BSI: Elektronischer Personalausweis ist sicher
Laut dem Bundesamt fĂĽr Sicherheit in der Informationtechnik ist es Kryptoexperten gelungen, die formale Sicherheit des verwendeten PACE-Verfahrens zu beweisen.
- Detlef Borchers
Das Bundesamt fĂĽr Sicherheit in der Informationtechnik (BSI) hat nach einer Pressemitteilung zusammen mit dem Center for Advanced Security Research Darmstadt (CASED) die Sicherheit des PACE-Verfahrens festgestellt. PACE ist das von PatentansprĂĽchen freie Authentifizierungsverfahren ("Password Authentication Connection Establishment"), das den kĂĽnftigen elektronischen Personalausweis sichern wird. Langfristig soll PACE auĂźerdem die Basic Access Control beim elektronischen Reisepass ersetzen.
PACE ist ein vom BSI entwickeltes Protokoll für den Aufbau eines sicheren Kommunikationskanals zwischen einem Chip und einem Lesegerät. Das Verfahren wurde entwickelt, weil der elektronische Personalausweis eine andere Sicherheitsinfrastruktur haben sollte als der elektronische Reisepass. PACE besorgt dabei den Aufbau der sicheren Kommunikation beim Personalausweis, ehe die Extended Access Control greift und sensitive Daten wie das Gesichtsbild überträgt. PACE beruht auf relativ schwachen Passworten wie einer auf dem Personalausweis aufgebrachten PIN und soll dennoch absolut sicher sein, was das Protokoll für den Austausch von Schlüsseln anbelangt. Den nun veröffentlichten Beweis haben Forscher vom BSI und von CASED gemeinsam erarbeitet. Die Sicherheit soll nach Angaben des BSI selbst in Umgebungen gelten, bei denen ein Angreifer gleichzeitig mehrere Pässe und Lesegeräte anzusprechen versucht.
Der vollständige Beweis für die Sicherheit des zentralen Verschlüsselungsverfahrens beim Personalausweis soll im September auf der ISC 2009 in Pisa vorgestellt werden. Eine heise online vorliegende Kurzfassung des Beweises durch Jens Bender und Dennis Kügler vom BSI sowie Marc Fishlin vom CASED führt aus, dass PACE nach den Kriterien sicher ist, die die Forscher Michel Abdalla, Pierre-Alain Fouque und David Pointcheval (PDF-Datei) aufgestellt haben.
Während die Krypto-Experten auf den Beweis warten, dürfte die Neupositionierung von PACE durch das BSI und damit auch durch das Innenministerium die eigentliche Neuigkeit sein. "Zukünftig soll PACE auch beim elektronischen Reisepass Verwendung finden und dort das sogenannte Basic Access Control (BAC) ablösen", heißt es in der Pressemitteilung, die weiterhin ausführt: "BAC verhindert zwar unter realistischen Bedingungen, dass Passdaten von Angreifern aktiv ausgelesen oder passiv 'mitgehört' werden können, bietet aber nur eine vergleichsweise schwache Verschlüsselung bei der Übertragung der Daten." Das für den Personalausweis entwickelte PACE ist damit ein zentrales Protokoll für alle Ausweisdienste (PDF-Datei) geworden und BAC überlegen. (Detlef Borchers) / (cr)