Interoperabilitätstests mit biometrischen Reisepässen

1,5 Millionen Deutsche haben einen ePass, mit dem sie überall in der Welt zu Gast sein können – das konnte in Berlin bewiesen werden. In der Hauptstadt ist am gestrigen Donnertagabend der bislang größte Interoperabilitätstest elektronischer Reisepässe mit biometrischen Informationen erfolgreich zu Ende gegangen. Insgesamt wurden beim dreitägigen Crossover-Test 443 Reisepässe mit 47 Lesegeräten von 38 Herstellern auf ihre Einsetzbarkeit getestet. 450 Teilnehmer verfolgten die Testreihen bis tief in die Nacht, unter ihnen 170 Vertreter von Firmen, die Hard- und Software rund um das Passwesen herstellen. Das ausführliche Testprotokoll, das das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) zusammen mit den Firmen Secunet und Cetecom verantworten, ist 710 Seiten stark. Als Fazit des Mammut-Tests halten die Veranstalter fest, dass die Entwicklung der elektronischen Reisepässe mit ihren RFID-Chips deutlich weiter fortgeschritten ist als die Entwicklung der Lesegeräte für diese Pässe. Diese würden teilweise noch Kinderkrankheiten aufweisen, die abgestellt sein müssen, wenn 2007 in Deutschland die zweite, wesentlich anspruchsvollere Stufe bei den ePässen in Angriff genommen wird: Dann kommen die Fingerabdrücke in die Pässe. Sie können nur dann ausgelesen werden, wenn sich auch das Lesegerät mit einem digitalen Zertifikat meldet.

Die Interoperabilitätstests wurden in zwei Arbeitsgängen durchgeführt. Spezialisten der Firma Cetecom testeten mit ihren Messgeräten die Layer 1 bis 4, also den physischen Kommunikationsaufbau zwischen Pass und Lesegerät nach ISO 14443. Vertreter von Secunet und BSI untersuchten die Layer 6 bis 7, also das Auslesen der biometrischen Daten nach erfolgreicher Entschlüsselung der Datei mittels der Basic Access Control (BAC). Bei diesem Verfahren, das nur für europäische Reisepässe obligatorisch ist, wird aus der "Maschinenlesbaren Zone" (MRZ) der Zugangsschlüssel gebildet, mit dem der RFID-Chip abgefragt werden kann. Auf dem Layer 1 bis 4 stellte sich die stabile Kommunikation bei niedrigen Feldstärken von (noch zulässigen) 1,5 mA als größtes Problem heraus. Nur 69,4 % der Reisepässe hielten die Kommunikation aufrecht. Auf dem Layer 6 bis 7 erwies sich die Verifikation des Dateischutzes beim BAC-Zugriff als Problem. Nur 68,52% der Pässe mit BAC-Funktion passierten diesen Test. Alle anderen gemessenen Werte beider Testreihen lagen im Bereich von 90 bis 98%.

Im Crossover-Test bemängelten die Tester die Praxis einiger Staaten, die elektronischen Reisepässe mit einer Metallfolie im Einband zu ummanteln. Dies hat zur Folge, dass die Kommunikation mit dem RFID-Chip im Pass nur hergestellt werden kann, wenn der Pass aufgeklappt ist. Dementsprechend werden Identifikationssyteme außer Gefecht gesetzt, die mit der "swipe & plunk"-Methode arbeiten. Dabei wird der Pass zunächst mit seinem maschinenlesbaren Teil durch ein Lesegerät gezogen und dann geschlossen in eine Art Leseschüsselchen gelegt. Insgesamt erwiesen sich abgeschirmte Pässe als schwerer auslesbar als Exemplare ohne jeden Schutz. In diesem Zusammenhang lesen sich die vom BKA-Referenten Uwe Seidel vorgetragenen praktischen Empfehlungen der Techniker an die Grenzbeamten nicht ohne Komik. So sollen es die Grenzbeamten ab sofort unterlassen, die Reisenden danach zu fragen, wo der Chip im ePass steckt: Wenn sich der Chip aus irgendeinem Grunde nicht meldet, ist der ePass dennoch ein gültiges Reisedokument. Auch sind Fragen nach der Behörde unzulässig, die die im Chip gespeicherten Zertifikate ausstellt.

Im Anschluss an den zweitägigen Testmarathon gab es eine Konferenz, auf der nicht nur die vorläufigen Ergebnisse des Tests vorgestellt wurden. Vielmehr ging es den Vortragenden darum, die Zukunft des elektronischen Reisepasses auszuleuchten, der in seiner jetzigen Form ja nur der Vorläufer all der Dokumente (z. B. Personalausweis, Führerschein) ist, die mit Chip und Biometrie abgesichert werden sollen. Das betonte Staatssekretär August Hanning vom Bundesinnenmnisterium in seiner Eröffnungsrede. So erläuterte Dennis Kügler vom BSI den Anwesenden die Extended Access Control als durchgehende Zertifikationskette, bei der sich sowohl der Chip wie das Lesegerät authentifizieren müssen. Prompt beschwerten sich Zuhörer, die den Einsatz des aufwendigen Verfahrens an den Grenzen für unrealistisch halten. "Dabei wissen wir doch alle, was passiert, wenn so etwas eingeführt wird: Der Druck durch die Politiker, das auch einzusetzen, weil alles noch 'sicherer' wird, wird enorm sein", erklärte ein englischer Kongressteilnehmer.

Das interessanteste Referat hielt Uwe Seidel vom BKA. Er stellte eine Untersuchung vor, die auf der Basis von ca. 2500 Passfotos zeigte, dass eine leichte Lockerung der Toleranzen bei der Definition des Gesichtsbildes nach ISO 19794-5 die Produktionsrate passtauglicher Bilder drastisch erhöht. Zum Start des ePasses hatte es in Deutschland Probleme gegeben, die mit einer rigiden Auslegung der Vorschriften bekämpft wurden. Seidel hielt sein Plädoyer für eine leichte Lockerung der Toleranzen vor dem Hintergrund der guten Erfahrungen, die man bei der Bundesdruckerei und auf den Meldeämtern mit der Qualitätssicherungs-Software gemacht hat. Offenbar ist das Vermögen dieser Software, fehlerhafte Bilder auszusortieren, weitaus besser als die Bildbeurteilung durch Menschen.

Hoffnungslos überfüllt war schließlich der Vortragssaal, als Jan Verschuren vom niederländischen Innenministerium sich mit der Frage der Entropie niederländischer ePässe auseinandersetzte. Die im niederländischen Fernsehen gezeigten Bilder vom erfolgreichen Hack eines digitalen Passes haben offenbar gewirkt. Verschurens Vortrag mit allgemeinen Überlegungen zur Entropie wirkte wie die Kopie eines Hacker-Referats zum gleichen Thema. In den Niederlanden sei man inzwischen dazu übergegangen, die Passnummern aus Zufallszahlen zu bestimmen, erklärte Verschuren, der sich zu dem ePass-Hack selbst nicht äußern wollte. Ähnlich geheimnisvoll gab sich auch das BKA. Es hatte in Zusammenarbeit mit der Bundesdruckerei mehrere gefälschte Pässe in den Interoperabilitätstest eingeschleust, bei denen etwa das Bild ausgetauscht worden war, die Hash-Werte zur Bilddatei aber stimmten. Auch gab es präparierte Pässe, bei denen das Bild stimmte, aber die digitalen Signaturen gefälscht waren. Das Aufspüren dieser Pässe sei "sehr zufriedenstellend" verlaufen, doch Details, welche Lesesysteme vor diesen Pässen kapitulierten, werden nicht veröffentlicht. Sehr reserviert gaben sich die Teilnehmer auch in der Frage nach der Weitergabe von Fluggastdaten an die USA, bei denen die Passdaten eine Rolle spielen. Wir hier sind Techniker, keine Politiker, lautete der allgemeine Tenor.

Alle Vorträge der Konferenz sollen in Kürze auf der Website des Interoperabilitätstest hier verfügbar gemacht werden.

Zur Einführung des ePasses und den Auseinandersetzungen um Ausweise mit digitalisierten biometrischen Merkmalen siehe den Artikel auf c't aktuell (mit Linkliste zu den wichtigsten Artikeln aus der Berichterstattung auf heise online sowie in c't, Technology Review und Telepolis): (jk)

• Die Auseinandersetzung um Ausweise mit digitalisierten biometrischen Merkmalen