Thema: Elektronischer Personalausweis

Der elektronische Ausweis kommt.
Würde von euch mal gerne wissen was ihr davon so haltet?
Ich persönlich finds intressant,aber auch sehr riskant da im Prinzip dann eigentlich gute hacker wirklich daten klauen könnten.
Was meint ihr?

Digitaler Personalausweis schockiert Experten - Tweakpc.de

Es wird wirklich Zeit, dass er kommt und ich werde mir ihn auch holen (meiner läuft auch in der Zeit aus). Es ist überfällig, dass man sich übers Internet sicher ausweisen kann, ebenfalls wie die optionale Signatur.

Und den RFID kann man nicht so einfach knacken und gilt als sicher. Ich glaube auch gehört zu haben, dass man Informationen über die Person zur Entschlüsselung eingeben muss. Das würde eigentlich ein Missbrauch ausschließen.

Und ach ja: Wenn man nicht gerade bei einem Test mit macht, dauert es noch eine Zeit, bis er kommt. Die Einführung ist erst für den November geplant.

Schnickschnack den kein Mensch brauch.
Allein schon das man das Teil im Internet integrieren kann ist doch völlig krank.

Muss ich jetzt meinen Perso durch nen Schlitz ziehen wenn ich mir bei Youporn einen Porno reinziehen will?

Patzenhofer

Und den RFID kann man nicht so einfach knacken und gilt als sicher. Ich glaube auch gehört zu haben, dass man Informationen über die Person zur Entschlüsselung eingeben muss. Das würde eigentlich ein Missbrauch ausschließen.

Naivität pur.
CC Dumps kennste?
Ist doch nur eine Frage von Zeit bis das geknackt ist.

Patzenhofer

Es wird wirklich Zeit, dass er kommt und ich werde mir ihn auch holen (meiner läuft auch in der Zeit aus). Es ist überfällig, dass man sich übers Internet sicher ausweisen kann, ebenfalls wie die optionale Signatur.

Dir ist klar das das auch in die andere Richtung funktionieren kann?

Schon ganz schön krank.

Sollte bei der Polizei mal Fingerabdrücke abgeben, also "freiwillig", geweigert, konnten sie nichts machen.
Mit so nem Perso brauchen die freilich erst gar nicht fragen, kriegen sie frei Haus.

Sicher wirds Geräte geben die den Perso über grössere Entfernungen auslesen können, klaro wir als normale Bürger haben die Geräte nicht, aber Staatsschutz und Konsorten.

Ist mal wieder wo ne Demo, einfach alle brav ihre Route gehen lassen und nebenbei fröhlich mitgelesen wer alles dabei ist und und und...

Ich persönlich scheisse da auf nen bissel Internetsicherheit (welch tolles Argument überhaupt) und bewahre lieber meine Rechte auf Datenschutz.

Fehlt ja nur noch nen GPS-Sender im Perso, dann wissen gleich alle wo ich grade rumturne, obwohl.....können sie ja gleich mit einbauen, weiss ich ja nichts von...

Krieg ich erst mit wenn ich wo hingehe und die Polizei ist 1 Minute später auc h schon da. Seltsamerweise.

Finde ich auch sehr naiv. Das perfekte Werkzeug für die totale Überwachung - na danke. Die Möglichkeit des Hackens ist eigentlich nur ein I-Tüpfelchen, ich finde es eher problematisch wozu es verwendet werden könnte. Da darf man eben nicht nur die "positiven" Möglichkeiten sehen.

Ich will nicht, dass jeder weiß wann ich wo hin gegangen bin um was zu kaufen etc. - das geht mir heute schon zu weit. Da hilft dann wohl nur eins: Ausweis in Alu-Folie einwickeln. Sobald ich ihn zwingend haben muss jedenfalls. Meiner ist zum Glück noch sehr lange gültig.

Kelshan

Finde ich auch sehr naiv. Das perfekte Werkzeug für die totale Überwachung - na danke. Die Möglichkeit des Hackens ist eigentlich nur ein I-Tüpfelchen, ich finde es eher problematisch wozu es verwendet werden könnte. Da darf man eben nicht nur die "positiven" Möglichkeiten sehen.

Sehe ich ganz genauso.
Je technischer die Dinger werden, desto mehr Möglichkeiten zur Überwachung und zum Missbrauch gibt es. Und so lange es die gibt, sind die positiven Aspekte an so einem digitalen Personalausweis für mich eher uninteressant.

Sudo7

Dir ist klar das das auch in die andere Richtung funktionieren kann?

Ja, und funktioniert auch schon. Meine Bank arbeitet mit Zertifikaten

Sudo7

Schnickschnack den kein Mensch brauch.
Allein schon das man das Teil im Internet integrieren kann ist doch völlig krank.

Ja, wer will schon eine sichere Verbindung mit seiner Bank. Völlig absurd. Genau so, wer will schon wissen, ob eine Email auch wirklich vom angegebenen Absender geschickt wurde. Das kann man sich ja nicht vorstellen. Oder ein einfache Möglichkeit sich über das Internet auszuweisen, ohne das teure und aufwändige PostIdent (oder ähnliches) zu verwenden. Völlig idiotisch.
Wer denkt denn überhaupt an seinen Blödsinn nach, Geschäfte über das Internet zu tätigen, bei denen man auch eine sichere Rechtsgrundlage hat

Kelshan

Ich will nicht, dass jeder weiß wann ich wo hin gegangen bin um was zu kaufen etc. - das geht mir heute schon zu weit.

Ich habe nichts gefunden, wie die Verschlüsselung funktioniert, aber wenn man personenbezogene Daten eingeben muss, um die Daten zu lesen, dann ist das nicht möglich.
Beim Reisepass weiß ich, dass dies nicht möglich ist. Hier muss man den Ausweis erst öffnen, damit man den Inhalt auch entschlüsseln kann. Somit ist unbefugtes auslesen ausgeschlossen (sofern der Inhaber den Ausweis nicht aus der Hand gibt, aber davor ist auch ein herkömmlicher nicht sicher). im Internet kann man zum Personalausweis nur lesen, dass hier bessere Sicherheitsmechanismen verwendet werden, als beim Reisepass.

Serena

Sehe ich ganz genauso.
Je technischer die Dinger werden, desto mehr Möglichkeiten zur Überwachung und zum Missbrauch gibt es. Und so lange es die gibt, sind die positiven Aspekte an so einem digitalen Personalausweis für mich eher uninteressant.

Warum unsicherer? Die Hürden zu einer Kopie werden nur höher? mal völlig unabhängig wie ich zum Datenschutz dazu stehe.

Würde auf Krankenkassenkarten eine Bild abgedruckt sein, hätte es in den letzten 15 Jahren nicht den massiven Mißbrauch und Erschleichung von Kassenleistungen von Menschen aus dem Ostblock und der Türkei gegeben.

Wenn die Kombination Fingerabdruck+Passbild hilft Verbrechen, illegale Einwanderung oder sonstigen Mißbrauch zu bekämpfen, dann habe ich kein Problem damit. Freilich müssten Regeln und Kontrolle her. Wer oder was sonst soll denn dazu beitragen und den Anfang bilden gerade international agierende Kriminelle zu bekämpfen?

Wie erwähnt, Datenschutz und Sensibilität voraussgesetzt sehe ich keinerlei Probleme für den Rechtstaat. Schleusern und illegalen Einwanderern wäre schnel das Handwerk gelegt.

Kelshan

Finde ich auch sehr naiv. Das perfekte Werkzeug für die totale Überwachung - na danke. Die Möglichkeit des Hackens ist eigentlich nur ein I-Tüpfelchen, ich finde es eher problematisch wozu es verwendet werden könnte. Da darf man eben nicht nur die "positiven" Möglichkeiten sehen.

Ich will nicht, dass jeder weiß wann ich wo hin gegangen bin um was zu kaufen etc. - das geht mir heute schon zu weit. Da hilft dann wohl nur eins: Ausweis in Alu-Folie einwickeln. Sobald ich ihn zwingend haben muss jedenfalls. Meiner ist zum Glück noch sehr lange gültig.

Ein bisschen Alufolie wird evtl. wohl nicht viel bringen. Wenn du pech hast, verstärkst damit sogar das Signal. Du müsstest einen perfekten Faradayschen Käfig aufbauen.

Dabei kommt es natürlich auf den RFID-Sender an.

Ich seh das ähnlich wie mxyptlk, ansonsten finde ich aber auch einige Reaktionen etwas Paranoid. Mit so ansichten wie manche hier vertreten, frage ich mich wie die sich überhaupt trauen nach draußen zu gehen.

Patzenhofer

Es ist überfällig, dass man sich übers Internet sicher ausweisen kann, ebenfalls wie die optionale Signatur.

Wofür ist es überfällig?

Patzenhofer

Und den RFID kann man nicht so einfach knacken und gilt als sicher.

Das ist falsch. Ein System was von "außen" gelesen werden kann, das kann auch geknackt werden. Wenn es dazu noch mit RFID kommt, sowieso.
Es wird dann schon bei der Polizei oder sonstigen Staatlichen Gewalten anfangen, das diese ohne jeglicher Sicherheitsmechanismen sofort die Leute erkenne und lesen können sollen. Und das dürften dann auch anderweitige Leute heraus bekommen-

Patzenhofer

Ja, wer will schon eine sichere Verbindung mit seiner Bank. Völlig absurd. Genau so, wer will schon wissen, ob eine Email auch wirklich vom angegebenen Absender geschickt wurde. Das kann man sich ja nicht vorstellen. Oder ein einfache Möglichkeit sich über das Internet auszuweisen, ohne das teure und aufwändige PostIdent (oder ähnliches) zu verwenden. Völlig idiotisch.
Wer denkt denn überhaupt an seinen Blödsinn nach, Geschäfte über das Internet zu tätigen, bei denen man auch eine sichere Rechtsgrundlage hat

Wer braucht so etwas alles?
Ist es das Wert, eine deraratige Sicherheit bei Geschäften und ähnlichem zu bekommen und dafür die Sicherheit von eigenen Daten und anderen der Gefahr auszusetzen?
Nichts für ungut, aber für alle diese Techniken gibt es sichere Lösungen, wenn man es darauf anlegen will.
Bei Bank-Transfer gibt es den eigenen PIN und die TAN Liste, die man eben zu Hause(oder sonst wo) hat. Für E-Mails gibt es einen Header, wo man auch überprüfen kann ob es von dem angegeben Server gesendet wurde. Hinzu kann man auch den jeweiligen Server überprüfen ob dieser Authentifizierung gewährt.
Möglichkeiten haben wir da genug.

mxyptlk

Würde auf Krankenkassenkarten eine Bild abgedruckt sein, hätte es in den letzten 15 Jahren nicht den massiven Mißbrauch und Erschleichung von Kassenleistungen von Menschen aus dem Ostblock und der Türkei gegeben.

Wenn die Kombination Fingerabdruck+Passbild hilft Verbrechen, illegale Einwanderung oder sonstigen Mißbrauch zu bekämpfen, dann habe ich kein Problem damit. Freilich müssten Regeln und Kontrolle her. Wer oder was sonst soll denn dazu beitragen und den Anfang bilden gerade international agierende Kriminelle zu bekämpfen?

Wie erwähnt, Datenschutz und Sensibilität voraussgesetzt sehe ich keinerlei Probleme für den Rechtstaat. Schleusern und illegalen Einwanderern wäre schnel das Handwerk gelegt.

Ich finde es sehr schade... nein, es nervt sogar verdammt ... das du zu jedem Thema das Thema Migranten, illegale Einwanderer und Türken Verbinden muss.
Auch wenn deine Begründung sehr wohl zu dem Thema passt, bitter finde ich das dennoch. Aber lass dich da nicht von mir stören

Kriegt euch mal wieder ein. Es ist doch unerheblich, wer eure Daten weiter gibt. Sei es die HSBC, Google oder irgendwelche regionalen Ämter die Hackern zum Opfer fallen bzw. nichts auf Datensicherheit geben. Mich als "letzte Stufe des Konsums" interessiert mehr ob dieser Mistlappen jetzt noch teurer wird. Zudem, wem das nichts passt, der ist ja nicht gezwungen ihn zu beantragen. Zur Erinnerung: das einzig zwingende Dokument zur Identifikation in Deutschland ist der Reisepass. Hier sind zwar auch interessante Dinge wie Bisamrattenformmuttermale in Hodenaehe erwähnt, doch dieses Input wird wenig helfen mein Bankkonto zu leeren (es sei denn es ist mein TAN).

Bieberpelz

Das ist falsch. Ein System was von "außen" gelesen werden kann, das kann auch geknackt werden. Wenn es dazu noch mit RFID kommt, sowieso.
Es wird dann schon bei der Polizei oder sonstigen Staatlichen Gewalten anfangen, das diese ohne jeglicher Sicherheitsmechanismen sofort die Leute erkenne und lesen können sollen. Und das dürften dann auch anderweitige Leute heraus bekommen-

Beim Reisepass ist dies nicht möglich. Wie der Personalausweis gelesen wird bin ich mir nicht sicher, aber ich glaube auch hier werden Daten vom Pass zur Entschlüsselung gebraucht und macht so ein unbemerktes Lesen von außen unmöglich.
Jedenfalls sollte man nicht gleich etwas verteufeln, nur weil das Schlagwort "RFID" vor kommt. Es ist ja schon erstaunlich, wie die Bevölkerung schon auf manche Wörter konditioniert ist. (RFID, Gen, Nano, ...)

Bieberpelz

Wer braucht so etwas alles?
Ist es das Wert, eine deraratige Sicherheit bei Geschäften und ähnlichem zu bekommen und dafür die Sicherheit von eigenen Daten und anderen der Gefahr auszusetzen?

Wie gesagt, ich wünsche mir so etwas schon länger. Die Gefahr jetzt wegen fehlender Mechanismen betrogen zu werden sehe ich als viel höher, als irgendwelche möglichen bis unmöglichen Gefahren.

Bieberpelz

Nichts für ungut, aber für alle diese Techniken gibt es sichere Lösungen, wenn man es darauf anlegen will.
Bei Bank-Transfer gibt es den eigenen PIN und die TAN Liste, die man eben zu Hause(oder sonst wo) hat.

Die TAN-Liste war anscheinend doch nicht so sicher, denn sonst würden sie jetzt nicht anbieten, dass man die TAN auch per SMS versenden wird. Und gerade Beispiele wie Kreditkarte oder EC-Karte zeugen, dass neue Sicherheitsmechanismen erst dann eingeführt werden, wenn der Schaden durch Betrug einen gewissen Schwellenwert erreicht.

Bieberpelz

Für E-Mails gibt es einen Header, wo man auch überprüfen kann ob es von dem angegeben Server gesendet wurde. Hinzu kann man auch den jeweiligen Server überprüfen ob dieser Authentifizierung gewährt.
Möglichkeiten haben wir da genug.

Man kann also jeden Nutzer zumuten, sich erst mal den Header anzuschauen, hier die richtige Passage zu finden und dann abzuschätzen, ob die Email echt ist? ja genau Vor allem wer will das?
Außerdem geht das oft nicht, da die Email nicht immer von dem Server versendet wird, die in der Email drinnen streckt.
Zudem geht es nicht nur darum festzustellen, ob eine Email auch echt ist, sondern, in wie weit sie echt ist, also was vom Verfasser stammt und was nachträglich hinzugefügt wurde. Auch kann man digitale Dokumente signieren.
Und komm mir bitte nicht mit OpenPGP. Das ist nichts für die breite Masse.

Also das Problem mit dem RFID erledigt sich mittels Mikrowelle in weniger als 10 Sekunden von selbst ...

Das traurige an dieser Geschichte ist doch, dass man früher nur von Verbrechern die Fingerabdrücke genommen hat, heute muss die jeder abgeben. Das sagt viel über das Verhältnis zwischen Staat und Bürger aus.

Fleischfresse

Mich als "letzte Stufe des Konsums" interessiert mehr ob dieser Mistlappen jetzt noch teurer wird.

Der neue Perso ist einiges teurer als der alte...

Patzenhofer

Beim Reisepass ist dies nicht möglich.

Nein, noch viel schlimmer, man kann die digitalen Daten der Pässe sogar Clonen!
Hackers Clone E-Passports

*** EDIT ***
Wenn der dt. Pass genauso schrottig ist wie der britische (und mal ehrlich: es gibt keinerlei Hinweise die so eine Vermutung wiederlegen könnten), dann gute Nacht:
heise Security - Britische Biometrie-Ausweise in wenigen Minuten geknackt

Patzenhofer

Die TAN-Liste war anscheinend doch nicht so sicher, denn sonst würden sie jetzt nicht anbieten, dass man die TAN auch per SMS versenden wird.

Auch hier gibt es wesentlich effektivere Verfahren als eine Identifikation über den Perso, Stichwort: eTAN / chipTAN.

Patzenhofer

Man kann also jeden Nutzer zumuten, sich erst mal den Header anzuschauen, hier die richtige Passage zu finden und dann abzuschätzen, ob die Email echt ist? ja genau Vor allem wer will das?
Außerdem geht das oft nicht, da die Email nicht immer von dem Server versendet wird, die in der Email drinnen streckt.
Zudem geht es nicht nur darum festzustellen, ob eine Email auch echt ist, sondern, in wie weit sie echt ist, also was vom Verfasser stammt und was nachträglich hinzugefügt wurde. Auch kann man digitale Dokumente signieren.
Und komm mir bitte nicht mit OpenPGP. Das ist nichts für die breite Masse.

Auch hier gilt: gibt einer technisch unterbemittelten Person den Eindruck, dass ein Verfahren "sicher" ist, und sie wird jede angebrachte Vorsicht fallen lassen und sich dadurch erst Recht einem Risiko aussetzen.

Was hast du gegen PGP? Das ist wenigstens weltweit standardisiert und erprobt, im Gegensatz zum Perso. Jemand der PGP nicht bedienen kann, kann auch kein anderes Authentifizierungsverfahren sicher beherrschen. So jemand sollte bei kritischen Transaktionen einfach auf Brief und Fax zurückgreifen.

billsux

Also das Problem mit dem RFID erledigt sich mittels Mikrowelle in weniger als 10 Sekunden von selbst ...

Der Nutzen dabei bei beipielsweise eines Reisepasses sei mal dahin gestellt

billsux

Das traurige an dieser Geschichte ist doch, dass man früher nur von Verbrechern die Fingerabdrücke genommen hat, heute muss die jeder abgeben. Das sagt viel über das Verhältnis zwischen Staat und Bürger aus.

Sofern du nicht in die USA fliegen willst, musst du keine Fingerabdrücke abgeben.

billsux

Nein, noch viel schlimmer, man kann die digitalen Daten der Pässe sogar Clonen!
Hackers Clone E-Passports

Gut, dann hast du (durch ein manipuliertes Lesegerät) einen Clon. Was ist aber damit möglich, was mit einem gestohlenen nicht ePass nicht möglich ist? Ach ja, der ePass konnte bis jetzt nicht manipuliert werden, gestohlene nicht elektronische Reisepässe und Personalausweise sind dagegen ein gefragtes Gut, da diese regelmäßig manipuliert werden.

billsux

Wenn der dt. Pass genauso schrottig ist wie der britische (und mal ehrlich: es gibt keinerlei Hinweise die so eine Vermutung wiederlegen könnten), dann gute Nacht:
heise Security - Britische Biometrie-Ausweise in wenigen Minuten geknackt

Ich unterstelle Heise schon länger, dass sie mehr politische Motive verfolgen, als seriösen Journalismus, denn ansonsten hätte der Autor dieses Berichtes mitbekommen müssen, dass auch bei diesem Ausweis nur ein sehr schlechter Clon möglich ist.

billsux

Auch hier gibt es wesentlich effektivere Verfahren als eine Identifikation über den Perso, Stichwort: eTAN / chipTAN.

eTAN ist so sicher, dass es von den meisten Baken bei höheren Beträgen nicht mehr verwendet wird

billsux

Was hast du gegen PGP? Das ist wenigstens weltweit standardisiert und erprobt, im Gegensatz zum Perso. Jemand der PGP nicht bedienen kann, kann auch kein anderes Authentifizierungsverfahren sicher beherrschen. So jemand sollte bei kritischen Transaktionen einfach auf Brief und Fax zurückgreifen.

Sobald der PGP einmal richtig erstellt wurde, funktioniert er ja auch recht gut, aber das erstellen und dann noch diesen beglaubigen zu lassen ist doch eine große Hürde. Auch finde ich es nicht gerade als Sicherheitsfeature, dass man den Private Key überall speichern kann, wo man will.

Der Personalausweiß ist hierzulande noch nicht mal auf dem Markt, es ist noch nichtmal klar inwiefern die Daten vor Mißbrauch geschützt werden und welche Sicherheitsmechanismen eingebaut sind.

Den Reisepass dagegen gibt es ja nun schon, es gibt dort die Sicherheit, dass er erst geöffnet werden muss, von ungewollten Auslesen kann absolut keine Rede sein. Zumal es um eine Reichweite von 10 Zentimeter geht. Zur Entschlüsselung des Funksignals muss das Lesegerät den individuellen Code des Ausweises kennen, aus dem sich dann der Dekodierschlüssel berechnen läßt. Dieser Code ist im unteren Bereich des Reisepass aufgedruckt. Der Reisepass muss also erst mal aufgeklappt auf das Lesegerät gelegt werden, dass der Datentransfer eingeleitet werden kann.

Im übrigen sind dort nur Name, Geburtstag, Geschlecht und Foto gespeichert, also nichts was nicht auch aufgedruckt ist.

Pressemitteilung von Infineon:

Die Hochsicherheitsmaschine im Pass
Nur der geöffnete Pass soll den Zugriff auf die im Chip gespeicherten Daten zulassen. Diese werden kontaktlos zum berechtigten zertifizierten Schreib-/Lesegerät übertragen. Mehr als 50 einzelne Sicherheitsmechanismen, die nach neuestem Stand der Technik tief im Infineon Chip eingebrannt sind, tragen dazu bei, dass die persönlichen Daten gegen unberechtigtes Auslesen oder Manipulation abgesichert sind. Unter anderem durch ein spezielles Rechenverfahren zur Verschlüsselung der Daten dem RSA-Algorithmus (benannt nach seinen Erfindern Ronald L. Rivest, Adi Shamir und Leonard Adleman). Heute müssten eine Milliarde parallel arbeitender Standart-PCs rund ein Million Jahre rechnen, wollten Hacker durch bloßes Ausprobieren versuchen, an Daten zu gelangen, die mit diesem Verfahren verschlüsselt wurden. Zu den Sicherheitsmechanismen auf Infineons Chips zählen auch aktive Schutzschilde auf der Chipoberfläche oder Sensoren, die verhindern, das Hacker den Chip durch das Anlegen von verschiedenen Spannungen auslesen können. Des Weiteren gibt es Wärme-, Licht-, Frequenzsensoren und Filter,....

Infineon hat mehr als 25 Jahre Erfahrung mit Sicherheitschips und ist mit über 27% Weltmarktführer in diesem Bereich. Außerdem beliefern sie Länder wie Dänemark, Estland, Deutschland, Hong Kong, Norwegen, Polen, Schweden, USA, China und Indien mit Chips für den ePass. Btw. ich arbeite auch dort.

Hier noch die Datenblätter der Controller Contactless SLE 66 family: Enhanced High Performance Controller - Infineon Technologies

Die Chips für den elektronischen Personalausweis werden mit größter Sicherheit ebenfalls von diesem Hersteller kommen und seit der Entwicklung das elektronischen Reisepasses sind nun schon fast 5 Jahre vergangen. Die werden also noch besser geschützt sein, da die Entwicklung der Sicherheitsmechanismen schnell voranschreitet.

billsux

Wenn der dt. Pass genauso schrottig ist wie der britische (und mal ehrlich: es gibt keinerlei Hinweise die so eine Vermutung wiederlegen könnten), dann gute Nacht:
heise Security - Britische Biometrie-Ausweise in wenigen Minuten geknackt

Für Biometrieausweis von irgend welchen Privatfirmen gelten sicherlich nicht die gleichen Sicherheitsstandarts wie für den ePass.

Patzenhofer

Der Nutzen dabei bei beipielsweise eines Reisepasses sei mal dahin gestellt

Warum? Das Dokument ist auch ohne die elektronischen Daten in vollem Umfang gültig!

Patzenhofer

Sofern du nicht in die USA fliegen willst, musst du keine Fingerabdrücke abgeben.

Auf dem neuen Perso können (momentan noch optional) Fingerabdrücke gespeichert werden. Und wer die Salamitaktik unserer Politiker in den letzten Jahren verfolgt hat muss kein Prophet sein um zu erahnen, dass in ein paar Jahren die Fingerabdrücke nicht mehr optional sondern verpflichtend sind.

Patzenhofer

Gut, dann hast du (durch ein manipuliertes Lesegerät) einen Clon. Was ist aber damit möglich, was mit einem gestohlenen nicht ePass nicht möglich ist? Ach ja, der ePass konnte bis jetzt nicht manipuliert werden, gestohlene nicht elektronische Reisepässe und Personalausweise sind dagegen ein gefragtes Gut, da diese regelmäßig manipuliert werden.

Ich habe dir ja des öfteren blauäugigkeit unterstellt ...
Der Unterschied besteht darin, dass ein gestohlener Ausweis vom Besitzer bemerkt werden kann und der den Verlust bei den Behörden angeben kann, wodurch der Ausweis dan digital gesperrt werden kann (ich gehe einfach mal davon aus, dass so ein Feature implementiert wurde, alles andere wäre fatal). Wenn eine Karte heimlich geklont wird, dann bekommt das kein Mensch mit und der Täter kann in Ruhe versuchen die Verschlüsselung zu knacken.

Ich sehe ja ein, dass sich nicht jeder auf dem Gebiet der IT auskennt, aber der Grad an Intelligenz, der dazu Notwendig ist zu erkennen, dass ein geklonter Ausweis, gerade bei elektronischen Transaktionen (die er ja eigentlich sicherer machen soll), fatal wäre, sollte sogar von einem "Normalsterblichen" erbracht werden.
Ich helfe dir mal auf die Sprünge: wenn ein Clon von einem Ausweis erstellt wird, dann kann dieser offline, ohne Kontrolle, beliebigen Brute-Force-Attacken ausgesetzt werden wodurch auch die geheimen, gesondert geschützten Bereiche auf dem Chip geknackt werden könnten. Sobald das passiert ist, sind sämtliche "Sicherheitsfeatures" des Ausweises ausgehebelt, viel schlimmer sogar: sie sind beliebig manipulierbar.

Höre bei Fragen zur IT-Sicherheit nicht auf die Hersteller oder "Entscheider" die solche Lösungen auf den Markt bringen möchten, höre auf Leute die sich damit auskennen, z.B. der CCC. Würden das auch unsere Politiker machen, dann hätte man sich Debakel wie die Wahlmaschinen (die ja auch laut Hersteller und der Politiker, die sie unbedingt wollten, 100% sicher sind - was laut Recherchen des CCC definitiv nicht der Fall ist) ersparen können.

Patzenhofer

Ich unterstelle Heise schon länger, dass sie mehr politische Motive verfolgen, als seriösen Journalismus, denn ansonsten hätte der Autor dieses Berichtes mitbekommen müssen, dass auch bei diesem Ausweis nur ein sehr schlechter Clon möglich ist.

Du hast keinerlei Plan, weder von IT, noch von heise, noch von seriösem Journalismus. Und nur weil jemand nicht deiner Meinung ist, heißt das noch lange nicht, dass er "politische Motive" verfolgt. Ich habe selten so einen dämlichen Unsinn gelesen wie deine Zeilen gerade eben.
Aber schon klar, wenn man nicht mal im Ansatz etwas davon versteht, worum es in dem Artikel geht, dann kommt man sicherlich zu dem Schluss, dass der Artikel "politische Motive" verfolgt.
Ich wüsste trotzdem gerne, an welcher Stelle denn in dem Artikel "politische Motive" zum Ausdruck kommen, eigentlich berichtet er ganz sachlich und neutral darüber wie in England biometrische Ausweise geknackt wurden.
Inwiefern die geklonten Karten "nur ein schlechter" Klon sind, wird wohl auf ewig in den Hirnwindungen von patzenhofer bleiben, denn eine Begründung zu dieser Aussage hat er natürlich nicht gebracht. Auch nicht, warum ein "schlechter" Klon keine Beunruhigung darstellen soll.

Es ist immer wieder interessant zu beobachten, wie Laien auf dem Gebiet der IT blind irgendwelchen Versprechungen glauben, bzw. wie schnell der Verstand aussetzt, wenn behauptet wird, dass etwas "sicher" sie. Ein Umstand, mit dem böse Buben leider ein Heidengeld verdienen...

ps. Wenn es überhaupt einen seriösen IT-Verlag gibt, dann ist das heise. Das haben übrigens so ziemlich alle anderen außer dir bereits gemerkt, sogar der Spiegel

Patzenhofer

eTAN ist so sicher, dass es von den meisten Baken bei höheren Beträgen nicht mehr verwendet wird

Das stimmt hinten und vorne nicht! Ich glaube du verwechselst das mit iTAN (nicht das erste mal, dass du bei einem IT-Thema was verwechselst) - beim eTAN / chipTAN werden TAN-Generatoren verwendet (ein separates Stück Hardware in Verbindung mit der EC-Karte), das ist bei richtiger Handhabung absolut sicher.

Patzenhofer

Sobald der PGP einmal richtig erstellt wurde, funktioniert er ja auch recht gut, aber das erstellen und dann noch diesen beglaubigen zu lassen ist doch eine große Hürde. Auch finde ich es nicht gerade als Sicherheitsfeature, dass man den Private Key überall speichern kann, wo man will.

Es ist schön, dass du als jemand der in IT-Fragen definitiv nicht sonderlich bewandert ist, ein Sicherheitsfeature bewertest. Dazu nur eine Frage: wo sollte denn deiner Meinung nach der private Schlüssel gespeichert werden? Und was hindert dich daran, selbigen dort zu speichern wo du ihn als sicher betrachtest? Warum speicherst du den privaten Schlüssel nicht irgendwo auf deinem Rechner, selbst wenn ein fremder ihn "klaut" kann er nichts damit anfangen, denn der Schlüssel an sich ist ebenfalls per Passwort verschlüsselt, das übrigens wesentlich stärker sein kann, wie die 6 stellige PIN die deine privaten Daten auf dem digitalen Ausweis vor unbefugtem Zugriff schützt.


@Eddie1209: Es ist sehr schön, dass du die Herstellerangaben von infineon postest - doch es ist doch nicht wirklich schwer zu erraten, dass ein Hersteller sein eigenes Produkt in den höchsten Tönen lobt, oder? Das hat die Telekom mit ihrem Magenta-Verschlüsselungsalgorithmus auch gemacht - es war ein Debakel, das Ding wurde innerhalb von 20 Minuten geknackt.
Oder GSM, die uns seit Jahren einreden wollen, dass die (geheime) Handy Verschlüsselung sicher sei - auch die ist seit Jahren geknackt, das ist zwar erst seit kurzem öffentlich bekannt, in einschlägigen Kreisen wusste man das aber schon lange.

Eddie1209

Für Biometrieausweis von irgend welchen Privatfirmen gelten sicherlich nicht die gleichen Sicherheitsstandarts wie für den ePass

Ich glaube, du solltest den Bericht noch einmal lesen, du hast definitiv was nicht verstanden...


*** EDIT ***
Aber der Langen Rede kurzer Sinn: Ich habe glaube ich deutlich gemacht, dass es bei so einem Projekt durchaus Sicherheitsrisiken geben kann, egal ob bereits bekannt oder erst in der Zukunft. Fakt ist, dass bei so einem System der Anreiz es zu knacken natürlich extrem hoch ist.
Daran ändern kann man sowieso nichts mehr daran, der Ausweis ist ja beschlossen.
Daher klinke ich mich an dieser Stelle wieder aus, auf eine Grundsatzdiskussion habe ich an dieser Stelle keine Lust, dazu ist einfach das Know-How in diesem Forum nicht hoch genug.

billsux

Warum? Das Dokument ist auch ohne die elektronischen Daten in vollem Umfang gültig!

Ja und? Fliegst du in die USA und dann musst du eh die Daten, die auch auf dem Ausweis sind abgeben? Was soll also der Unsinn?

billsux

Auf dem neuen Perso können (momentan noch optional) Fingerabdrücke gespeichert werden. Und wer die Salamitaktik unserer Politiker in den letzten Jahren verfolgt hat muss kein Prophet sein um zu erahnen, dass in ein paar Jahren die Fingerabdrücke nicht mehr optional sondern verpflichtend sind.

Man könnte jetzt hier immer weiter philosophieren und kommt nicht zu einem Punkt. Fakt ist: Der Fingerabdruck ist freiwillig.

billsux

Der Unterschied besteht darin, dass ein gestohlener Ausweis vom Besitzer bemerkt werden kann und der den Verlust bei den Behörden angeben kann, wodurch der Ausweis dan digital gesperrt werden kann

Die bisherigen Ausweise können aber Kriminellen gute Dienste leisten, auch wenn er als gestohlen oder verloren gemeldet ist.

billsux

Wenn eine Karte heimlich geklont wird, dann bekommt das kein Mensch mit und der Täter kann in Ruhe versuchen die Verschlüsselung zu knacken.

Wenn du schon so große Töne spuckst, solltest du auch wissen, wie derzeit die Wahrscheinlichkeit ist, einen 2048 Bit Schlüssel zu knacken ist. Also bitte. Ich denke wir können uns darauf einigen, dass dies in naher Zukunft nahezu ausgeschlossen ist.
Bitte lass also solche dummen Bemerkungen, willst du dich nicht bloß stellen. Ich denke mal in der Umsetzung kennst du dich genau so wenig aus wie ich. Lese aber doch mal bitte Einschätzungen von Experten über die Sicherheit dieses Ausweises, dann könntest du dir solche blöden Kommentare sparren.
Im übrigen ist dieses "kopieren" keine echte Sicherheitslücke. Das ist auch so in der Dokumentation beschrieben, das dies möglich ist, wird aber hingenommen, weil es von Experten als kein Sicherheitsrisiko angesehen wird.
Jetzt kommst du vielleicht mit einem Sicherheitsrisiko, dass ein kopierter Ausweis auch bei Automaten funktioniert. Aber auch das ist bekannt und steht auch so in der Dokumentation. Der Grund ist, weil der Ausweis noch nicht elektronisch auch Echtheit überprüft wird. Bis dies geschieht ist es vorgeschrieben, dass der Ausweis von einer Person überprüft wird. Spätestens hier dürfte eine Kopie auffallen.

billsux

Du hast keinerlei Plan, weder von IT, noch von heise, noch von seriösem Journalismus.

Auch in der IT-Welt wird über Heise gerne mal von Bild der IT-Welt geredet. Also das ist nicht nur meine persönliche Meinung.

Bieberpelz

Ich finde es sehr schade... nein, es nervt sogar verdammt ... das du zu jedem Thema das Thema Migranten, illegale Einwanderer und Türken Verbinden muss.
Auch wenn deine Begründung sehr wohl zu dem Thema passt, bitter finde ich das dennoch. Aber lass dich da nicht von mir stören

Genau deswegen wurden doch die Verschärfungen eingeführt - es wurde mit Ausweisen und Karten viel zu viel Mißbrauch getrieben. Und da ist auch häufiger die Aische mit der Karte vom Muhammed oder der Alexej mit der Karte von Olga zum Zahnarzt gegangen. Bei aller Linkslastigkeit sollte man aber die Gründe und Tatsachen nicht verwischen die zu einer strengeren Sicherung von Pässen, Karten und Dokumenten geführt hat.

Nicht meine Erwähnungen dazu sind bitter, sondern die Gründe die uns zu solch Notwendigkeiten zwingen ....

Patzenhofer

Wenn du schon so große Töne spuckst, solltest du auch wissen, wie derzeit die Wahrscheinlichkeit ist, einen 2048 Bit Schlüssel zu knacken ist. Also bitte. Ich denke wir können uns darauf einigen, dass dies in naher Zukunft nahezu ausgeschlossen ist.

Dein komplette Unwissenheit zum Thema Verschlüsselung wird dadurch entlarvt, dass du anhand der Schlüsselgröße auf die Sicherheit des Verfahren, schließt. Das ist ein typischer Fehler, der z.B. einen Studenten in der Abschlussprüfung durchfallen lässt.

Und ließ bitte nochmals mein EDIT aus dem vorherigen Post durch. Ich habe nicht geschrieben, dass der Pass unsicher ist, ich habe nur mögliche Risiken aufgezeigt.

Patzenhofer

Auch in der IT-Welt wird über Heise gerne mal von Bild der IT-Welt geredet. Also das ist nicht nur meine persönliche Meinung.

rofl - der war gut - nein, besser gesagt: das ist der größte Bullshit den ich je gelesen habe!. Was sind das für "Einwohner der IT-Welt"? Computerbild Leser? Oder sind das Kommulitonen von dir die von Tuten und Blasen keine Ahnung haben?
Würde mich echt mal interessieren. Kannst mir gerne per PN mal ein paar Namen + Berufliche Qualifikation schicken, das würde ich gerne von diesen Leuten persönlich hören...

Könnte, wäre, sei... Natürlich kann man alles erst mal in frage stellen und theoretische Angriffe durchdenken, die unwahrscheinlich, aber theoretisch möglich sind (auch wenn es die Technik vermutlich schon veraltert ist, bevor man erfolgreich war). Aber dann muss man auch sagen ist nichts sicher. Diese Verschlüsselung gilt aber zur Zeit als sicher und solange es auch keine tatsächlichen Angriffsmethoden gibt ist dieser es auch.