Erinnert man sich noch, wie das
BSI und das
Bundesinnenministerium bei der Vorstellung des ePasses und des Golden Reader Tools mit Inbrunst und Stolz verkündete, wie verdammt sicher doch der RFID-Reisepass wäre und Deutschland gar als
Vorreiter und Brutstätte einer sicheren Umsetzung des RFID-Passes gefeiert wurde?
Nun, die Entwickler von
RFDump haben alle Beteiligten auf der diesjährigen Black Hat Konferenz gründlich vorgeführt und blamiert, wie man bei Wired in
Hackers Clone E-Passports und bei Heise in
Sicherheitsexperte führt Klonen von RFID-Reisepässen vor nachlesen kann. Übrigens auch bei allen anderen US-Publikationen, die sich mit Homeland Security befassen. Klonen der Daten und das Auslesen der Dokumente auf mehrere Meter Entfernung (wobei die US-Version des Passes wohl nur im Deckel eine Metallfolie zur Abwehr besitzt, also trotzdem ausgelesen werden kann) – wo bleibt dann noch das Merkmal der Fälschungssicherheit, auf dem alle RFID-Pusher die ganze Zeit herumgeritten haben? Die Fälschungssicherheit ist anscheinend eher zweitrangig. Hautpsache man kann Milliarden für die RFID-Projekte verbrennen.
Laut des Wired Artikels wird die Sicherheit nur garantiert, wenn ein Beamter der Grenzkontrollen den Pass in Augenschein nimmt – was laut letzten Meldungen eh nicht immer der Fall ist, wenn sie überhaupt ein Dokument als gefälscht erkennen – und die maschinenlesbare Zone auch kontrolliert wird, was schlicht und einfach aussagt, dass man RFID nicht braucht und sich eher zusätzliche Sicherheitsschachstellen auftun, wenn man sich nur auf RFID und vollständig
automatisierte Grenzkontrollen verlässt. Ganz zu schweigen von der naiven Vorstellung, die Voraussetzung für derartige Sicherheitsmodelle ist, Terrorkommandos kämen immer nur von außen ins Land und wenn es so wäre, würden alle brav durch die Sicherheitsschleusen marschieren.
Mal schauen, wie das BSI und das Bundesinnenministerium auf diese "goldene Himbeere" reagiert, die ihnen von Lukas Grunwald ins Nest gelegt wurde. Ich denke so ähnlich wie der Vertreter des US-Außenministeriums nach dem Motto "War ja alles nicht so gemeint":
Frank Moss, deputy assistant secretary of state for passport services at the State Department, says that designers of the e-passport have long known that the chips can be cloned and that other security safeguards in the passport design – such as a digital photograph of the passport holder embedded in the data page – would still prevent someone from using a forged or modified passport to gain entry into the United States and other countries.
"What this person has done is neither unexpected nor really all that remarkable," Moss says. "(T)he chip is not in and of itself a silver bullet.... It's an additional means of verifying that the person who is carrying the passport is the person to whom that passport was issued by the relevant government."
Moss also said that the United States has no plans to use fully automated inspection systems; therefore, a physical inspection of the passport against the data stored on the RFID chip would catch any discrepancies between the two.
Dazu auch:
RFID-Schlüssel für die eigene Haustür. Daraus:
Die RFID-Datenübertragung ist nach Herstellerangaben 40-Bit breit verschlüsselt. Den Algoritmus gab man nicht an.
Lol, so etwas wird in Zukunft auch einige spaßige Meldungen hervorbringen.
Siehe auch die Stellungnahme der "anderen Seite" in
Electronic Passport Cloning Claim Does Not Constitute Threat to Border Security and Citizen Privacy der Smart Card Alliance.
Update vom 15.12.2006:
BBC -
ePassports 'at risk' from cloning
Owner login
Erstmals ist es gelungen, die Daten des auf den neuen Reisepässen angebrachten RFID-Chips zu klonen. "'Die ganze Architektur
Tracked: Aug 05, 09:35
Either this guy is incredible or this technology is unbelievably stupidDer deutsche Sicherheitsexperte Lukas Grunwald hat im Rahmen der Blackhat-Konferenz demonstriert, dass sich die ePässe mit RFID-Chips 1:1 kopieren lassen. Grunwald meint gegenüber Wi
Tracked: Aug 06, 22:26
Ungewohnte Kritik an RFID kam aus den Reihen der Smart Card Alliance, einer Lobbygruppierung der RFID Industrie, die sich eigentlich auf ihre Fahnen geschreiben hat, die RFID Technik international voranzutreiben und vor allem ohne Verzögerung auf kritisch
Tracked: Oct 21, 17:26
Jaja, das Jahr neigt sich dem Ende zu und da möchte man doch den Schreibtisch ordentlich aufgeräumt verlassen. Macht die Bundesregierung auch, wenn sich heute das Kabinett zur letzten Sitzung im Jahr 2006 trifft. Deshalb noch schnell das Passgesetz änder
Tracked: Dec 20, 06:38