IT-Security, e-Payment, e-Government, e-Identity

Heute, 2010-06-11, erreichte mich eine e-Mail mit dem Titel “Sperrung Ihres Zertifikats”. Gesperrt wurde das qualifizierte Zertifikat mit einer Laufzeit bis zum 11.12.2010, gültig seit 11.12.2007. Die Begründung könnte zum Lachen anregen, wenn es nicht so traurig wäre: 

“Ihr qualifiziertes Zertifikat für die Signaturkarte(PKS) mit der Kartennummer 89490173300003xxxxx wurde von uns auf Grund des Vertragsablaufs, wie angekündigt,  gesperrt. Nach dieser Sperrung dürfen Sie die Signaturkarte nicht mehr für eine qualifizierte Signatur verwenden.” Die Mail hat den Footer “# Dies ist eine automatisch erzeugte Nachricht. Auf diese Email kann nicht geantwortet werden. #”

Die Ankündigung gab es nie, weder per e-Mail noch per Post, es gab auch keine Erinnerung die mich zum Antworten oder Anrufen bewegt hätte. Gar nichts. Plötzlich sperrt die T-Telesec ein Zertifikat für das ich mir sicher bin die Rechnung bezahlt zu haben und in Treu und Glauben von der Zertifikatslaufzeit ausging, ich könne es bis dahin benutzen. Wie auch immer es ging hier um ein halbes Jahr Vertragslaufzeit, 6 Monate in denen die Telesec durchaus Spielraum gehabt hätte. Und wenn es einfach nur eine weitere Rechnung gewesen wäre!

Natürlich rief ich dann unter 01805-268203 an und bekam dort aber nur die arrogante Antwort: “Ich kann Ihnen sagen wie Sie zu einer neuen Karte kommen.”. Sogar auf die Arroganz angesprochen fühlte sich der zuständige Mitarbeiter nachwievor im Recht.

Ich war mit der Karte bei der BfA, bei der VfB des BVA und bei der e-Vergabe angemeldet. Das kann ich nunmehr vergessen.

Liebe T-Telesec, VERTRAUEN geht anders!

Christian Kahlo

… nach so einer Reaktion am Telefon ist wohl D-Trust / Bundesdruckerei die bessere Wahl.

Das BMI gab heute in einer Pressemitteilung den Entwurf der Gebührenverordnung für den neuen Personalausweis bekannt. Demnach soll der neue Personalausweis regulär mit 28,80 € zu Buche schlagen. Der Verwaltungsanteil der Kommunen beträgt dabei 6 €, so dass für die Herstellung und Personalisierung der Karte und den PIN-Brief mit Versand je Ausweis 22,80 € entfallen. In Anbetracht der enthaltenen Chip-Technik und Kartenkörpermaterial ein durchaus marktüblicher Preis.

Fair erscheint auch die Verwaltungskostenverteilung für die Aktivierung, Sperrung und Entsperrung der Online Ausweisfunktion und der eID-PIN. So ist das nachträgliche Deaktivieren der Online-Ausweisfunktion, das Ändern der Adresse und die Sperrung im Verlustfall kostenfrei. Die nachträgliche Aktivierung der Online-Ausweisfunktion (wenn der Bürger die eID-Funktionen bei der Ausgabe deaktiviert haben wollte), die Entsperrung nach Verlust und die Entsperrung der PIN erfordert jeweils eine Verwaltungsgebühr i.H.v. 6,00 €.

So ist der Weg “zurück”, d.h. Sperrung oder Deativierung der Online-Ausweisfunktion immer ohne Mehrkosten möglich. Wünscht der Bürger jedoch aus – bisher meist vollkommen unbegründeter – Skepsis eine deaktivierte Online-Ausweisfunktion fallen nachträgliche Mehrkosten an.

Um die Kosten für die Sperrung und Entsperrung der Online-Ausweisfunktion nicht unnötig höher zu treiben wenn man seinen Ausweis nur “mal verlegt” hat bieten Dienstanbieter wie Synchronity und FUJITSU die Möglichkeit einer temporären Deaktivierung des Ausweises in deren Systemen – sofern der Bürger dort bereits als Kunde registriert war.

Der Anwendungstest des neuen Personalausweis ist mit Beginn des Jahres gestartet worden. 30 Unternehmen entwickeln prototypische Anwendungsfälle mit dem Ausweis und testen die Infrastruktur auf Herz und Nieren.

Pünktlich zum Start haben Dr. Marc Fischlin von der TU Darmstadt und Dr. Jens Bender sowie Dr. Dennis Kügler, beide Referenten beim BSI, ein Papier über die Sicherheit des PACE (Password Authenticated Connection Establishment) Protokolls veröffentlicht. Landläufig herrscht der Irrglaube, der Ausweis liesse sich “einfach so” auslesen. In der Tat bedarf es zum Auslesen jedoch entweder der e-ID PIN, der sogenannten Card Access Number (CAN) von der Vorderseite der Karte oder dem Hash der Machine Readable Zone (MRZ) von der Rückseite. Die Berechtigungen sind dabei dem Verwendungszweck der jeweiligen Zugangsnummer entsprechend unterschiedlich. So kommt die MRZ z.B. an Durchzugsausweislesegeräten, wie sie an Flughäfen zu finden sind, zum Einsatz und soll lediglich eine schnelle und sichere Identifikation des Reisenden ermöglichen. Die CAN hingegen dient der Freigabe allgemeiner Informationen auf einem RFID Lesegerät zu Hause oder im Amt und zum sicheren Verbindungsaufbau zur Signaturanwendung, während die e-ID PIN zur Authentisierung des Ausweisinhabers (Besitz und Wissen) eingesetzt wird. Siehe auch Kapitel 3.3 BMI TR-03127.

Das PACE Protokoll ermöglicht die Authentisierung und den sicheren Verbindungsaufbau mit Hilfe der vorgenannten Zugangsinformationen. Daher liegt in dem Protokoll der neuralgische Punkt wenn es um die Sicherheit vor dem unbefugtem Auslesen des Personalausweises geht.

Mehr zum Thema wurde bereits 2008 z.B. hier veröffentlicht. Weitere Informationen z.B. zu den neuen Ausweisen der anderen EU Länder findet der interessierte Leser bei der European Network and Information Security Agency.

Das Thema ist bei mir irgendwie zur never-ending Story geworden. Letztens hat es ein anderes Niveau angenommen. Der Anforderungskatalog gestaltet sich nun wie folgt:

• Aufwandsarme Windows/Active Directory Integration
• Anmeldung an Konsole, Remote Desktop und VPN
• Linux-Unterstützung für Ubuntu/Debian
• SSL- bzw. TLS-Client-Authentication in Internet Explorer und Firefox (Windows / Linux)
• e-Mail Signatur in Outlook und Thunderbird (Windows / Linux)
• Utimaco Safeguard support (Windows)
• Truecrypt support (Windows / Linux)
• Option für one time password support
• Option für custom code on card
• SSH login z.B. mit Putty, pageant, pscp oder winscp
• zentrales Zertifikatsmanagement

Was die Smartcard-Komponenten wie Karte, Leser, Lesertreiber, PKCS-11/CSP Treiber angeht natürlich am Besten alles top-aktuell und kostensparend.

Bis auf den vorletzten Punkt war alles recht einfach zu erledigen.  Die bisher favorisierten TCOS 2.x/3.x und JCOP Smartcards mussten weichen, da es keinen vernünftigen und aktuellen CSP oder PKCS#11 Support hierfür gibt. Sicherlich gibt es Alternativen mit Arbeitsplatzlizenzen im Wert von zweistelligen Eurobeträgen je Benutzer oder Arbeitsplatz. Das Geld möchte jedoch lieber an anderer Stelle sinnvoller einsetzen.

Unter Windows hatte sich als SSH-Client schon lange putty mit pageant etabliert. Daher kam erstmal PuTTY SC von Pascal Buchbinder auf den Plan. PuTTY SC macht leider eine Annahme, die so nicht immer gegeben ist und in Zukunft wohl noch seltener anzutreffen sein wird. Zwar wird ein “certificate label” gesucht, aber es wird nicht der public key des Zertifikates verwendet. Viel mehr sucht PuttySC einen getrennt abgelegten Public Key mit demselben Label wie das Zertifikat. Andere (ältere) Angaben verlauteten, es müsse der erste public key in der Karte sein. Beides erfordert besondere und vor allem aufwendige Massnahmen im Personalisierungsprozess einer Smartcard. Nach einem erfolgreichen Durchlauf im Juli dann auf Dauer zu umständlich.

Der nächste Versuch ging an PuTTY-CAC von Dan Risacher. “CAC” steht für die United States Department of Defense Common Access Card. Diese wird z.B. benötigt um sich am U.S. Army Knowledge Online Portal anzumelden. Risacher bemerkt ebenfalls die Einschränkungen von PuTTY SC und implementiert einen einfachen Mechanismus den Public Key aus Zertifikaten auszulesen. Allerdings ist die Implementierung in PuTTY-CAC insofern fehlerhaft, da sie ebenso falsche Annahmen voraussetzt. In Folge dessen lief PuTTY-CAC ebenfalls nicht mit unseren Karten. Die Ursache stellte sich bald heraus: die CAC-Modifikation kennt nur 1024 Bit RSA Schlüssel und bricht ab wenn die hartkodierten Stellen andere Werte enthalten. Zu wenig für uns.

Aus diesem Grund habe ich PuTTY-CAC nochmals modifiziert und stelle es hier als PuTTY-VX4 (putty-vx4 binaries) zur Verfügung. Die Schlüsselgrösse sollte nun zwischen 512 Bit und 2048+ Bit (z.B. 4096, 8192, 16384, …) variabel sein dürfen.

Während einer Unterhaltung mit einer Kollegin kamen wir auf eine alte Aussage von Wau Holland über mich zu sprechen. Wau hatte sich anlässlich des 17. Chaos Communication Congress (17C3) eine “Wau-verkürzte” Zusammenfassung über meine Person ausgedacht.

Bei der Suche nach Quellen fiel dann folgendes etwas unangenehm auf:

Hier das Original des Congress Fahrplans aus dem Jahr 2000.  Von dort aus wird auch auf die Aussage von Wau verlinkt.

Der CCC hingegen hat im Wesentlichen denselben Inhalt in “bereinigter Form” auf seinem Webserver. Selbst mein Speaker-Profil wurde offensichtlich systematisch getilgt. Da es keinen erkenntlichen Grund gibt warum dies geschah finde ich das Vorgehen sehr frech. Insbesondere in Anbetracht der laufenden Relevanz-/Lösch-Diskussionen mit Wikipedia Deutschland erscheint solches Zensurverhalten sehr eigenartig, um nicht zu sagen bigott. So etwas stellt schlichtweg eine Prinzipfrage dar.

Ist etwa auch in den Riegen des CCC Zensur und Egomanie am Werk?

UPDATE: Es gab in kurzer Zeit eine ganze Reihe sehr konstruktiver Reaktionen seitens des CCC. Sehr zügig wurden Anstrengungen unternommen den Effekt zu klären und die Ursachen zu finden. Demnach handelt es sich um eine Inkonsistenz im Rahmen einer Migration bei dem mehrere Vorträge und Referenten betroffen waren. Ich bin beruhigt, dass es sich um ein Versehen handelt und der CCC professionell reagiert. Die Entschuldigung ist natürlich angenommen. Danke für euer schnelles Feedback.

Nun ist es endlich soweit. Ein neues Blog ist eröffnet!

Wie der Titel schon sagt wollen wir uns hier im Kern mit den Themen der IT-Sicherheit auseinander setzen. Besondere Aufmerksamkeit erhalten dabei die Bereiche e-Payment, e-Government und e-Identity. Als Initiator dieses Blogs freue ich mich auf viele spannende Themen, Diskussionen und Beiträge von meinen Kollegen. Gemäss unserem Untertitel, welcher auf einer getrennten Seite genauer erläutert wird, möchten wir versuchen komplexe Themen verständlich aufzubereiten.