Pass-Chips und deren möglicher Missbrauch

Owl Content Schon etwas älter, aber trotzdem interessant: Biometrie/BSI-Vortragsprogramm auf der CeBIT 2005. Speziell interessant die Aussagen zur Authorisierung der Lesegeräte am Pass-Chip:

Der ICAO-Standard schlägt gegen nicht authorisiertes Auslesen optional einen passiven Authentifikationsmechanismus vor (Basic Access Control). Kügler schätzte dessen Effektivität als nur gering ein. Für das Gesichtsbild sei Basic Access Control insofern jedoch geeignet, da es sich hier um nur schwach sensitive Daten handeln würde.

Das ist der Teil, um den es derzeit geht beim Pass - das Authentifizieren des Lesegerätes beim Pass über die Daten der maschinenlesbaren Zone. Dieser Weg ist gegen Kopieren des Schlüssels nicht geschützt - wenn der einmal ermittelt ist, kann er benutzt werden um einen Pass zu erkennen. Auch aus grösserer Entfernung.

Der kontaktlose Chip im Paß nach ISO 14443 wird (natürlich) maschinenlesbar und digital signiert sein sowie die biometrischen Daten enthalten. Als Auslesedistanz gab Kügler einige Zentimenter an, wies jedoch darauf hin, daß mit heutiger Technik ein Auslesen auf mehrere Meter Entfernung möglich sei. Um einen Kopierschutz zu gewährleisten, soll sich der RFID-Chip mittels eines individuellen Schlüsselpaars, das ebenfalls signiert wird, aktiv authentisieren.

Wichtig hier: der Kopierschutz wird durch eine aktive Zweiseitige Authentifizierung erledigt. Ein Pass könnte also auch mit gespeichertem Schlüssel nur dann ausgelesen werden, wenn er aktiv beteiligt ist. Die dann übermittelten Schlüssel sind sozusagen auf die jeweilige Kommunikation gebunden - denn sowohl Pass als auch Lesegerät hätten ein jeweils eigenes Schlüsselpaar. Dadurch sind auch Angriffe über Sniffing der Authentifizierung wesentlich komplizierter, da man zwei Schlüsselpaare knacken muss um mit den Daten etwas anfangen zu können. Leider ist aber derzeit eben nur das Basic Verfahren angedacht, also nur die Schlüssel pro Lesegerät. Und es kommt noch schlimmer:

Den Fingerabdruck hingegen schätzte Kügler als stark sensitives Merkmal ein. Daher müsse der Zugriffsschutz durch einen aktiven Authentifikationsmechanismus (Extended Access Control) gewährleistet werden. Im ICAO-Standard wurde dieser nicht definiert, ist damit also nur für nationale Zwecke oder auf bilateraler Ebene verwendbar.

Otto Orwell träumt also davon Fingerabdrücke zu speichern - das Verfahren, wie diese aber gesichert werden müssten, ist noch garnicht definiert und standardisiert. Eine solche Speicherung wäre also auch nicht übergreifend Nutzbar. Ebenfalls wichtig ist die Sicherstellung, das nur authorisierte Geräte lesen dürfen. Dazu bekämen alle Lesegeräte ein Schlüsselpaar, welches von einer Zentralstelle signiert sein muss. Jeder der schom mal mit einer Zertifizierungsstelle zu tun hatte weiss, das es zwingend eine Sperrliste geben muss - einen Weg, wie man Zertifikate zurückziehen kann. Gerade auch bei Pass-Lesegeräten wäre das wichtig, wenn diese z.B. entwendet würden (nicht lachen, auch an Grenzeinrichtungen verschwinden Geräte - hey, es sind schon ganze Röntgenschleusen aus Flughäfen geklaut worden). Dummerweise sehen das die Experten anders: >n der nachfolgenden kurzen Diskussion wurde die Frage gestellt, ob ein Mechanismus vorgesehen sei, die Schlüssel der Lesegeräte zurückzuziehen (Revokation). Kügler gab an, daß dies bisher nicht der Fall sei. Es sei jedoch momentan in der Diskussion, die Gültigkeit der Schlüssel zeitlich zu begrenzen, dies wäre aber noch nicht entschieden.

Hallo? Also es gibt keine Möglichkeit einen Schlüssel eines Gerätes zurückzuziehen. Und es gibt - derzeit - keinen Ablauf eines Schlüssels. Wenn jemand also an ein Lesegerät herankommt, hat er den Schlüssel des Gerätes und dessen Technik zur Verfügung um jeden Pass in der Nähe auszulesen. Ohne Möglichkeit ein missbräuchlich eingesetztes Gerät wieder los zu werden. Das ist wie ein Computersystem, bei dem man keine Möglichkeit der Passwortänderung hat und keine Möglichkeit einen User - selbst bei nachweislichem Fehlverhalten - zu löschen.

Und nochmal, die erweiterte Prüfung (und nur für die ist wohl diese Schlüsseltechnik plus Zertifikat im Lesegerät gedacht) ist nur ein Vorschlag (der möglicherweise wegen des mangelnden Interesses der Amerikaner an der ganzen Sache garnicht umgesetzt wird):

Den Vorschlag des BSI bezüglich der Extended Access Control beschrieb Kügler im Anschluß. Demnach wird für jedes Lesegerät ein asymmetrisches Schlüsselpaar mit einem korrespondierenden, verifizierbaren Zertifikat erzeugt (Berechtigung nur pro Lesegerät). Daher muß der Chip für die Extended Access Control Rechenleistungen erbringen können. [...] Innerhalb der EU ist der Zugriffsschutz durch die Extended Access Control derzeit nur als Vorschlag zu sehen, sagte Kügler. Ein weiterer (namentlich unbekannter) BSI-Kollege pflichtete ihm bei und fügte hinzu, daß von seiten der US-Amerikaner ohnehin kein Fingerabdruck als biometrisches Merkmal auf dem Chip gefordert werde, ihnen würde vielmehr das digitale Gesichtsbild genügen. Lediglich inneramerikanisch sei eine digitale Aufnahme des Fingerabdrucks geplant. Aus diesem Grund sei also die technische Umsetzung der Extended Access Control nicht dringlich.

Nur in diesem Vorschlag ist es überhaupt vorgesehen das die Geräte eindeutige Schlüsselpaare und darauf beruhende Zertifikate erhalten. Warum das ganze jetzt so kritisch ist? Nunja, die Diskussion konzentriert sich ständig nur auf die Daten und das Auslesen der Daten - aber die sind garnicht mal so kritisch. Denn selbst die gespeicherten Fingerabdrücke sind ja nicht die kompletten Fingerabdrücke zwecks Rekonstruktion, sondern nur die relevanten Kenndaten zwecks Wiedererkennung (wobei auch da noch die Diskussion aussteht ob diese gespeicherten Kenndaten wirklich eindeutig sind - gerade in dem globalen Rahmen von dem wir reden - oder ob da nicht deutlich mehr Daten gespeichert werden müssen als bei einem rein nationalen Ansatz).

Was aber immer möglich ist, wenn wir von solchen Pässen reden: die Authentifizierung und Identifikation einer Person. Eine Zweiwegeauthentifizierung kann alleine als Authentifizierung schon sagen wer in meiner Nähe ist. Habe ich z.B. für das vereinfachte Verfahren einen Key eines Passes gespeichert, kann ich mit diesem Key dann jederzeit berührungslos feststellen, ob dieser Pass in der Nähe ist - natürlich nur im Rahmen der Sicherheit der kryptografischen Algorithmen, aber das wäre schon eine ziemlich sichere Bestätigung, denn das zwei Pässe auf den gleichen Key eine Authentifizierung erlauben wäre schon eine ziemliche Pleite des ganzen Verfahrens und ist hoffentlich von den Entwicklern ausgeschlossen worden.

Ich kann also mir die Keys von Personen besorgen - für das vereinfachte Verfahren reicht dazu das was in der maschinenlesbaren Zeile des Passes steht - zum Beispiel einfach durch simple mechanische Wege wie Einbruch, Taschendiebstahl, Social Engineering, etc. - und die speichern. Dann kann ich ein Lesegerät damit füttern das z.B. an einem definierten Bereich einfach mehrere Passdaten die mich interessieren bei Durchschreiten einer Schleuse - z.B. eine Drehtür mit vorgegebener Drehzahl ist da sehr praktisch - prüfen. Nur der Pass mit den entsprechenden Daten in der maschinenlesbaren Zone wird seine Daten darauf rausrücken, bzw. eine Bestätigung der Authentifizierung geben.

Ich könnte also zum Beispiel ermitteln wann eine Person ein Gebäude betritt und verlässt - ohne das Wissen dieser Person und vollautomatisch. Bei einer Authentifizierungszeit von 5 Sekunden kann man da schon mehrere Keys durchprüfen wärend jemand durch die Drehtür geht.

Natürlich ist das weiterhin keine Identifikation der Person - sondern nur des Passes. Aber gerade wenn die so überwachte Person nichts von der Überwachung weiss wird der Pass eben an der Person getragen. Es gibt ja keinen Grund den Pass nicht dabei zu haben. Und im Ausland ist es oft eine schlechte Idee seinen Pass nicht dabei zu haben - also ist er in den Fällen zwangsweise in der Nähe der Person.

Nunja, aber das ist ja laut Otto Orwell alles nur Angstmacherei und sowieso nicht wahr und völlig falsch. Basiert nur dummerweise auf Aussagen von Mitarbeitern des BSI - die im Prinzip seine Leute sind.

tags: Owl, Texte