Ein Wort in eigener Sache

Wie Ministerialrat Andreas Reisen am Rande einer Tagung des BVH erklärte erscheint die Tatsache, dass binnen des ersten Tages der Veröffentlichung der AusweisApp ein Bug entdeckt wurde, mitunter inszeniert.

Wie kommt man darauf?

Nun, die TU Darmstadt ist seit 2008 durch den “Campus-Pilot” als Pilotierungsprojekt der e-ID Funktion des nPA in die Thematik involviert. Die TU Darmstadt hat dazu auf der CeBit 2009 auch ihre Arbeit präsentiert.

Dass Jan Schejbal auch Student an der TU Darmstadt ist – oder zumindest war – sollte man auch wissen. Dort hat er auch seine Bachelor Arbeit im Juli 2010 abgegeben. D.h. er hat die letzten 2 – 3 Jahre an der TU Darmstadt zugebracht.

In Anbetracht der Tatsache, dass der Campus Pilot kein Hexenwerk ist und durchaus zahlreiche Studenten als Probanden eingebunden wurden, hätte sich Hr. Schejbal schon jeglicher Neugier 2 Jahre lang verwehren und sich sprichwörtlich verstecken müssen, um mit der Technologie inkl. AusweisApp und Prototypen nicht in Berührung zu kommen. Zudem war der Bug eine “Besonderheit” einer Drittkomponente, dezent versteckt, und wenn man nicht weiss, dass es Ihn gibt kommt man erstmal nicht so schnell dahinter.

Sein Kommentar ggü. heise  online “Das ist Unsinn, ich hatte vorher keinen Zugriff auf die AusweisApp.” erscheint so zumindest in einem differenzierteren Licht. Da Herr Reisen hier die Ehrlichkeit und Aufrichtigkeit der Probanden und Tester anspricht wird mir mulmig wenn ich daran denke wieviele Piraten und CCC-ler auch in den Testlaboren zu gegen sind. Zumindest verwirrend wirkt auf mich wie die TU Darmstadt stolz erklären kann “TU-Informatikstudent hackt den neuen Ausweis” wobei Sie doch die letzten Jahre eigentlich auch ein scharfes Auge auf die Sicherheit legen sollte? Und der Ausweis selbst wurde ja nicht einmal gehackt. Also wie denn nun?

Wurden – und wenn ja, wieviele? – Sicherheitslücken, die im Anwendungstest gefunden und getilgt werden sollten, von einzelnen Personen zwecks der persönlichen Inszinierung zurück gehalten?

Ich habe den leisen Verdacht: das werden wir kurz nach Weihnachten erfahren.

Jena sind die Besten …

Trotz widriger logistischer Umstände bei der Produktion und Auslieferung der Ausweise durch die Bundesdruckerei hat das Bürgerservicezentrum Jena pragmatische und schnelle Unterstützung geleistet. An dieser Stelle meinen besten Dank für die Hilfe.

Das ist ein weiterer “Coolness Factor” in dieser Stadt zu wohnen.

nPA-Vortrag 2010-11-18 19:00 Uni Jena: Technik, Fakten, Hintergründe

Wie ich aus der Blogosphäre z.B. hier erfahren habe ist das ursprünglich geplante Bier nun einem Hörsaal gewichen.

Es freut mich sehr, dass der Zuspruch offenbar so gut ist und denke es wird bestimmt eine spannende Runde. Hoffentlich ist die Bahn pünktlich, da ich erst kurz vorher mit dem ICE in Jena eintreffen kann.

Wenn es Themen gibt die ich unbedingt im Vortrag behandeln soll einfach einen kurzen Kommentar hierher.

Prof. Dr. Andreas Pfitzmann verstorben

Gestern, den 23.09.2010, verstarb Prof. Dr. Andreas Pfitzmann in Dresden. Mit Ihm geht eine Ikone der IT-Security und des Datenschutzes. Pfitzmann machte sich verdient um verschiedenste Datenschutzthemen und insbesondere Anonymität im Netz. Er war Initiator und Ideengeber für Projekte wie den Java Anonymizing Proxy (JAP) und JonDonym.

Seinen Freunden und seiner Familie möchten wir unser tiefstes Bedauern und Beileid aussprechen. Er war ein Vordenker und wir werden Ihn nicht vergessen.

Rentner knackt neuen Personalausweis

WELTSENSATION: Neuer Personalausweis schon wieder geknackt?

(Quelle: Fraunhofer FOKUS StudiVZ Profil, 2010-09-14)

 

…Jede Woche eine neue Horrormeldung: Erst wurde der neue Personalausweis angeblich von rosahaarigen Super-Hackern mit Trojanern ausspioniert. Dann haben ihn pubertierende Neuntklässler geblitzdingst. Doch er hat sich immer wacker geschlagen. Und jetzt das:

RENTNER KNACKT NEUEN PERSONALAUSWEIS

Der Neue kommt ab dem 1. November und soll laut Bundesregierung besonders sicher sein. Jedoch ist es einem Rentner mit einfachsten Mitteln gelungen, einen Prototyp… des neuen Personalausweis innerhalb kürzester Zeit zu knacken.

„Es muss gestern gegen halb fünf gewesen sein…”, berichtet der rüstige Rentner Erwin P. sichtlich um Fassung bemüht, „es hat nicht mal 10 Sekunden gedauert.” Erwin P., langjähriger Hausmeister an der Konrad-Zuse-Grundschule und seit ca. 12 Jahren in seinem wohlverdienten Ruhestand, wollte den Fachleuten mal zeigen, dass er nicht zum alten Eisen gehöre und sehr wohl wisse, wie man mit dem neumodischen Kram umzugehen hat. Und schlussendlich: „Es hat knick knack gemacht – und der Personalausweis war geknackt – war gar nicht so schwer”, berichtet Erwin. „Entscheidend war wohl die Hardware und deren Einsatz”, mutmaßt Peter B., Betreuer von Erwin am diskordianischen Altersruhestift „Aufklärung”. „Oder einfach nur der sinnvolle Einsatz von Software”, erläutert glaubwürdig ein vorbeilaufender Passant. „Das ist ja wohl die Höhe,” beschwert sich auch der erste Vorsitzende des Neuköllner Brieftaubenvereins Dieter H., „ich hätte nicht gedacht, dass man den Ausweis so leicht knacken kann. Er stellt so eine Bedrohung dar und ich kann ihn unmöglich in mein Portemonnaie packen. Wie sieht denn das bloß aus?! Ich kann auch ohne Probleme ins Innere schauen, auf alles zugreifen.” Gerüchten zu Folge überlegt die Bundesregierung nun, den Personalausweis noch sicherer zu machen. Einem nicht genannten Sprecher aus dem Bundesministerium zu Folge überlege man nun, zur Einführung des neuen Personalausweises kostenfrei massive Stahlhüllen zur Verfügung zu stellen. Wir freuen uns, dass unsere Berichterstattung Wirkung zeigt.

 

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Wo schlägt der Rentner als nächstes zu?
Kann man Neuntklässlern über den Weg trauen?

Alternativen für die PIN-Eingabe auf der Tastatur


Warning: preg_replace() [function.preg-replace]: Compilation failed: this version of PCRE is not compiled with PCRE_UTF8 support at offset 0 in /home/ck/public_html/blog/wp-includes/shortcodes.php on line 309

Durch die jüngsten Darstellungen über Key-Logger Angriffe beim Einsatz von Basislesegeräten möchte ich gern Alternativen für die PIN-Eingabe am Computer diskutieren. Auf welchen Wegen könnte man eine PIN noch eingeben? Angenommen für die PIN-Eingabe könnte man auf die Barrierefreiheit verzichten und die hierdurch benachteiligten Anwender würden Komfortlesegeräte einsetzen.

Denkbar wäre somit eine PIN-Eingabe wie ich sie ca. 2002 für das vx4.net Projekt entwickelt hatte. Bei jeder neuen PIN-Eingabe werden die Ziffernfelder neu “ausgewürfelt” und die PIN kann ausschliesslich durch Anclicken der Felder eingegeben werden:

zerwürfeltes PIN-Pad wie anno 2002 entworfen

Eine andere Möglichkeit wäre noch ein wechselndes Feld aus verschiedenfarbigen Flächen nebst einer wechselnden Farblegende zur Zuordnung der Ziffern 0 bis 9. Würde dies denn den Schwierigkeitsgrad für Trojaner nachhaltig erhöhen?

Welche Ansätze könnte es noch geben?

Update: Die AusweisApp verfügt natürlich schon über ein ähnliches PinPad. Bei der PIN-Eingabe ist unten links der Button. Die Frage bleibt natürlich.

ARD Magazin Plusminus und CCC über angebliche Schwachstelle beim neuen Personalausweis

Laut www.daserste.de wurden angeblich “gravierende Mängel” im Sicherheitssystem festgestellt. Im Detail heisst es sensible Daten samt der PIN können abgefangen werden.

Was hier ganz offensichtlich geschehen ist war die Installation eines Key-Loggers oder Trojaners um die Eingaben des Benutzers am Computer abzufangen. Diese Technik ist inzwischen vermutlich 20 Jahre alt oder sogar älter. Ein solcher Key-Logger kann gleichfalls z.B. auch Anmeldepasswörter auf Webseiten oder für Anwendungen, Kreditkartennummern, e-Mail Adressen – im Zweifelsfall ganze e-Mails – während der Eingabe mitschneiden. Auf einem ordentlich konfigurierten und gesicherten PC eines Privatanwenders sollte sich solch ein Trojaner nicht ohne weiteres “von alleine” installieren und selbst dann aber von den gängigen Malware Scannern erkannt werden. In Unternehmensumgebungen gehören entsprechende Vorkehrungen inzwischen zum Standard.

Der festgestellte Umstand ist daher keineswegs neu und sowohl BMI/BSI wie auch der Fachwelt durchaus bewusst. Aus diesem Grund verweist das BSI selbst in den zugehörigen Richtlinien auf die Sicherheitsprobleme bei Lesegeräten ohne eigenes PIN-Pad und hat dafür Sorge getragen, dass z.B. digitale Signaturen nur mit Geräten mit eigenem Display und eigenem PIN-Pad durchgeführt werden können.

Welche anderen sensiblen Daten der CCC seiner Meinung nach ausgelesen haben will lässt sich nur rein spekulativ vermuten und dürfte im Wesentlichen auf die Fähigkeiten eines klassischen Trojaners reduziert sein.

Wie immer gilt: soziale Probleme lassen sich durch technische Mittel nicht lösen und aktuelle Updates, Vermeidung unbekannter Software insbesondere aus zwielichtigen Quellen (Filesharing, nicht-vertrauenswürdige Webseiten, usw.) und regelmässige Kontrollen mit Malware Scannern sind die Grundvorraussetzung zum sicheren Betrieb des eigenen Computers.

T-Telesec mit fragwürdigem Vertragsverhalten – Sperrung Ihres Zertifikats

Heute, 2010-06-11, erreichte mich eine e-Mail mit dem Titel “Sperrung Ihres Zertifikats”. Gesperrt wurde das qualifizierte Zertifikat mit einer Laufzeit bis zum 11.12.2010, gültig seit 11.12.2007. Die Begründung könnte zum Lachen anregen, wenn es nicht so traurig wäre: 

“Ihr qualifiziertes Zertifikat für die Signaturkarte(PKS) mit der Kartennummer 89490173300003xxxxx wurde von uns auf Grund des Vertragsablaufs, wie angekündigt,  gesperrt. Nach dieser Sperrung dürfen Sie die Signaturkarte nicht mehr für eine qualifizierte Signatur verwenden.” Die Mail hat den Footer “# Dies ist eine automatisch erzeugte Nachricht. Auf diese Email kann nicht geantwortet werden. #”

Die Ankündigung gab es nie, weder per e-Mail noch per Post, es gab auch keine Erinnerung die mich zum Antworten oder Anrufen bewegt hätte. Gar nichts. Plötzlich sperrt die T-Telesec ein Zertifikat für das ich mir sicher bin die Rechnung bezahlt zu haben und in Treu und Glauben von der Zertifikatslaufzeit ausging, ich könne es bis dahin benutzen. Wie auch immer es ging hier um ein halbes Jahr Vertragslaufzeit, 6 Monate in denen die Telesec durchaus Spielraum gehabt hätte. Und wenn es einfach nur eine weitere Rechnung gewesen wäre!

Natürlich rief ich dann unter 01805-268203 an und bekam dort aber nur die arrogante Antwort: “Ich kann Ihnen sagen wie Sie zu einer neuen Karte kommen.”. Sogar auf die Arroganz angesprochen fühlte sich der zuständige Mitarbeiter nachwievor im Recht.

Ich war mit der Karte bei der BfA, bei der VfB des BVA und bei der e-Vergabe angemeldet. Das kann ich nunmehr vergessen.

Liebe T-Telesec, VERTRAUEN geht anders!

Christian Kahlo

… nach so einer Reaktion am Telefon ist wohl D-Trust / Bundesdruckerei die bessere Wahl.

BMI schlägt Gebührenverordnung für neuen Personalausweis vor

Das BMI gab heute in einer Pressemitteilung den Entwurf der Gebührenverordnung für den neuen Personalausweis bekannt. Demnach soll der neue Personalausweis regulär mit 28,80 € zu Buche schlagen. Der Verwaltungsanteil der Kommunen beträgt dabei 6 €, so dass für die Herstellung und Personalisierung der Karte und den PIN-Brief mit Versand je Ausweis 22,80 € entfallen. In Anbetracht der enthaltenen Chip-Technik und Kartenkörpermaterial ein durchaus marktüblicher Preis.

Fair erscheint auch die Verwaltungskostenverteilung für die Aktivierung, Sperrung und Entsperrung der Online Ausweisfunktion und der eID-PIN. So ist das nachträgliche Deaktivieren der Online-Ausweisfunktion, das Ändern der Adresse und die Sperrung im Verlustfall kostenfrei. Die nachträgliche Aktivierung der Online-Ausweisfunktion (wenn der Bürger die eID-Funktionen bei der Ausgabe deaktiviert haben wollte), die Entsperrung nach Verlust und die Entsperrung der PIN erfordert jeweils eine Verwaltungsgebühr i.H.v. 6,00 €.

So ist der Weg “zurück”, d.h. Sperrung oder Deativierung der Online-Ausweisfunktion immer ohne Mehrkosten möglich. Wünscht der Bürger jedoch aus – bisher meist vollkommen unbegründeter – Skepsis eine deaktivierte Online-Ausweisfunktion fallen nachträgliche Mehrkosten an.

Um die Kosten für die Sperrung und Entsperrung der Online-Ausweisfunktion nicht unnötig höher zu treiben wenn man seinen Ausweis nur “mal verlegt” hat bieten Dienstanbieter wie Synchronity und FUJITSU die Möglichkeit einer temporären Deaktivierung des Ausweises in deren Systemen – sofern der Bürger dort bereits als Kunde registriert war.

Der Anwendungstest des neuen Personalausweises hat begonnen / PACE-Papier veröffentlicht

Der Anwendungstest des neuen Personalausweis ist mit Beginn des Jahres gestartet worden. 30 Unternehmen entwickeln prototypische Anwendungsfälle mit dem Ausweis und testen die Infrastruktur auf Herz und Nieren.

Pünktlich zum Start haben Dr. Marc Fischlin von der TU Darmstadt und Dr. Jens Bender sowie Dr. Dennis Kügler, beide Referenten beim BSI, ein Papier über die Sicherheit des PACE (Password Authenticated Connection Establishment) Protokolls veröffentlicht. Landläufig herrscht der Irrglaube, der Ausweis liesse sich “einfach so” auslesen. In der Tat bedarf es zum Auslesen jedoch entweder der e-ID PIN, der sogenannten Card Access Number (CAN) von der Vorderseite der Karte oder dem Hash der Machine Readable Zone (MRZ) von der Rückseite. Die Berechtigungen sind dabei dem Verwendungszweck der jeweiligen Zugangsnummer entsprechend unterschiedlich. So kommt die MRZ z.B. an Durchzugsausweislesegeräten, wie sie an Flughäfen zu finden sind, zum Einsatz und soll lediglich eine schnelle und sichere Identifikation des Reisenden ermöglichen. Die CAN hingegen dient der Freigabe allgemeiner Informationen auf einem RFID Lesegerät zu Hause oder im Amt und zum sicheren Verbindungsaufbau zur Signaturanwendung, während die e-ID PIN zur Authentisierung des Ausweisinhabers (Besitz und Wissen) eingesetzt wird. Siehe auch Kapitel 3.3 BMI TR-03127.

Das PACE Protokoll ermöglicht die Authentisierung und den sicheren Verbindungsaufbau mit Hilfe der vorgenannten Zugangsinformationen. Daher liegt in dem Protokoll der neuralgische Punkt wenn es um die Sicherheit vor dem unbefugtem Auslesen des Personalausweises geht.

Mehr zum Thema wurde bereits 2008 z.B. hier veröffentlicht. Weitere Informationen z.B. zu den neuen Ausweisen der anderen EU Länder findet der interessierte Leser bei der European Network and Information Security Agency.