Neuer Personalausweis schon geknackt?
von caschy | 89 Kommentare
Schöne neue Welt. Ich zitiere mal unser Bundesministerium des Inneren:
Aufgrund seines Sicherheitskonzeptes hilft der neue Personalausweis, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern
(Bildquelle: Wikipedia, gemeinfrei)
Nun lesen wir aber mal bei n24 weiter: Computerexperten knacken geheime PIN. Weitere Infos und Links: Chaos Computer Club. Wir bewegen uns in eine spannende Zukunft. Wird ja auch immer alles so toll & sicher in den TV-Werbespots dargestellt. Schön im Bett liegen, shoppen und sich mit dem neuen, 28 Euro teuren Perso identifizieren. Jaja, zum Glück ist mein alter noch bis 2018 gültig – also: vielleicht noch wacker bis zum 30.10.2010 den alten beantragen 😉
Wird geladen ...
Also ich will das Chip-Dingens nicht haben,
aber ich habe auch immer so meine Bedenken.
(Online-Banking mache ich z.B. erst seit nem halben Jahr…;))
Was mich ärgert: Die Regierung/Wirtschaft/Wirtschaftsregierung drückt den Bürgern einen neuen Ausweis auf – und auch die Kosten dafür!
Entweder beim Ersten kostenlos oder zum Preis des alten oder nur als Option – das wäre für mich akzeptabler.
BadBoyz-Mode=on: @Gast Waldfee321: Du bist Deutschland! 😛
Alle labern, aber keiner hat Ahnung!
Der Perso wurde nur teilweise geknackt. Der Hack erfordert zwingend, dass der Nutzer ein Lesegerät verwendet, bei dem man die PIN über den PC eingeben muss. Um den PIN auslesen zu können, muss der PC kompromittiert sein.
Ansonsten bleibt das System sicher!
Und Gurkensalat hat Ahnung 😉
WDR2 Nachrichten heute morgen, im Chip kann der PIN geändert werden. Ob es stimmt kann weder ich, noch Du behaupten.
@SoehnelS:
Wer soll die Kosten denn sonst tragen, wenn nicht der Bürger!?
@Tobias: Die Heinis, die den Mist umgesetzt haben wollen.
Die Leute aus der Wirtschaft, nicht die in der Regierung sitzenden…
@gurkensalat
Der Perso an sich wurde gar nicht gehackt. Die Pin wird abgefangen, was jeder x-beliebige Keylogger schafft. Und dann per Api irgendwas signieren, wenn man die Pin hat… Wow, was für ein „Hack“. Wenn ePa, dann bitte mit Keypad-Terminal und nicht anders. Pin-Abfragen sind sicher, solange der Weg von Pin zur Karte,ePa,… sicher ist.
Die Frau bei mir aufm Bürgerbüro meinte neulich noch dass man auch den alten nächstes Jahr noch beantragen kann (ohne das elektronische), nur dass das doch eh keiner tun würde… Na die wird sich wundern 😀
@SoehnelS
Wie? Zwischen denen gibt es einen Unterschied?
@SoehnelS sagt: ich bin Deutschland, aber ich habe mich einfach schlau gemacht und mich belesen und Information einbezogen.
Jedenfalls bin froh dass neuen Personalausweis in der alten Version machen lasen habe. Ich habe es auch vielen Freunde und bekannten erzählt und ich kann, nur hoffen das sie dass auch weiter erzählt haben.
@Gast Waldfee321: Das war der Satyr in mir. Es ging mir nur um Deinen Schreibstil.
Keiner (nicht mal ich!) ist perfekt, aber Dein Text war etwas schwer zu lesen…;)
Also: Wo kommst Du denn her?
Die haben doch gar nichts ‚geknackt‘. Die haben sich die PIN ‚besorgt‘ (hier mit einem Trojaner) und dann die PIN geändert und benutzt. Das hat doch nichts mit knacken zu tun.
Man sollte auch woanders nachsehen.
Hier mal die WDR2 Meldung (zu 10:42 Uhr scrollen). Wenn sie korrekt ist, ist knacken sehr wohl korrekt:
„Nach einem Bericht des WDR knackten sie den Chip eines Testausweises und [b]änderten die geheime PIN-Nummer[/b]. Damit wäre es Fremden möglich, gestohlene Ausweise zum Beispiel für Kaufverträge im Internet zu nutzen….“.
Sofern ich den richtigen Code verwendet habe, sollte der entscheidende Teil fett hervorgehoben sein.
Quelle: http://www.wdr.de/radio/home/nachrichten/chronol.phtml?datum=2010-09-22&tag=22&monat=9&jahr=2010&seite=4&block=1
Naja, man kanns auch übertreiben… Zunächst mal ist der neue ePA auch sicher, solange man ihn auf kein Lesegerät legt 😉 nur so nebenbei.
un noch beiläufiger: dicker Magnet bringt gar nichts bei Chips (selbst neue Festplatten sind da inzwischen sehr anspruchsvoll) Aber eine kleine heiße Nadel sollte den Zweck auch erfüllen^^
Also mein Perso läuft nächstes Jahr ab, un ich hol mir den neuen, einfach weil er so schön neben die sichere Bankkarte passt.
Aber bei den „tollen“ neuen Funktionen werde ich wohl auch erst mal auf den ersten Knall warten, der ja einfach erst mal sein muss, damit bei uns was passiert.
Es bleibt spannend…
@Fraggle: Ist das ändern der PIN ein Feature des ePA oder nicht? Das weiß ich hier nämlich nicht.
Sollte es ein Feature sein, haben sie ihn nicht geknackt, sondern nur aufgrund der abgefangenen PIN eine vorhandene Funktion genutzt. Als plakative Metapher: Wenn du mir den Schlüssel zu meiner S-Klasse klaust, knackst du die ja auch nicht sondern nutzt das Feature aufschließen durch den mir entwendeten Schlüssel.
Falls es kein Feature ist, dann hast du recht. Das halte ich aber für nicht wahrscheinlich.
@macorama:
Wenn es so sein sollte wie Du es sagst, hast Du natürlich recht. Die Frage kann ich nicht beantworten. Der Link bei mir ist ja nicht sehr ausführlich. Im Radio war es etwas mehr. Was ich aber nur sagen kann ist, daß die Radiomeldung sich nict so anhörte, als würde die Nachricht hier und die im Radio sich auf denselben Test beziehen. Sie sagten nichts von Klau der alten PIN oder von Trojanern. Aber ausührlich waren sie nicht und somit läßt sich das nicht ausschließen.
Oh, jetzt fällt mir erst wieder ein, dass ich die Tage auch mal einen neuen beantragen muss. Meiner läuft am 10.10. aus. 😀 Also noch schön mit der alten Generation ein paar Jahre Gassi gehen. 😉
Ich werde meinen alten Perso wohl erst ab dem 1. Nov. verlieren und dann mir so einen E-Perso mit einem besseren Lesegerät zuzulegen.
Übrigens: Hat der CCC jemals eine Schwachstelle aufgedeckt, die jemals TATSÄCHLICH zu einem Daten-GAU geführt hat? Mir ist nichts bekannt. Ich bin Optimist und will alle Möglichkeiten nutzen – und wenn Google zum Mond fliegt, bin ich dabei 🙂
http://www.googlelunarxprize.org/
@Gurkensalat:
Etwas einfach als idiotisch zu bezeichnen ist, gelinde gesagt, dummes Gesschwätz. Außer, man kann es belegen, aber selbst dann ist das Zitat nicht idiotisch, sondern das zitierte. Ich wäre an Deiner Stelle vorsichtiger mit Verurteilungen. Denn Du weißt genausowenig wie ich anhand dieses Abschnitts auf welche Studie sie sich bezogen. Somit ist ein Urteil, weder positiv noch negativ, nicht möglich. Genau deswegen sagte ich auch, sofern es richtig ist, was der WDR sagte. Man sollte mit Referenzen immer vorsichtig sein, sofern man sie nicht prüfen kann.
Auch der neue Personalausweis ist relativ preiswert. Ein biometrisches Modell kostet in Schweden 400 kr (43,70 Euro),
ein nichtbiometrisches Modell der Banken und nur im Norden gültig kostet 27,30 Euro.
Ich habe mir da dann doch einen Reisepass machen lassen, der genauso teuer wie der amtliche Ausweis ist.
@Gurkensalat:
Konnte nicht mehr editieren, also angehängt:
Den Beweis, daß das zitierte idiotisch ist, hast Du mit dem Link erbracht. Jetzt fehlt nur noch der Beweis, daß ich idiotisch bin, wie Du es mit Deinem Satz „WRD zu zitieren ist idiotisch“ ja behauptet hast.