen für einen erfolgreichen breiten Angriff nur eingeschränkt vorhanden sind. Dennoch bestehen diese Risiken und sollten den ePA-Nutzern nicht weiterhin verschwiegen werden.

Das BMI erspart uns auch nicht den Blümschen Imperativ: "Die Online-Ausweisfunktion ist sicher." Das Ministerium attestiert dem System weiterreichende Sicherheit als das bloße Verwenden veränderbarer Paßwörter. In Wahrheit wird aber gerade keine Rechtssicherheit hergestellt, obwohl mit dem ePA autorisierte Transaktionen rechtlich bindend sein sollen. Immerhin soll die Online-Ausweisfunktion gerade davor schützen, was Botnetze zehntausendfach ausnutzen: Nach der Übernahme der Kontrolle eines Rechners ist dieser prinzipiell nicht mehr vertrauenswürdig. Auch bei den Angriffen gegen das Online-Banking werden oft nicht die Paßwörter geklaut, sondern die Transaktionen im Browser manipuliert. Gegen solche in Echtzeit durchgeführten Angriffe während elektronischer Transaktionen schützt der ePA eben gerade nicht. Schlimmer noch: Der Benutzer wägt sich in trügerischer Sicherheit.

Daß der Schutz gegen den "zunehmenden Identitätsdiebstahl im Internet", wie die Antwort des BMI behauptet, "wirksam" sei, ließe sich widerlegen, wenn die Technologie tatsächlich mal für irgendwas Relevantes genutzt würde. Im Rahmen einer Anhörung [2] der Internet-Enquête des Deutschen Bundestages attestierte der geladene Sachverständige des CCC, Thorsten Schröder, dem System, daß es den Identitätsdiebstahl erst begünstige. Zuvor hatte Kriminalhauptkommissar Mirko Manske (BKA) ausgeführt, daß insbesondere der Identitätsdiebstahl eine besonders große Rolle in der Internet-Kriminalität spiele. Manske bestätigte Schröders Ausführungen und bemerkte zur Manipulation von Transaktionen in Echtzeit, daß sich nicht mehr die Frage stelle, ob jemand eine Transaktion durchgeführt habe, sondern ob die getätigte Transaktion wirklich die gewesen sei, die er auslösen wollte. Durch die einmalige Identifizierung werde fälschlicherweise eine Sicherheit vorgegaukelt, so Manske.

Die Gefahr durch die Einführung des ePA (im Behördenslang: nPA) besteht nicht durch die zugrundeliegende Technik selbst, sondern durch die mangelhafte Aufklärung und Sensibilisierung der Nutzer durch das BMI hinsichtlich der Risiken, die durch diese Verfahren unausweichlich vorhanden sind. Anstatt sich der Problematik zu stellen und die Risiken durch Aufklärung zu minimieren, setzt das BMI offenbar auf staatlich behauptete IT-Sicherheit und erklärt dem Trend der Zeit folgend das ePA-Sicherheitsproblem für beendet.

Allein die Einführung des elektronischen Ausweises hat bis Ende 2011 über 16 Millionen Euro gekostet, zusätzlich zu den 41 Millionen Euro für das irreführende Online-Ausweis-Marketing. Ende des Jahres dürfen wir vielleicht erfahren, was die Gesamtkosten des ePA-Experiments sind: Am 30. Dezember soll der Rechnungsprüfungsausschuß über die Ausgaben informiert werden.

Anders als beim biometrischen Gesichtsbild ist die Abgabe der Finderabdrücke für den ePA freiwillig, genauso wie das Aktivieren der Online-Ausweisfunktion. Ein einfaches Nein genügt.

Links:

    [1] Antwort des Bundesministeriums des Innern auf die schriftliche Frage des Abgeordneten Jan Korte (Die Linke) vom 9. September (pdf)
    [2] Enquête-Kommission Internet und digitale Gesellschaft, Projektgruppe Zugang, Struktur und Sicherheit im Netz, Protokoll des öffentlichen Expertengesprächs, 28. November 2011
    [3] http://www.keylength.com/
    [4] Chaos Computer Club (2010): Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis
    [5] Siehe auch: http://www.bmi.bund.de/SharedDocs/FAQs/DE/Themen/Sicherheit/Datenschutz/Online_Durchsuchungen.html
    [6] "Die gesamte Technik ist sicher" – Besitz und Wissen: Relay-Angriffe auf den neuen Personalausweis
    [7] Basisleser weiterhin kritische Schwachstelle des elektronischen Personalausweises

Weitere Informationen: https://www.ccc.de/de/biometrie


Quelle: http://ccc.de/de/updates/2013/epa-mit-virenschutzprogramm


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9463
  • Subfrequenz Board Quotation Robot
[dass es dem Gemeinwohl dient... ]
« Reply #31 on: October 17, 2013, 11:15:05 AM »
Quote
[...] Die Speicherung digitaler Fingerabdrücke auf deutschen Reisepässen ist zulässig. Das hat der Europäische Gerichtshof (EuGH) am Donnerstag in Luxemburg entschieden (Rechtssache C-291/12). Die gängige Praxis, biometrische Daten auf dem Ausweis zu speichern, entspreche dem europäischen Recht. Auf diese Weise könne Betrug bei der Verwendung von Reisepässen verhindert werden.

Seit November 2007 werden auf neuen deutschen Pässen zwei Fingerabdrücke gespeichert – ein digitales Porträtfoto ist schon länger Pflicht. Ein Rechtsanwalt aus Bochum hatte geklagt, weil er durch die Speicherung sein Grundrecht auf den Schutz persönlicher Daten verletzt sah. Bei seinem Antrag auf Erteilung eines Reisepasses hatte er verweigert, dass seine Fingerabdrücke erfasst werden. Das Verwaltungsgericht Bochum hatte das Verfahren ausgesetzt, um eine Vorabentscheidung des Gerichtshofes der Europäischen Union einzuholen.

Dieser stellt nun fest, dass es dem Gemeinwohl dient, die illegale Einreise von Personen in die Europäische Union zu verhindern. Für den Gerichtshof sei nicht nachzuvollziehen, dass beim Erfassen von Fingerabdrücken die Grundrechte nicht geachtet würden.Es würden auch keine weiteren Ziele verfolgt, als zu verhindern, dass unbefugte Personen fälschlicherweise in das Unionsgebiet einreisen dürfen. Dem Gerichtshof seien außerdem keine anderen ausreichenden Verfahren vorgebracht worden, die einen geringeren Eingriff darstellten.

Die Fingerabdrücke würden nur im Pass selbst gespeichert, schreibt der Gerichtshof weiter, und dieser bleibe ausschließlich im Besitz seines Inhabers. Es gebe keine Rechtsgrundlage dafür, die Daten zentral zu speichern oder für andere Zwecke zu verwenden, als die illegale Einreise zu verhindern. Das Gericht folgt damit weitgehend dem Gutachten des Generalanwalts Paolo Mengozzi vom Juni.

Die Erfassung biometrischer Daten geht zurück auf eine EU-Verordnung von 2004. Aufgrund der Verordnung müssen alle EU-Staaten seit 2006 maschinenlesbare Bilder sowie später auch elektronische Fingerabdrücke in die Reisepässe ihrer Bürger aufzunehmen. Eine Verfassungsbeschwerde gegen die deutsche Umsetzung der Direktive im Passgesetz hatte das Bundesverfassungsgericht nicht zur Entscheidung angenommen. (anw)

Quote
17. Oktober 2013 11:08
Weltfremd wie immer
Oglala

Klar, die Fingerabdrücke werden ausschließlich wie vorgeschrieben nur
auf dem Pass gespeichert und nicht zentral erfasst. Und Pofalla hat
die NSA Diskussion für beendet erklärt. Und Bürger werden, nachdem
sie abgehört wurden, darüber informiert. Und der Verfassungsschutz
ermittelt auch gegen rechts. Und, und, und...

Wenn sich der Staat an die Gesetzte halten würde, könnte ich das
Urteil verstehen...

http://www.heise.de/newsticker/foren/S-Weltfremd-wie-immer/forum-267497/msg-24257515/read/




Aus: "EU-Urteil: Digitale Fingerabdrücke dürfen auf Pässen gespeichert werden" (17.10.2013)
Quelle: http://www.heise.de/newsticker/meldung/EU-Urteil-Digitale-Fingerabdruecke-duerfen-auf-Paessen-gespeichert-werden-1980581.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9463
  • Subfrequenz Board Quotation Robot
[ePass & ePerso... ]
« Reply #32 on: November 23, 2018, 09:15:46 AM »
Quote
[...]  Angreifer könnten sich mit dem neuen deutschen Personalausweis gegenüber Webanwendungen mit vergleichsweise wenig Aufwand erfolgreich mit falschem Namen ausweisen. Das klappt aufgrund einer Schwachstelle im Governikus Autent SDK, auf das Onlinedienste bei der Authentifizierung mittels Personalausweis setzen. In einem Blog-Beitrag zeigen Sicherheitsforscher von SEC-Consult die Attacke auf.

Damit man sich im Web ausweisen kann, verfügt der Personalausweis über einen RFID-Chip. Im Zusammenspiel mit einer Client-Software, beispielsweise AusweisApp 2, und einem passenden Kartenleser kann eine Webanwendung die Identität verifizieren. Diese Log-in-Variante bietet etwa das Steuerportal Elster.

Die Legitimation läuft über einen vertrauenswürdigen Server. Ist die Identität bestätigt, teilt die Client-Software der Webanwendung das Ergebnis mit. Damit Angreifer Anfragen nicht manipulieren können, signiert der Server diese.

Nun kommt die Schwachstelle im Governikus Autent SDK auf der Seite der Webanwendung ins Spiel. Dabei könnte ein Angreifer neben einer korrekt signierten in einer URL verpackten Anfrage noch eine manipulierte mitschicken. Aufgrund der Schwachstelle nickt das SDK die signierte Anfrage korrekterweise ab, verarbeitet aber die manipulierte Anfrage ohne weitere Prüfung.

So könnte sich ein Angreifer bei einem Online-Dienst authentifizieren, damit er über eine signierte Anfrage verfügt, und letztlich eine Aktion im Namen einer anderen Person ausführen. Technische Details zu manipulierten Anfragen führen die Sicherheitsforscher in ihrem Beitrag aus.

Davon sind alle Webanwendungen bedroht, die das SDK bis einschließlich Version 3.8.1 einsetzen. Die Ausgabe 3.8.1.2 ist abgesichert. SEC Consult gibt an, dass sie die Schwachstelle im Juli 2018 dem Notfall-Team CERT Bund des Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet haben. Zu diesem Zeitpunkt hat das CERT Bund den Sicherheitsforschern zufolge betroffene Anbieter kontaktiert.

Web-Admins, die die abgesicherte Version des SDKs noch nicht installiert habe, sollten dies zügig tun. Außerdem sollten Betreiber von Webanwendungen mit Authentifizierungsfunktion über den Personalausweis ihre Log-Dateien prüfen, da Übergriffe dieser Art dort Spuren hinterlassen. (des)


Aus: "Identitätsdiebstahl: Online-Ausweisfunktion vom Personalausweis angreifbar" Dennis Schirrmacher (22.11.2018)
Quelle: https://www.heise.de/security/meldung/Identitaetsdiebstahl-Online-Ausweisfunktion-vom-Personalausweis-angreifbar-4230679.html