Hadmut Danisch

Ansichten eines Informatikers

Ist der neue elektronische Personalausweis sicher?

Hadmut
16.10.2010 16:55

Zwei Leute haben mich schon privat gefragt, ober der neue digitale Personalausweis sicher ist, und inzwischen hat mich auch im Blog jemand drum gebeten.

Also hier nun ein paar Worte dazu, wie ich das derzeit sehe.

  1. Ob der neue elektronische Personalausweis sicher ist? Woher soll ich das wissen?

    Ich habe mich bisher nicht näher mit dem Ding beschäftigt, hatte mit anderen Sachen zu tun. Ich bin mir auch nicht sicher, was und wieviel von dem internen Aufbau dokumentiert und frei zugänglich ist. In der offiziellen Broschüre über „alles Wissenswerte” steht jedenfalls nicht viel dazu drin. Wenn es publiziert ist, dann halten sie es anscheinend nicht für wissenswert.

    Und da sind wir schon beim Problem. Es genügt nicht, daß etwas objektiv sicher ist. Es genügt nicht, daß man etwas nicht angreifen kann. Zur Sicherheit gehört auch, daß man sich von der Sicherheit vergewissern kann und der Sache nicht blind vertrauen muß. Es genügt nicht, wenn Sicherheit nachweisbar ist. Es genügt erst, wenn sie tatsächlich nachgewiesen ist. Das Ding kann so sicher sein wie es will. Solange ich mich nicht davon überzeugen kann, in dem ich mir den gesamten internen Aufbau usw. anschaue, ist der nicht sicher. Und einiges leuchtet mir dabei bisher nicht ein, etwa wie der Personalausweis dafür sorgen soll, daß Behinderte künftig barrierefreie Webseiten vorfinden sollen (vgl. die Broschüre, Seite 19).

  2. Ob der neue elektronische Personalausweis sicher ist? Die Frage ist falsch gestellt.

    Der Personalausweis kann schon deshalb nicht „sicher” sein (auch wenn die Politik das so propagiert), weil „Sicherheit” keine absolute, für sich zu betrachtende Eigenschaft ist. Sicherheit ist relativ, nämlich gegen einen Angriff. Der Personalausweis kann nicht sicher sein, und man kann auch nicht danach fragen, solange man nicht dazu, wogegen, welche Sicherheit man meint.

    Sicherheit setzt immer ein Angriffsmodell voraus. Jemand sagt, welcher Angriff betrachtet wird, daß etwas dagegen sicher sein soll, und warum. So funktioniert Sicherheit. Habe ich beim Personalausweis bisher aber so nicht gesehen.

    Der kann tolle Eigenschaften und ein geniales Innenleben haben, soviel er will. Solange aber niemand daherkommt und sagt, dies ist der Angriff, das ist die Gegenmaßnahme und so und so wirkt sie dagegen, hat der Ausweis keine Sicherheitseigenschaft.

    „Der Ausweis ist sicher” ist nur dummes Gerede.

  3. Ob der neue elektronische Personalausweis sicher ist? Kommt drauf an für wen.

    Sicherheit ist nicht nur relativ zum Angriff, sondern auch abhängig von der Angreifer- und der Interessenposition. Mit der oben angesprochenen Frage, gegen welchen Angriff gesichert wird, geht immer auch die Frage einher, wer gegen den Angriff gesichert wird.

    Und da habe ich hier Bedenken. Schon bei De-Mail habe ich (wie schon mehrfach hier im Blog beschrieben) Zweifel, ob man den Bürger, oder eher Staat und Industrie gegen den Bürger sichert. Ob also der Bürger als gesicherter Interessenträger oder als Angreifer gesehen wird. Bei der elektronischen Steuererklärung habe ich gerade auch das Gefühl, daß ich da der Dumme bin.

    Das wird darauf hinauslaufen, daß man früher oder später versehentlich etwas unterzeichnet, oder auch gar nicht, und man das nicht nachweisen kann, oder eine Behörde es nicht verstehen will. Daß man sich plötzlich viel engere Fristen usw. vorhalten lassen muß.

    Mag ja sein, daß der Personalausweis „sicher” in irgendeiner Hinsicht ist. Die Frage ist aber, ob ich als Bürger dabei profitiere oder der Dumme bin, weil sich die „Sicherheit” oder – noch viel schlimmer – die (Rechts-)Unsicherheit gegen mich richtet. Wenn das darauf hinausläuft, daß ich als Bürger es nachher viel schwerer habe, gegen den Staat, gegen die Behörde, gegen die Obrigkeit in irgendwelchen Rechtsstreitigkeiten zu kämpfen – mag das aus deren Sicht tatsächlich „sicher” sein. Aus meiner aber nicht.

  4. Ob der neue elektronische Personalausweis sicher ist? Worauf bezieht sich die Frage?

    Der neue Personalausweis ist ein ganzes Bündel von Eigenschaften und Funktionen. Die Frage kann man also nicht pauschal beantworten. Man muß jede einzelne Funktion betrachten. Ob der Ausweis fälschungssicher ist, ist eine ganz andere Frage, als ob die Pseudonymfunktion die Anonymität erhält.

  5. Ob der neue elektronische Personalausweis sicher ist? Kann man so nicht beantworten.

    Der Ausweis ist selbst nämlich kein vollständiges System. Insofern ist er für sich betrachtet gar nicht sicher, was seine elektronischen Funktionen angeht, weil ich ihn nicht isoliert verwenden kann (was für den Aufdruck und dessen herkömmliche Ausweisfunktion anders ist).

    Zum Ausweis dazu gehören für den Gebrauch noch Kartenleser, PC, Internet, Server, Dienst, Anwendung usw. Und da kann der Hund begraben liegen, wie der CCC ja kürzlich anhand der Uraltmasche mit der PIN über den Computer gezeigt hat. Und das kann man heute noch gar nicht alles absehen. Irgendwann werde ich die Türschließanlage der Firma (oder meiner Wohnung?) damit betätigen, mein Auto damit anlassen usw. (oder zumindest wird mir jemand anpreisen, das zu tun). Um die Sicherheit hinreichend zu beurteilen, muß man das zusammen sehen.

  6. Ob der neue elektronische Personalausweis sicher ist? Mit dem angeblich so sicheren Reisepaß habe ich jedenfalls schlechte Erfahrungen.

    Beim RFID-Reisepaß war ich damals einer der ersten, der den beantragt hat. Und hatte echte Scherereien damit. Weil das echt bescheuert gemacht war.

    Meine Nase ist schief. Nicht daß es jetzt übermäßig auffiele, aber so ist es nunmal. Und genau das ist ja auch eigentlich der Witz an der Biometrie, daß man über die meßbaren Eigenheiten meines Schädels auf meine Person schließen kann. Nun wollten die mir aber keinen Paß geben bzw. nur nach Unterzeichnung, daß ich selbst für Probleme hafte, weil mein Gesicht (ich bin zwar keine Schönheit, wie Quasimodo sehe ich aber auch nicht aus) eben nicht in deren Paßbildschablone paßte. Wenn ich Augen und Mund in deren Muster lege, ist die Nase nicht da, wo sie nach deren Muster sein soll. Irgendein Idiot hat da ganz oben in der Hierarchie das Prinzip nicht verstanden, daß Biometrie darauf beruht, daß Menschen eben gerade nicht alle gleich sind, sondern sich unterscheiden.

    Und ich bezweifle, daß man sich nach Einführung dieses Reisepasses inzwischen all dieser Idioten entledigt hat. Solche Unsinnigkeiten wird es auch beim Perso geben, sonst wär’s nicht Deutschland.

    Außerdem hatte ich damals noch das Problem, daß der Paßbildautomat falsch konfiguriert war und die Paßbilder spiegelverkehrt ausgedruckt hat, was zunächst niemandem auffiel (und mir erst abends danach, weil ich zufällig einen kleinen Pickel an der Stirn hatte, der auf dem Foto auf der falschen Seite war). Das heißt, daß meine schiefe Nase wegen ihrer Asymmetrie geradezu fatale Auswirkungen gehabt hätte, weil ich niemals wieder ich selbst gewesen und an jedem Flughafen festgenommen worden wäre. Selbst ein vermeintlich sicheres System kann durch solche unvorhergesehenen Fehler aus dem Tritt geraten. Außerdem provoziert die dabei zu Tage getretene Lücke, daß sie nämlich bei der Abgabe des Paßbildes mit dem Antrag dessen biometrische Authentizität nicht prüfen, auch für Angriffe ausgenutzt werden. Da treten dann so Sicherheitslücken zu Tage, an die die überhaupt nicht gedacht haben.

    Übrigens hätte ich bisher bei keiner meiner Reisen gesehen, daß jemand den Chip ausgelesen hätte. Vielleicht habe ich es nicht gemerkt, aber jedenfalls sah es nicht danach aus. Die ziehen alle brav den Streifen mit der maschinenlesbaren Beschriftung durch den Schlitz.

  7. Ob der neue elektronische Personalausweis sicher ist?

    Guck mal, wie die sich bei Vorratsdatenspeicherung, Kinderpornosperre, sonst mit IT oder in ihrer Bundestags-Internet-Enquete anstellen. In unserer Politik und in unseren Ministerien sitzen einfach die falschen Leute, um sowas ordentlich auf die Reihe zu kriegen.

  8. Ob der neue elektronische Personalausweis sicher ist?

    Ich habe Bedenken wegen der kurzen PIN und den Lesegeräten. Da drängt sich der Gedanke an ähnliche Angriffe wie bei Geldautomaten auf.

Grundsätzlich halte ich den neuen Personalausweis eigentlich für eine gute Idee, schon weil mir der alte zu groß ist. Und ein ordentliches Authentifikationsverfahren wäre auch kein Fehler.

Aber ich sehe in Deutschland nicht viele, die sowas tatsächlich hinkriegen könnten. Unserer Politik und unserer Wissenschaft traue ich sowas jedenfalls schon lange nicht mehr zu.

Und wenn ich dann noch diese dämliche Propaganda höre, der Ausweis ist sicher, kommen mir immer mehr Zweifel. Diesmal werde ich ganz sicher nicht zu den ersten gehören, die so ein Ding haben.


11 Kommentare (RSS-Feed)

Jens
16.10.2010 20:44
Kommentarlink

“Nun wollten die mir aber keinen Paß geben bzw. nur nach Unterzeichnung, daß ich selbst für Probleme hafte, weil mein Gesicht (ich bin zwar keine Schönheit, wie Quasimodo sehe ich aber auch nicht aus) eben nicht in deren Paßbildschablone paßte.”

Und, hast Du unterschrieben?


yasar
16.10.2010 22:12
Kommentarlink

Wie üblich ist der Bürger der Dumme. Zitat aus dem Heis-Artikel http://www.heise.de/newsticker/meldung/Lob-und-Tadel-fuer-den-elektronischen-Personalausweis-1108972.html

Der Nachweis der Urheberschaft über eine missbräuchliche Nutzung der eID-Funktion müsse über den Anscheinsbeweis geführt werden; der Anschein einer Authentisierung durch den Ausweisinhaber soll immer dann gelten, wenn ausgeschlossen werden kann, das ein Trojaner oder eine sonstige Malware die Authentisierung angestoßen hat.

Das läuft vermutlich wie bei der EC-Karte: Die PIN ist sicher, also muß der Kunde der Schuldige sein (PIN aufgeschrieben oder verrraten). Und als Kunde hat man im Prinzip keine Möglichkeit das Gegenteil zu beweisen.

Obwohl: Wenn man auf seinem Rechner extra einen Trojaner hegt und Pflegt für den Notfall, könnte man vielleicht sogar immer alles abstreiten.


ins
16.10.2010 22:12
Kommentarlink

Was ist mit dem “Hack” des CCC? Manche meinen das wäre praktisch irrelevant, der CCC sieht das nat. anders.

Sicherheitsexperte Thomas de Misere meint dazu (Mit Video):
http://blog.fefe.de/?ts=b264ca2d

Auch mehr oder weniger interessant:
http://blog.fefe.de/
?ts=b251a10b (Bischen Technisches)
?ts=b251f1f0 (Gemurkse mit Maus-PIN-Pad)
?ts=b253324e (PR-Agentur und ePerso)

PS: Der Spamfilter suckt


Jens
17.10.2010 12:27
Kommentarlink

http://www.heise.de/newsticker/meldung/Lob-und-Tadel-fuer-den-elektronischen-Personalausweis-1108972.html

“Dank PACE und EAC und Secure Messaging ist der im November startende elektronische (neue) Personalausweis (inzwischen nPA abgekürzt) “kryptographisch sicher”. Die Sicherheitsanalyse der Protokolle durch Wissenschaftler der Technischen Universität Darmstadt habe keine Schwachstellen ergeben, berichtete Marc Fischlin.”


Hadmut
17.10.2010 16:38
Kommentarlink

Welche Meinung ich von Darmstädter Sicherheitswissenschaftlern, deren Qualität, Glaubwürdigkeit und Befähigung, habe, habe ich hier ja schon öfters dargestellt, insbesondere bezüglich des SIT und dessen (ehemalige?) Direktorin Claudia Eckert.

Wen jemand, der sich solche Dinger leistet wie die mit ihrem Gerichtsgutachten, in Darmstadt so hoch kommen kann, dann kann der Standort Darmstadt in Bezug auf Kryptographie und Sicherheit nicht seriös und glaubwürdig sein.


Özgür
28.10.2010 20:16
Kommentarlink

Es ist hart auf Grund einer Person alle Wissenschaftler in der selbigen Stadt zu verurteilen. Das ist unfair.


Hadmut
28.10.2010 20:32
Kommentarlink

@Özgür: Unfug.

Wenn Du Dich mal mit meiner Webseite und meiner Doku befasst hättest, dann wüßtest Du, daß ich mich mit noch mehr Leuten aus Darmstadt beschäftigt habe. Nur kann ich das nicht in jedem kleinen Blog-Artikel jedesmal komplett runterbeten.

Umgekehrt halte ich es für unfair, mir allein anhand eines einzigen kleinen Blog-Artikels zu unterstellen, daß ich die Darmstädter Wissenschaftler nur auf Grund einer Person beurteilen würde. Das Blog hat inzwischen mehrere Tausend Artikel, und meine Doku über 700 Seiten.

Ich darf mal daran erinnern, daß weder ich noch das Gericht es geschafft haben, in Darmstadt jemanden zu finden, der wenigstens Grundlagenwissen in IT-Sicherheit gutachterlich bestätigen wollte, weil man einfach nicht bereit war, Beths und Eckerts Falschgutachten aufzudecken.

Und daraus kann man durchaus folgern, daß die Darmstädter Sicherheits-„Wissenschaftler” nicht ehrlich und nicht vertrauenswürdig sind. Denn aus falsch verstandener Kollegialität die Fehler eines anderen nicht aufzudecken und dazu zu schweigen, ist genauso gut wie gelogen.

Und daß jemand wie Eckert dort Karriere machen kann und akzeptiert wird, sagt ja nicht nur was über Eckert, sondern auch über alles andere, was dort rumläuft.


Jakob.F
11.11.2010 12:17
Kommentarlink

Ich glaube nicht, dass der neue Ausweis dem Bürger was bringen wird was er vorher nicht hatte (OK mehr Platz im Geldbeutel und das sogar in zweifacher Hinsicht), der Staat aber so eine viel bessere Organisation erhält und besser überwachen kann. Das kann es einem aber nicht wert sein.


Hadmut
11.11.2010 13:00
Kommentarlink

Das sehe ich etwas positiver.

Der Platz im Geldbeutel ist mir schon einiges wert, wenn sie jetzt noch den KFZ-Schein auf Scheckkartengröße kriegen, wär ich happy.

Und die Funktionen zur Authentifikation und Signatur halte ich – wenn sie denn ordentlich umgesetzt werden – für eine sehr gute Sache. Damit kann man sich auch einiges erleichtern. Hätte ich es mir beispielsweise gespart, zur Ummeldung meines Autos zur weit entfernten Kreisverwaltungsbehörde zu fahren und hätte das Online machen können, gegen Zusendung der Nummernschilder per Post, hätte ich schon dadurch die Mehrkosten des Ausweises fast schon wieder eingespart.

Ich fürchte halt nur, daß das wie in Deutschland so üblich, mal wieder zusammengemurkst wird, alle Lobbygruppen reinpfuschen, die Politik nicht weiß, was sie tut, und das Hauptziel nicht ist, den Bürgern tolle Personalausweise mit tollen Funktionen zu liefern, sondern der Wirtschaft Umsatz zu verabreichen. Da sehe ich das Problem.


yasar
11.11.2010 14:08
Kommentarlink

Hallo Hadmut,

Das Problem Authentifizierung und Signaturen mit Smartcards haben wir vor 20 Jahren auch schon im E.I.S.S. öfter diskutiert und sind im wesentlichen immer zu dem einen Schluß gelangt: Egal wie toll die Karte oder auch die Protokolle sind, die Sicherheit hängt wesentlich mit an der Vertrauenswürdigkeit des Displays und der Tastatur. Unser Wunsch damals waren smartcards mit integrierter Tastatur und integriertem Display, die damals allerdings kaum verfügbar waren (ganz abgesehen von der Prozessorleistung). Daher lief das darauf hinaus, daß zumindest das Lesegerät vertrauenswürdig sein mußte und Tastur und Display stellen sollte (was damals aber auch kaum verfügbar war).

Da der neue Ausweis weder Tastatur noch Display hat, läuft das also auf die vertrauenswürdigkeit des Lesers hinaus. Wenn man das Ding jetzt immer mitschleppen muß, damit man sich sicherer als bisher authentifizieren kann, hat sich die Platzersparnis ins Gegenteil verkehrt.

Man könnte jetzt natürlich einwenden, daß man wie bei der EC-Karte auch, die Lesegeräte beim Händler und den Behörden per se als sicher einstuft. Dann hat man aber wie bei der EC-Karte anfangs auch, daß man wegen dem “Anscheinsbeweis” im Problemfall erstmal derjenige ist, der seine Unschuld zu bweisen hat. (Siehe auch das obige Zitat).

Vieles wird vielleicht bequemer werden mit dem Ding, die Frage ist nur, welchen Preis wir dafür noch zu zahlen haben.

PS: Übrigens weißt Du wie ich aus Erfahrung daß mehr Bequemlichkeit meist einer verminderten Sicherheit einhergeht, bzw Sicherheitsmaßnahmen zu mehr Unbequmlichkeit führen. Wenn man das als Maßstab nimmt und die Karte alles viel bequemer machen soll, drängt sich mir geradezu der Schluß auf, daß die Sicherheit dabei auf der Steckke bleiben wird (aber nicht muß, wenn man es richtig machen würde).


Hadmut
11.11.2010 14:59
Kommentarlink

Hallo Yasar,

das weiß ich doch. Ich hab sogar noch welche von den EISS-Karten. 😀

Das ist eben eins der bisher ungelösten Probleme, daß sie das übersehen haben, daß die Karte allein noch kein vertrauenswürdiges System ergibt.

Dummerweise haben sie kleine billige Kartenleser, und auch solche mit Tastatur und Display. Aber eben noch nicht solche, die alle vier Eigenschaften haben.

Ist halt eine Frage der Zielrichtung. Flächendeckend ein elektronisches Signier-/Authentifikationstoken auszugeben ist OK. Und die Überlegung, es mit dem Personalausweis zu verknüpfen, halte ich auch nicht für ganz falsch.

Grüße
Hadmut