Der Anwendungstest des neuen Personalausweises hat begonnen / PACE-Papier veröffentlicht
Der Anwendungstest des neuen Personalausweis ist mit Beginn des Jahres gestartet worden. 30 Unternehmen entwickeln prototypische Anwendungsfälle mit dem Ausweis und testen die Infrastruktur auf Herz und Nieren.
Pünktlich zum Start haben Dr. Marc Fischlin von der TU Darmstadt und Dr. Jens Bender sowie Dr. Dennis Kügler, beide Referenten beim BSI, ein Papier über die Sicherheit des PACE (Password Authenticated Connection Establishment) Protokolls veröffentlicht. Landläufig herrscht der Irrglaube, der Ausweis liesse sich “einfach so” auslesen. In der Tat bedarf es zum Auslesen jedoch entweder der e-ID PIN, der sogenannten Card Access Number (CAN) von der Vorderseite der Karte oder dem Hash der Machine Readable Zone (MRZ) von der Rückseite. Die Berechtigungen sind dabei dem Verwendungszweck der jeweiligen Zugangsnummer entsprechend unterschiedlich. So kommt die MRZ z.B. an Durchzugsausweislesegeräten, wie sie an Flughäfen zu finden sind, zum Einsatz und soll lediglich eine schnelle und sichere Identifikation des Reisenden ermöglichen. Die CAN hingegen dient der Freigabe allgemeiner Informationen auf einem RFID Lesegerät zu Hause oder im Amt und zum sicheren Verbindungsaufbau zur Signaturanwendung, während die e-ID PIN zur Authentisierung des Ausweisinhabers (Besitz und Wissen) eingesetzt wird. Siehe auch Kapitel 3.3 BMI TR-03127.
Das PACE Protokoll ermöglicht die Authentisierung und den sicheren Verbindungsaufbau mit Hilfe der vorgenannten Zugangsinformationen. Daher liegt in dem Protokoll der neuralgische Punkt wenn es um die Sicherheit vor dem unbefugtem Auslesen des Personalausweises geht.
Mehr zum Thema wurde bereits 2008 z.B. hier veröffentlicht. Weitere Informationen z.B. zu den neuen Ausweisen der anderen EU Länder findet der interessierte Leser bei der European Network and Information Security Agency.