Goldene Himbeere für RFID-ePässe
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Erinnert man sich noch, wie das BSI und das Bundesinnenministerium bei der Vorstellung des ePasses und des Golden Reader Tools mit Inbrunst und Stolz verkündete, wie verdammt sicher doch der RFID-Reisepass wäre und Deutschland gar als Vorreiter und Brutstätte einer sicheren Umsetzung des RFID-Passes gefeiert wurde?
Nun, die Entwickler von RFDump haben alle Beteiligten auf der diesjährigen Black Hat Konferenz gründlich vorgeführt und blamiert, wie man bei Wired in Hackers Clone E-Passports und bei Heise in Sicherheitsexperte führt Klonen von RFID-Reisepässen vor nachlesen kann. Übrigens auch bei allen anderen US-Publikationen, die sich mit Homeland Security befassen. Klonen der Daten und das Auslesen der Dokumente auf mehrere Meter Entfernung (wobei die US-Version des Passes wohl nur im Deckel eine Metallfolie zur Abwehr besitzt, also trotzdem ausgelesen werden kann) – wo bleibt dann noch das Merkmal der Fälschungssicherheit, auf dem alle RFID-Pusher die ganze Zeit herumgeritten haben? Die Fälschungssicherheit ist anscheinend eher zweitrangig. Hautpsache man kann Milliarden für die RFID-Projekte verbrennen.
Laut des Wired Artikels wird die Sicherheit nur garantiert, wenn ein Beamter der Grenzkontrollen den Pass in Augenschein nimmt – was laut letzten Meldungen eh nicht immer der Fall ist, wenn sie überhaupt ein Dokument als gefälscht erkennen – und die maschinenlesbare Zone auch kontrolliert wird, was schlicht und einfach aussagt, dass man RFID nicht braucht und sich eher zusätzliche Sicherheitsschachstellen auftun, wenn man sich nur auf RFID und vollständig automatisierte Grenzkontrollen verlässt. Ganz zu schweigen von der naiven Vorstellung, die Voraussetzung für derartige Sicherheitsmodelle ist, Terrorkommandos kämen immer nur von außen ins Land und wenn es so wäre, würden alle brav durch die Sicherheitsschleusen marschieren.
Mal schauen, wie das BSI und das Bundesinnenministerium auf diese "goldene Himbeere" reagiert, die ihnen von Lukas Grunwald ins Nest gelegt wurde. Ich denke so ähnlich wie der Vertreter des US-Außenministeriums nach dem Motto "War ja alles nicht so gemeint":
Nun, die Entwickler von RFDump haben alle Beteiligten auf der diesjährigen Black Hat Konferenz gründlich vorgeführt und blamiert, wie man bei Wired in Hackers Clone E-Passports und bei Heise in Sicherheitsexperte führt Klonen von RFID-Reisepässen vor nachlesen kann. Übrigens auch bei allen anderen US-Publikationen, die sich mit Homeland Security befassen. Klonen der Daten und das Auslesen der Dokumente auf mehrere Meter Entfernung (wobei die US-Version des Passes wohl nur im Deckel eine Metallfolie zur Abwehr besitzt, also trotzdem ausgelesen werden kann) – wo bleibt dann noch das Merkmal der Fälschungssicherheit, auf dem alle RFID-Pusher die ganze Zeit herumgeritten haben? Die Fälschungssicherheit ist anscheinend eher zweitrangig. Hautpsache man kann Milliarden für die RFID-Projekte verbrennen.
Laut des Wired Artikels wird die Sicherheit nur garantiert, wenn ein Beamter der Grenzkontrollen den Pass in Augenschein nimmt – was laut letzten Meldungen eh nicht immer der Fall ist, wenn sie überhaupt ein Dokument als gefälscht erkennen – und die maschinenlesbare Zone auch kontrolliert wird, was schlicht und einfach aussagt, dass man RFID nicht braucht und sich eher zusätzliche Sicherheitsschachstellen auftun, wenn man sich nur auf RFID und vollständig automatisierte Grenzkontrollen verlässt. Ganz zu schweigen von der naiven Vorstellung, die Voraussetzung für derartige Sicherheitsmodelle ist, Terrorkommandos kämen immer nur von außen ins Land und wenn es so wäre, würden alle brav durch die Sicherheitsschleusen marschieren.
Mal schauen, wie das BSI und das Bundesinnenministerium auf diese "goldene Himbeere" reagiert, die ihnen von Lukas Grunwald ins Nest gelegt wurde. Ich denke so ähnlich wie der Vertreter des US-Außenministeriums nach dem Motto "War ja alles nicht so gemeint":
Frank Moss, deputy assistant secretary of state for passport services at the State Department, says that designers of the e-passport have long known that the chips can be cloned and that other security safeguards in the passport design – such as a digital photograph of the passport holder embedded in the data page – would still prevent someone from using a forged or modified passport to gain entry into the United States and other countries.
"What this person has done is neither unexpected nor really all that remarkable," Moss says. "(T)he chip is not in and of itself a silver bullet.... It's an additional means of verifying that the person who is carrying the passport is the person to whom that passport was issued by the relevant government."
Moss also said that the United States has no plans to use fully automated inspection systems; therefore, a physical inspection of the passport against the data stored on the RFID chip would catch any discrepancies between the two.
Dazu auch: RFID-Schlüssel für die eigene Haustür. Daraus:
"What this person has done is neither unexpected nor really all that remarkable," Moss says. "(T)he chip is not in and of itself a silver bullet.... It's an additional means of verifying that the person who is carrying the passport is the person to whom that passport was issued by the relevant government."
Moss also said that the United States has no plans to use fully automated inspection systems; therefore, a physical inspection of the passport against the data stored on the RFID chip would catch any discrepancies between the two.
Die RFID-Datenübertragung ist nach Herstellerangaben 40-Bit breit verschlüsselt. Den Algoritmus gab man nicht an.
Lol, so etwas wird in Zukunft auch einige spaßige Meldungen hervorbringen.
von rabenhorst - Owl,
gepostet am Freitag, 4. August 2006 um 9:16
