heise online: Belgische ePässe ohne Autorisierung auslesbar

[eugen at leitl.org]

Diese Meldung aus dem heise online-Newsticker wurde Ihnen von
"eugen at leitl.org" gesandt. Wir weisen darauf hin, dass die
Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der
Authentizität des Absenders haben, ignorieren Sie diese E-Mail bitte.
------------------------------------------------------------------------

11.06.2007 15:42

Belgische ePässe ohne Autorisierung auslesbar

Die in Belgien zwischen Ende 2004 und Juli 2006 herausgegebene erste
Generation von Reisepässen mit integriertem RFID-Chip weisen keinerlei
Schutzfunktionen auf, um ein unautorisiertes Auslesen zu verhindern.
Wie ein belgisches Forscherteam der Catholic University of Louvain
aufdeckte, ist es auf sehr einfache Weise möglich, die auf dem Chip
gespeicherten Daten vom Besitzer in wenigen Sekunden unbemerkt
auszulesen – neben dem Foto auch die digitalisierte Unterschrift des
Passinhabers. Eigentlich sollte die von der internationalen
Luftfahrtorganisation ICAO[1] vorgeschlagene Basic Access Control (BAC)
das unautorisierte Auslesen der Daten durch kryptografische Funktionen
verhindern. 

Seit Juli 2006 gibt die belgische Regierung Reisepässe mit RFID-Chips
heraus, die durch BAC gegen das unautorisierte Auslesen geschützt
seien. Allerdings soll sich der Zugriffsschlüssel, der sich aus
Geburtstag, Ablaufdatum und Passnummer zusammensetzt und als
maschinenlesbarer Code auf dem Pass aufgebracht ist, mehr oder minder
leicht erraten lassen, da die Passnummern in steigender Folge vergeben
würden und die Gültigkeitsdauer sich auf fünf Jahre beschränke. 
Ein ähnliches Problem weisen auch die Reisepässe anderer Länder auf;
beispielsweise ist beim niederländischen Reisepass die theoretischen
Schlüssellänge von 56 Bit auf 35 Bit zusammengeschrumpft[2], da
Ausgabedatum und Passnummer dort linear zusammenhängen.

Besonders prekär an dem nun aufgedeckten Problem sei nach Angaben der
Mitglieder der Forschungsgruppe Gildas Avoine, Kassem Kalach, and
Jean-Jacques Quisquater, dass der Außenminister Karel De Gucht noch am
9. Januar vor dem belgischen Parlament behauptete, die Daten auf den
elektronischen Pässen seien sowohl durch Basic Access Control als auch
durch Active Authentication geschützt. Avoine, Kalach und Quisquater
fordern nun, dass die Reisepässe der ersten Generation zurückgezogen
werden. Für die zweite Generation fordern die Forscher, in den
maschinenlesbaren Zugriffsschlüssel Zufallszeichen einzufügen – dazu
sei aber offenbar eine Änderung des ICAO-Standards erforderlich. Zudem
könne man auch dem amerikanischen Beispiel folgen und den Pass in eine
metallene Schutzhülle stecken. 

Siehe dazu auch:

Belgian Biometric Passport does not get a pass...[3], Bericht der UCL
Crypto Group

Zum ePass, dem neuen elektronischen Personalausweis und den
Auseinandersetzungen um Ausweise mit digitalisierten biometrischen
Merkmalen siehe den Online-Artikel in c't – Hintergrund[4]:

Die Auseinandersetzung um Ausweise mit digitalisierten biometrischen
Merkmalen[5]

(dab[6]/c't)

URL dieses Artikels: 
http://www.heise.de/newsticker/meldung/90962

Links in diesem Artikel:
  [1] http://icao.int/
  [2] http://www.heise.de/security/news/meldung/69127
  [3] http://www.dice.ucl.ac.be/crypto/passport/index.html
  [4] http://www.heise.de/ct/hintergrund/
  [5] http://www.heise.de/ct/hintergrund/meldung/65898
  [6] mailto:dab at ct.heise.de

------------------------------------------------------------------------
Copyright 2007 Heise Zeitschriften Verlag