Elektronische IDs und Personalausweise nicht nur für Drachen

Der Hackerkongresses 26C3 beschäftigte sich auch mit den ID-Plänen, die in Deutschland und Europa für Bürger geschmiedet werden, die sich digital ausweisen müssen. Unter anderem wurde detailliert das PACE-Protokoll des künftigen elektronischen Personalausweises beleuchtet.

In Pocket speichern vorlesen Druckansicht 92 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Detlef Borchers

Der Hackerkongresses 26C3 beschäftigte sich auch mit den ID-Plänen, die in Deutschland und Europa für Bürger geschmiedet werden, die sich digital ausweisen müssen. Unter anderem wurde detailliert das PACE-Protokoll des künftigen elektronischen Personalausweises beleuchtet.

Der Vortrag über Europäische Biometriestrategien (PDF-Datei) entpuppte sich als ein vom Blatt abgelesener Vortrag einer Examensarbeit, die offenbar aus einem soziologisch-theoretischen Teil und einer empirischen Untersuchung der "Automatisierten Biometriegestützten Grenzkontrolle" (ABG) am Frankfurter Flughafen bestand. Referentin ebenso wie Zuhörer hatten Probleme mit der Schilderung der Technik, weil das völlig anders funktionierende Testsystem EasyPass mit dem ABG-System verwechselt wurde. So blieb am Ende die hilflose Vermutung über, dass da "irgendwelche Komponenten" ausgewechselt wurden, weil "nichts funktioniert".

In einem weiteren Vortrag beschäftigte sich Henryk Plötz, Doktorand an der Humboldt Universität Berlin, mit dem elektronischen Personalausweis, der ab November 2010 ausgegeben werden soll. Dieser Ausweis auf Basis einer kontaktlosen Smartcard wird in einem "hoheitlichen Teil", der zur Identifikation als deutscher Bürger dient, ein biometrisches Foto speichern und kann auch Fingerabdrucke enthalten, deren Abgabe freiwillig ist.

Diese Informationen zur behördlichen Kontrolle haben nichts mit den Daten zu tun, die via Lesegerät und Bürgerclient-Software im Internet eingesetzt werden können (nicht-hoheitlicher Teil des elektronischen Personalausweises). Die Möglichkeiten sind umso interessanter, weil der elektronische Personalausweis für vielfältige Funktionen konzipiert wurde, die der Bürger braucht, wenn er gesicherte digitale Spuren hinterlassen will, die dennoch ausreichend anonym sind. Ein Beispiel ist die Altersverifikation, die ein Erotikanbieter abfragt. Er braucht nur zu wissen, ob ein Besucher der Website über 18 ist, nicht sein tatsächliches Alter.

Ausführlich besprach der Referent darum das PACE-Protokoll (Password Authenticated Connection Establishment), eine patentfreie Eigentwicklung des Bundesamtes für Sicherheit in der Informationstechnik. Bei PACE muss der Anwender eine PIN und die auf dem Ausweis aufgedruckte CAN eingeben, um sich zu authentifizieren. Im Zusammenspiel mit dem zertifizierten Terminal (Kartenlesegerät) und dem Diensteanbieter wird alsdann ein sicherer Kommunikationskanal aufgebaut. Über diesen läuft dann die Abfrage der Daten, für die der Online-Diensteanbieter ein Genehmigungszertifikat besitzt.

Der Referent würdigte das Protokoll als gutes System, das unter dem Gesichtspunkt der Datensparsamkeit entwickelt wurde. Seine Darstellung, wie Daten vom Personalausweis ausgelesen werden, wurde in der Tagespresse prompt zur Jubelmeldung, dass der Ausweis gehackt ist. Allerdings hofft der CCC, dass mit der im November 2010 startenden Ausweisausgabe der Hackerclub auf seinem nächsten Kongress einen Ausweis präsentieren kann, "geliefert, gehackt und gefrostet", wie es in der Abschlussveranstaltung "Security Nightmares" hieß.

Da der elektronische Personalausweis optional aber auch Träger einer qualifizierten elektronischen Signatur (QES) sein kann, gebe es unerwünschten Nebenwirkungen und Risiken. So sei die PIN-gesicherte Identität des Bürgers weit mächtiger und keineswegs nur ein einfaches System der Datenfreigabe. Denn mit der elektronischen Identität könne der Bürger eine QES beantragen und dann den QES-PIN setzen. Diese Schwachstelle beruht auf der Anforderung des deutschen Signaturgesetzes, nach dem eine zum Auslösen der Signatur geeignet PIN niemals aufgeschrieben sein darf. Sofern es nun einem attackierenden Datenräuber gelingen würde, der Ausgabestelle einen beliebigen gültigen Personalausweis zu emulieren, könne er beliebig viele QES anfordern und etwa für Bestellungen von Waren einsetzen. Weitere Erkenntnisse versprach sich Henryk Plötz vom Anwendertest des neuen Ausweises, der nach seiner Einschätzung noch in den Kinderschuhen stecken und nicht wirklich flüssig laufen soll. (jk)