Belgische ePässe ohne Autorisierung auslesbar
Die zwischen Ende 2004 und Juli 2006 herausgegebenen erste Generation von Reisepässen mit integriertem RFID-Chip weisen keinerlei Schutzfunktionen auf, um ein unautorisiertes Auslesen zu verhindern.
- Daniel Bachfeld
Die in Belgien zwischen Ende 2004 und Juli 2006 herausgegebene erste Generation von Reisepässen mit integriertem RFID-Chip weisen keinerlei Schutzfunktionen auf, um ein unautorisiertes Auslesen zu verhindern. Wie ein belgisches Forscherteam der Catholic University of Louvain aufdeckte, ist es auf sehr einfache Weise möglich, die auf dem Chip gespeicherten Daten vom Besitzer in wenigen Sekunden unbemerkt auszulesen – neben dem Foto auch die digitalisierte Unterschrift des Passinhabers. Eigentlich sollte die von der internationalen Luftfahrtorganisation ICAO vorgeschlagene Basic Access Control (BAC) das unautorisierte Auslesen der Daten durch kryptografische Funktionen verhindern.
Seit Juli 2006 gibt die belgische Regierung Reisepässe mit RFID-Chips heraus, die durch BAC gegen das unautorisierte Auslesen geschützt seien. Allerdings soll sich der Zugriffsschlüssel, der sich aus Geburtstag, Ablaufdatum und Passnummer zusammensetzt und als maschinenlesbarer Code auf dem Pass aufgebracht ist, mehr oder minder leicht erraten lassen, da die Passnummern in steigender Folge vergeben würden und die Gültigkeitsdauer sich auf fünf Jahre beschränke. Ein ähnliches Problem weisen auch die Reisepässe anderer Länder auf; beispielsweise ist beim niederländischen Reisepass die theoretischen Schlüssellänge von 56 Bit auf 35 Bit zusammengeschrumpft, da Ausgabedatum und Passnummer dort linear zusammenhängen.
Besonders prekär an dem nun aufgedeckten Problem sei nach Angaben der Mitglieder der Forschungsgruppe Gildas Avoine, Kassem Kalach, and Jean-Jacques Quisquater, dass der Außenminister Karel De Gucht noch am 9. Januar vor dem belgischen Parlament behauptete, die Daten auf den elektronischen Pässen seien sowohl durch Basic Access Control als auch durch Active Authentication geschützt. Avoine, Kalach und Quisquater fordern nun, dass die Reisepässe der ersten Generation zurückgezogen werden. Für die zweite Generation fordern die Forscher, in den maschinenlesbaren Zugriffsschlüssel Zufallszeichen einzufügen – dazu sei aber offenbar eine Änderung des ICAO-Standards erforderlich. Zudem könne man auch dem amerikanischen Beispiel folgen und den Pass in eine metallene Schutzhülle stecken.
Siehe dazu auch:
- Belgian Biometric Passport does not get a pass..., Bericht der UCL Crypto Group
Zum ePass, dem neuen elektronischen Personalausweis und den Auseinandersetzungen um Ausweise mit digitalisierten biometrischen Merkmalen siehe den Online-Artikel in c't – Hintergrund:
(dab)
