Aktuelle Links

Bundeskabinett verabschiedet Gesetz zum biometrischen Personalausweis (Heise-Online NEWS 23.07.2008)

Die Bundesregierung hat in ihrer Kabinettssitzung am heutigen Mittwoch den umstrittenen Entwurf für die Novelle des Personalausweisgesetzes beschlossen. Gemäß dem Vorhaben und dem bislang allein vorliegenden Grobkonzept zur Umsetzung soll der elektronische, mit einem kontaktlos auslesbaren RFID-Chip ausgerüstete Personalausweis künftig ein digitales Lichtbild sowie eine Reihe freiwilliger Zusatzfunktionen enthalten. So können sich die Bürger etwa dafür entscheiden, auch zwei Fingerabdrücke mit aufnehmen zu lassen. Dazu riet Bundesinnenminister Wolfgang Schäuble vorab allen Reisenden, die den Personalausweis außerhalb des Schengen-Raums als Passersatz nutzen wollen. Der CDU-Politiker ließ aber offen, wie viele Länder einen biometrischen Ausweis statt Pass überhaupt akzeptieren.orscher haben einen entscheidenden Durchbruch bei der Kryptanalyse des V zurückfallen...   Quelle

- Top News - Berlin 7.5.2008/font>   Achtung - nicht alle vermeintlichen ePasshüllen schützen! Heute erhielten wir eine "Anti-RFID" ePass-Schutzhülle, die wohl die Nürnberger GfK derzeit als Prämie an Mitarbeiter vergibt. Das uns vorliegende Exemplar schützt nachweislich
in keinster Weise vor dem Auslesen des RFID-Chips im neuen Reisepass! Seien Sie wachsam - mit PointProtect Produkten liegen Sie auf der sicheren Seite.

Aus für RFID-System Mifare Classic?
(c't News 18.04.08)

Forscher haben einen entscheidenden Durchbruch bei der Kryptanalyse des Verschlüsselungsalgorithmus Crypto1 gemacht, der das RFID-System Mifare Classic schützt. Laut der nun veröffentlichten Arbeit von Nicolas Courtois, Karsten Nohl und Sean O'Neil ist es möglich, ohne aufwendig vorauszuberechnende Tabellen (Rainbow-Tables) die Verschlüsselung innerhalb von wenigen Sekunden mit PC-Hardware zu knacken. Die Sicherheit des Algorithmus, so das Fazit der Forscher, sei "nahe Null"...

Update: Laut Nohl funktioniert der Angriff auch mit dem verbesserten Nachfolger Mifare Plus, sofern nicht auch die Lesegeräte auf den "Plus"-Standard umgerüstet werden. Mifare Plus soll AES-Verschlüsselung verwenden, doch für die Kommunikation mit Classic-Lesern auf den unsicheren Crypto1-Algorithmus zurückfallen...   Quelle

Dismantling contactless smartcards
(University Nijmegen 12.03.08)

On March 7, 2008 researchers and students of the Digital Security group of the Radboud University Nijmegen have discovered a serious security flaw in a widely used type of contactless smartcard, also called RFID tag. It concerns the "Mifare Classic" RFID card produced by NXP (formerly Philips Semiconductors). Earlier, German researchers Nohl and Plötz pointed out security weaknesses of this cards. Worldwide around 1 billion of these cards have been sold. This type of card is used for the Dutch `ov-chipkaart' [the RFID card for public transport throughout the Netherlands] and public transport systems in other countries (for instance the subway in London and Hong Kong). Mifare cards are also widely used as company cards to control access to buildings and facilities. All this means that the flaw has a broad impact. Because some cards can be cloned, it is in principle possible to access buildings and facilities with a stolen identity. This has been demonstrated on an actual system. In many situations where these cards are used there will be additional security measures; it is advisable to strengthen these where possible. The Digital Security group found weaknesses in the authentication mechanism of the Mifare Classic. In particular: 1. The working of the CRYPTO-1 encryption algorithm has been reconstructed in detail. 2. There is a relatively easy method to retrieve cryptographic keys, which does not rely on expensive equipment. Combining these ingredients we succeeded on mounting an actual attack, in which a Mifare Classic access control card was successfully cloned. In situation where there are no additional security measures, this would allow unauthorised access by people with bad intentions.   Quelle

Studie: Potenzial von RFID in deutschen Unternehmen weitgehend ungenutzt
(Raunhofer Presseerklärung 09.04.08)

Deutsche Industrie- und Handelsunternehmen schöpfen die Potenziale der Radio-Frequency-Identification-Technologie (RFID) bisher noch nicht aus, so eine Studie des Fraunhofer-Instituts für Produktionstechnologie IPT und der P3 Ingenieurgesellschaft mbH. Die Gründe dafür sehen die Verfasser der Studie in der mangelnden Konsequenz bei RFID-Einführungen sowie technischen Schwierigkeiten.
Die Studie mit dem Titel »RFID - Spielwiese für Technologiebegeisterte oder Schlüsseltechnologie zur Effizienzsteigerung von Geschäftsprozessen?« besteht zum einen aus einer Unternehmensbefragung und zum anderen aus einem technischen Vergleich. An der Unternehmensbefragung haben sich rund 100 Unternehmen, unter anderem aus den Bereichen Logistik, Maschinenbau, Automobilbau, Luft- und Raumfahrt sowie Elektrotechnik aktiv beteiligt. Dabei machten sie detaillierte Angaben zu ihren Erfahrungen und Erwartungen bei der Einführung von RFID. In dem technischen Vergleich wurden verschiedene RFID-Systeme in einer den realen Industriebedingungen entsprechenden Laborumgebung auf ihre Leistungsfähigkeit untersucht. So zeigt die Studie sowohl die Erfahrungen der befragten Unternehmen als den Nutzen der Technologie und die Produktreife der Systeme auf.
Die Studie belegt, dass Unternehmen das Potenzial von RFID bisher kaum ausschöpfen: Etwa 80 Prozent der Befragten bezeichnen die Erwartungen und Erfahrungen mit RFID als negativ. »Die große Unzufriedenheit ist frappierend, aufgrund unserer Erfahrung aber nicht unerwartet«, kommentiert Dr.-Ing. Michael Rübartsch, Geschäftsführer bei P3. »Es wird offensichtlich viel Geld in Pilotprojekte investiert, doch diese bringen dann nicht den erhofften Nutzen.« Welche Faktoren dafür verantwortlich sind, zeigt die Studie sehr deutlich: Bei den meisten RFID-Einführungen mangelt es an der Integration von Prozessen, detaillierten Wirtschaftlichkeitsbetrachtungen und technischem Know-how...   Quelle

Where´s The Beep?: Security, Privacy, and User Misunderstandings of RFID Jennifer King U.C. Berkeley School of Law Andrew McDiarmid U.C. Berkeley School of Information

Abstract While extant for decades in the industrial sector, radio frequency identification (RFID) technology is increasingly being incorporated into everyday products and objects. This growing ubiquity brings with it security and privacy concerns for end users due to implementations that fail to adequately protect personal or identifiable data stored on RF transponders, as well as RFID´s inherently stealthy broadcasting capabilities. Accordingly, taking effective measures to mitigate the risk of undesirable data transmission requires understanding what RFID is and how RF transmissions work. In our exploratory research, we attempt to elicit user mental models of RFID technology by interviewing users of three existing implementations of consumer-focused RFID technology: RF-enabled credit cards, transit passes, and the U.S. e-Passport. We explore user comprehension of RFID technology generally and these implementations specifically to gain an understanding of how end users conceptualize RFID and its risks. We found in this initial inquiry that our subjects generally lacked a mental model of how RFID functions, and in turn did not understand risks posed by RFID implementations or how to mitigate them. * This work was funded by TRUST (Team for Research In Ubiquitous Secure Technology), which receives support from the National Science Foundation (NSF award CCF-0424422). The authors wish to thank Shawna Hein, Jon Hicks, Travis Pinnick, and Aylin Selcukoglu for their assistance with interviews, and Deirdre Mulligan, Chris Hoofnagle, and Nathan Good for their valuable feedback.   Quelle

Elektronischer Ausweis ermöglicht pseudonymes Surfern
Ãœbermittlung persönlicher Daten nur nach Bestätigung
(Golem News 16.02.08)

August Hanning, Staatssekretär im Bundesinnenministerium, hat in einem Brief an die innenpolitische Sprecherin der FDP-Fraktion, Gisela Piltz, Einzelheiten zum geplanten elektronischen Personalausweis bekannt gegeben. Mit dem neuen elektronischen Personalausweis sollen sich die Inhaber auch im Internet ausweisen können. Wie der Staatssekretär im Bundesinnenministerium, August Hanning, jetzt bekannt gegeben hat, wird der Ausweis dabei auch die Möglichkeit bieten, sich pseudonym im Internet zu bewegen. Der Ausweis im Scheckkartenformat wird mit einem RFID-Chip ausgerüstet sein, auf dem neben einem digitalisierten Passfoto und zwei Fingerabdrücken auch ein Zertifikat gespeichert ist, das eine "gegenseitige Authentisierung von Diensteanbietern (z.B. Onlinehändler) und Bürgerinnen und Bürgern" ermögliche. Dabei könnten die Nutzer selbst darüber entscheiden, "welche personenbezogenen Daten aus ihrem Personalausweis elektronisch an welchen Diensteanbieter übermittelt werden", schreibt Hanning. Die Ãœbermittlung der Daten muss dabei durch die Eingabe einer Geheimnummer bestätigt werden. "Zusätzlich haben dabei die Bürgerinnen und Bürger die Möglichkeit, unter einem Pseudonym zu handeln, ohne ihre personenbezogenen Daten offen legen zu müssen."   Quelle

Fingerabdrücke gehen auf Reisen                     (Stern News 01.11.07)

Ungeachtet deutlicher Bedenken von Opposition und Experten müssen die Bürger beim Antrag auf einen neuen Reisepass von nun an Fingerabdrücke abgeben. Wie das funktioniert, was es kostet, was sich ändert. Wer ab dem 1. November einen neuen Reisepass beantragt, muss sich im Einwohnermeldeamt zwei Fingerabdrücke abnehmen lassen: Die zweite Generation elektronischer Pässe soll neben den persönlichen Daten und einem digitalen Passfoto auch Fingerabdrücke enthalten. Wie ein Schwerverbrecher muss sich bei der Grenzkontrolle aber auch künftig niemand fühlen. Die Fingerabdrücke werden nur auf einem Chip gespeichert, im Pass selbst sind sie nicht zu sehen.

Stimmen zum neuen E-Pass

Für Innenminister Wolfgang Schäuble (CDU) sind die Fingerabdrücke vor allem eine Hilfe für den Staat, "Kriminellen technologisch einen Schritt voraus zu sein". Einreise mit gefälschten Pässen und Missbrauch von Pässen ähnlich aussehender Personen sollten unmöglich werden.

Die Grünen-Fachpolitikerin Silke Stokar sagte der Deutschen Presse-Agentur: "Die Sicherheit der Daten kann vom Staat nicht garantiert werden." Der neue Pass sei "teuer, mit hohen Risiken belastet und ohne erkennbaren Sicherheitsgewinn".

FDP-Politikerin Gisela Piltz warnte, es sei "nur eine Frage der Zeit", bis Hacker die Kontrollen überwinden. Außerdem: "Früher wurden Fingerabdrücke nur von Verbrechern genommen."

Der Experte der Linken, Jan Korte, sagte, aus Sicherheitsgründen würden Diplomatenpässe ohne jene Funkchips hergestellt, die den Pass für alle anderen Bürger angreifbar machten.

Für den Bundes-Datenschutzbeauftragten Peter Schaar ist der neue Pass "unnötig", wie er dem Sender N24 sagte.

Die Deutsche Polizeigewerkschaft begrüßte, der Bund habe die Pass-Vorgaben der EU zügig umgesetzt. Reisepässe mit Chip gibt es in Deutschland bereits seit zwei Jahren. Der winzige Datenträger steckt im vorderen Umschlagdeckel und ist mit bloßem Auge nicht zu erkennen. Bisher wurden darauf ein biometrisch erfassbares Passbild und persönliche Daten wie Name und Geburtsdatum gespeichert. Als zweites biometrisches Merkmal sollen nun auch die beiden Zeigefinger des Passinhabers eingescannt werden. Die neue Technik soll den Pass noch sicherer machen: Anhand der biometrischen Daten sollen die Grenzbeamten bei der Einreise eindeutig feststellen können, ob Pass und Person wirklich zusammengehören. Terroristen oder Kriminelle sollen künftig weder mit einem gefälschten Dokument, noch mit dem echten Pass einer anderen Person einreisen können.

"Die Sicherheit hat sich um Quanten erhöht", meint Matthias Merx von der Bundesdruckerei in Berlin, wo die deutschen Pässe und Personalausweise hergestellt werden. Erfasst werden die Fingerabdrücke elektronisch - ohne Stempelfarbe oder andere Hilfsmittel. Der Antragsteller muss seine beiden Zeigefinger lediglich auf einen kleinen Scanner legen.

"Die Aufnahme der Fingerabdrücke dauert in der Regel zweieinhalb Minuten", erklärt Martin Schallbruch, IT-Direktor im Bundesinnenministerium. Wer mit einer eingegipsten Hand zur Meldebehörde kommt, bekommt zunächst nur einen vorläufigen Reisepass ohne Chip. Bei schwerer wiegenden Verletzungen oder Behinderungen können auch andere Finger als die Zeigefinger eingescannt werden - zur Not entfallen die Fingerabdrücke ganz. .  Der vollständige Artikel mit Bildern

Vortrag auf der Black-Hat-Konferenz von Hersteller HID verhindert             (gulli News 28.03.07)

Mit der Drohung gerichtlicher Schritte verhindert der RFID-Hersteller HID einen Vortrag zu Unsicherheiten ihrer RFID-Chips auf der diesjährigen Black Hat Federal Security Konferenz. Trägt Chris Paget sein bereits in den gedruckten Programmen angekündigtes Referat "RFID for beginners" vor, zieht das Unternehmen wegen Patentverstößen vor Gericht. Der Vortrag wurde gestrichen. Mit bei Ebay gekauftem Material für schlappe 20 Dollar konnte Paget einen Chip-Kloner bauen, der Daten von HID-Chips auslesen und anschließend verwenden kann, um RFID-Reader zu täuschen. HID stellt unter anderem drahtlos auslesbare Zugangskarten her. Der Vortrag von Paget hätte Sicherheitslücken in RFID-Chips in einer großen Zahl von Gerätetypen zum Thema gehabt. Laut HID würde der Vortrag jedoch gegen zwei Patente verstoßen, die von der Firma gehalten werden. Zwar wird bezweifelt, dass der Maulkorb per Klageandrohung vor Gericht bestand hätte, aber weder Paget noch sein Securityunternehmen haben die Mittel, um ein entsprechendes Verfahren vor Gericht auszufechten. .  Quelle

Sicherheitsexperte führt Klonen von RFID-Reisepässen vor
(Heise-Online 03.08.06)

PointProtect Schutzfolie bei der Vorführung des Klonens von RFID-Reisepässen auf der "Black Hat security conference" in Las Vegas

Folgt man den Ausführungen von Unternehmen und Behörden, sind die neuen elektronischen Reisepässe, bei denen Daten auf RFID-Chips gespeichert werden, sicher. Offensichtlich ist dies aber nicht der Fall: Nachdem bereits Anfang des Jahres Mitarbeiter einer niederländischen Sicherheitsfirma im Fernsehen gezeigt hatten, wie sich die zwischen Ausweisdokument und RFID-Lesegerät übertragenen Daten abhören und innerhalb weniger Stunden entschlüsseln lassen, führt ein deutscher Sicherheitsexperte derzeit auf der "Black Hat Briefings and Training USA 2006" in Las Vegas vor, wie die auf den RFID-Chips hinterlegten Daten kopiert und in ein anderes elektronisches Ausweisdokument eingelesen werden können. "Die derzeitige ePass-Architektur ist ein einziger Hirnschaden", echauffiert sich Lukas Grunwald gegenüber dem Online-Magazin Wired News. "Aus meiner Sicht sind RFID-Pässe eine riesige Geldverschwendung, da sie in keinerlei Hinsicht die Sicherheit erhöhen", erklärt der Geschäftsführer der Hildesheimer DN-Systems, ein auf IT-Sicherheitsprodukte und- Dienstleistungen spezialisiertes Beratungsunternehmen. Grunwald benötigte eigenen Angaben zufolge lediglich zwei Wochen, um herauszufinden, wie sich die elektronischen Daten eines RFID-Passes auslesen, klonen und auf einen anderen Chip übertragen lassen auch auf Smartcards, die dann für Zutrittsberechtigungen genutzt werden könnten.   Quelle

- Für Reisepässe der EU, USA
  sowie vergleichbare Größen
- Informationen auf dem
  Ausweis nach dem
  Aufklappen sichtbar
- Schutz vor unbefugtem
  Auslesen in geschlossenem
  Zustand
- Aus hochwertigem
  Rindsleder
  49,95 € + ggf. Versandkosten

- Informationen auf dem
  Ausweis nach dem
  Aufklappen sichtbar
- Schutz vor unbefugtem
  Auslesen in  geschlos-
  senem Zustand
- Flexibles Material, feuchtig-
  keitsbeständig und robust
- Für Reisepässe der EU, USA
  sowie vergleichbare Größen
  16,95 € + ggf. Versandkosten