Konservative britische Tageszeitung prangert unsichere RFID-Pässe an
Die Daily Mail hat darüber berichtet, wie es einem Sicherheitsexperten gelungen ist, Zugriff auf Daten zu erhalten, die auf dem RFID-Chip eines neu ausgegebenen britischen Reisepasses gespeichert sind.
Dass die britischen Konservativen gegen das von Premierminister Tony Blair initiierte nationale ID-Card-Projekt in Großbritannien sind, ist spätestens seit der öffentlichen Drohung von Schatteninnenminister David Davies bekannt, der ankündigte, das ID-Card-Projekt in der jetzigen Form fallen zu lassen, sollte seine Partei die Labour Party bei den kommenden Wahlen an der Regierung ablösen. Diese hatte mit Inkrafttreten des Identity Cards Act 2006 im vergangenen Jahr die gesetzliche Grundlage geschaffen, digitale Personaldokumente mit biometrischen Informationen der Inhaber stufenweise im Königreich einzuführen. Zunächst sollen elektronische Reisepässe und digitale Führerscheine ausgegeben werden, später dann auch deutschen Personalausweisen vergleichbare ID-Karten.
Für weitere Kratzer an dem auch in der Bevölkerung umstrittenen ID-Karten-Vorhaben sorgte jetzt ein Artikel in der Tory-nahen Daily Mail. Das Blatt hatte in der Sonntagsausgabe darüber berichtet, wie es dem Sicherheitsexperten Adam Laurie gelungen ist, Zugriff auf Daten zu erhalten, die auf dem RFID-Chip eines neu ausgegebenen Reisepasses gespeichert sind. Laurie konzentrierte sich bei seinen Versuchen auf die Basic Access Control (BAC), bei der aus den maschinenlesbaren Daten des Dokuments ein Schlüssel generiert wird, mit dem auf die Daten des RFID-Chips zugegriffen werden kann. Ähnlich war zuvor Lukas Grunwald vorgegangen, der im vergangenen Jahr demonstriert hatte, wie die auf RFID-Chips hinterlegten Daten kopiert und in ein anderes elektronisches Ausweisdokument eingelesen werden können.
Wie bei Grunwald kam ein für Grenzkontrollen offiziell zugelassener RFID-Reader der deutschen ACG Identification Technologies zum Einsatz. Nach einer Analyse der Machine Readable Zone (MRZ) und der Verarbeitung von (ihm teilweise bekannten) Informationen über die Passinhaberin probierte Laurie per Brute-Force-Methode mehrere zehntausend Kombinationen aus, bis er schließlich den richtigen Zugriffsschlüssel gefunden hatte. "Bislang kann ich nicht erkennen, warum die neuen Ausweisdokumente sicherer sein sollen", erklärte Laurie gegenüber der Daily Mail. Ob sich Laurie bereits mit der Extended Access Control (EAC) auseinander gesetzt hat, bei der das Lesegerät ein gültiges Zertifikat präsentieren muss, welches das Dokument prüft, ehe es dem Gerät eine Challenge zum Signieren schickt, geht aus dem Bericht nicht hervor. (pmz)
