Neuer Personalausweis schon geknackt?
von caschy | 89 Kommentare
Schöne neue Welt. Ich zitiere mal unser Bundesministerium des Inneren:
Aufgrund seines Sicherheitskonzeptes hilft der neue Personalausweis, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern
(Bildquelle: Wikipedia, gemeinfrei)
Nun lesen wir aber mal bei n24 weiter: Computerexperten knacken geheime PIN. Weitere Infos und Links: Chaos Computer Club. Wir bewegen uns in eine spannende Zukunft. Wird ja auch immer alles so toll & sicher in den TV-Werbespots dargestellt. Schön im Bett liegen, shoppen und sich mit dem neuen, 28 Euro teuren Perso identifizieren. Jaja, zum Glück ist mein alter noch bis 2018 gültig – also: vielleicht noch wacker bis zum 30.10.2010 den alten beantragen 😉
Wird geladen ...
@Fraggle
Du willst den Beweis? Na gut, denk mal an den Spruch: „Dumm ist der, der dummes tut“
Wer anfängt in Foren zu flamen, sollte mit einer entsprechenden Reaktion rechnen. Besonders dann, wenn man im Unrecht ist; wie du ja anhand meiner Quellenangaben bereits richtig bemerkt hast.
Ist mir alles egal, hauptsache er hat endlich mal ein anständiges Format. Der Preis ist allerdings überteuert. Und was ist schon fälschungssicher!
@Gurkensalat:
Etwas zu zitieren ist nicht gleich dumm. Aber das lernst Du sicherlich auch noch. Spätestens dann, wenn Du auch mal mit wissenschaftlichen Publikationen zu tun hast.
Und zitiert habe ich, daß die Radiomeldung besagt, der Paß sei geknackt. Ebenfalls sagte ich, daß ich nicht weiß, ob die Meldung korrekt sei. Wenn Du das als Flamen bezeichnest, empfehle ich Dir die Lektüre Deines letztens Post, es reicht den Spruch zu lesen.
In diesem Sinne, einen schönen Abend und viel Spaß beim Etikettekurs der VHS. Wäre zumindest empfehlenswert für Dich.
@Fraggle:
Hättest du jemals irgendeine Form wissenschaftlicher Arbeit erbracht, dann wüsstest du auch, dass es sehr wohl auf die Qualität der Quelle ankommt. Daher zukünftig auf die Quellenangabe achten und nicht immer gleich alles für bare Münze nehmen was man so in allerlei Medien erfährt 😉
Das Flamen bezog sich übrigens auf deinen auf mich bezogenen ersten Post, in der du meine Aussage, ohne Hintergrundwissen, in Frage stelltest. Aber wie man auch da merkt, ist es mit deiner Etikette nicht weit her.
@gurkensalat @ fraggle
1. flamet hier keiner
2. habt ihr beide keine nachhaltigen und stichhaltigen Informationen für irgendeine weitergehende Behauptung
3. ist die durch den CCC angemahnte Sicherheitslücke eine Lücke, die bei JEDEM System existiert bei dem eine nicht verschlüsselte Eingabe einer PIN an kompromitierbaren Systemen durchgeführt wird.
4. Die Qullen anderer Leute, die (auch der WDR) noch als seriöse Nachrichtenquellen gelten, schlecht zu reden ist auch keine angemessene Art. Auf Heise zu verweisen ist in dem Zuge nicht wirklich glaubwürdiger, auch die sind gut im falsch abschreiben.
Und jetzt kriegt euch mal ein, Kin’ers
PS: @gurke: der Hinweis mit der Etikette. Schreib’s dir mal auf 😉
Danke für die Info. Ich werde die Tage mal losstrunkeln, und mir nochmal flux den alten sichern. (meinen momentanen hab ich natürlich wie immer verloren. Ich hab schon ne ganze Sammlung ) Nicht das ich n bißchen Paranoid währ, aber ich muss nicht immer und überall meine ganzen Daten hinterlassen. Ich hab auch kein Handy. Und an umfragen im Supermarkt, wegen Postleitzahl und so nehme ich auch nicht teil. Und wenn mich irgendwelche Leute wegen einer nutzlosen umfrage auf m Haustelefon nervender weise anrufen, und mir irgendwelche fragen stellen, stell ich einfach gegenfragen. (hast DU n Hund…wie sieht der aus! welche Farbe hat deine Gardine! Haste gestern ….. gesehen/gelesen/gehört! nunja jetzt bin ich schon wieder abgeschweift 🙂
bis die tage keine frage. bin dann ma wech. und ihr seht zu, das ihr zum frisÖr kommt, weil wegen Fotos fürn Ausweis.
MfG Evil
Österreich ist einfach toll. 🙂 Unzensierte „Killer-Spiele“ ^^ und:
„Der Personalausweis ist in Österreich unüblich, da keine Ausweispflicht besteht. Er wurde im Jahr 2002 im Scheckkartenformat eingeführt.“
Heute abend 21:55 WDR Bericht aus Brüssel, ausserdem kann man doch inzwischen im Web genaueres lesen, kling nicht gut.
Ich werde den neuen nehmen und die Funktion deaktivieren. Ich hasse die aktuelle Größe von dem Lappen, der neue kostet zwar mehr, aber ist kleiner.
Gravatar-Test
Oh Mann…wie ich diese Panikmache liebe!
Ich habe in dem Beitrag des CCC keine klare Sicherheitslücke aufgezeigt bekommen, die gegen die Sicherheit des Chips spricht. Wenn jemand natürlich ungeschickt genug ist, sich einen Trojaner etc. einzufangen, der die PIN-Eingabe abfängt ist er selbst Schuld.
Und mal ehrlich, wie hoch ist die Wahrscheinlichkeit, dass jemand neben Dir steht, die PIN „abfängt“ und dann im gleichen Zug dann den PIN ändert? Am besten noch zu Dir sagt: „Herr X, gehen Sie mal bitte kurz aus dem Raum, ich muß Ihren PIN ändern.“. Und wenn ich das hier lese: „Mit dem Wissen um die PIN kann ein Angreifer nun den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt.“ Sorry, aber da kann ich nur schmunzeln.
Bei dem Chip handelt es sich um einen hochsicheren Microcontrollerchip des Typs SmartMX und nicht um ein Pille-Palle-Teil.
Wie sicher ist der alte PA denn? Könnte ja auch jemand fotokopieren…seeeehr sicher 😉
Das Abfangen der Daten am Lesegerät hat also rein gar nichts mit der Sicherheit des Chips zu tun. Was bringt es Dir, wenn Du 5 Schlösser an der Haustüre hast, aber den Schlüssel auf die Fußmatte legst? NIX!
Nur mal eine hypothetische Frage: wer von Euch hat denn eine EC-Karte? So…wie sicher ist dieser Chip denn, wenn die PIN ausgespäht wird? Ihr habt deswegen sicher auch nicht all Euer Geld zuhause im Stumpf versteckt. Dort traut jeder der EC-Karte, aber hier wird (weil es NEU ist und RFID kaum einer kennt) eine unnötige Panikmache betrieben. Leute werft Eure EC Karte weg oder verliert sie zufällig und kauft nur noch mit Bargeld ein!
Genauso wie der Blödsinn, man könne mit riesigen Antennen in Flughäfen den elektr. Reisepass auf mehrere Meter auslesen und identifizieren. Technisch UNMÖGLICH, aber einige Experten verbreiten eben gerne gefährliches Halbwissen.
In diesem Sinne, viel Spaß in der Panikwelle! Ich bleib cool, weil ich weiß, WIE SICHER der Chip wirklich ist und ich gesunden Menschenverstand besitze und niemand an meinen PC, mit Karte auf dem Leser liegend, lasse der dann über den Trojaner den er zuvor heimlich per Telepathie installiert hat, die ausgelesene PIN ändert.
.. beschäftige dich mal mit den möglichen Funktionen. Ich glaube nicht, daß jeder extra zu dir nach Hause kommt an deinen Super-Sicher-PC. Kann ich mir nicht vorstellen.
langer Text, wenig Substanz…
Der alte PA ist sicher, weil man ihn nicht einfach kopieren kann, in dieser Hinsicht ist es der neue ePA ja auch. Lediglich neu hinzugefügte Funktionen in Zusammenhang mit Internet-Authentifizierung werden iinfrage gestellt.
Im Grunde stimmt es doch, dass es leichter ist, via Keylogger Benutzername und Passwort abzufangen, als dfen Moment abzuwarten, indem der Perso auf dem Leser liegt und dann den Login zu untergraben.
Insofern ist der ePA ja sogar ein gewisser Fortschritt. Falsch wäre es jetzt nur, diese höhere Sicherheit als Festung zu beschreien und damit alles über diesen Kanal freizugeben.
Bezogen auf Online-Wahlen zum Beispiel ist ja irrelevant, wer da gerade den Perso benutzt, solange er Wahlrecht besitzt. Wenn dann nur 10000 Otto-Normal-Verbraucher, die idR alle Meldungen des Virenscanner (sofern vorhanden, ich kenn da auch Win98 Online-Banker (IE5!!!)…) einfach wegklicken, per Zufall wählen, wäre das schon diskussionswürdig.
Letzten Endes sollte das Sicherheitsniveau des Persos schlicht Einfluss bei der Auswahl der angebotenen Dienste haben.
IMHO
@Dodger
FULL ACK!
Apropos: Wieso gibts vom CCC eigentlich kein cccPAD? Ein unkomprimittierbares System „build by CCC“ mit eingebautem E-Perso-Leser mit seperater Identifizierung?
So wäre der CCC als nützlich zu bezeichnen, nicht jedoch mit dieser (typisch linken) „Contra“-, Dagegen“- und „No“-Haltung, die mich echt nervt.
28 Euronen ? Gelobtes Land ! In Helvetien kostet so ein Ding incl. Porto 70 Franken, sprich ca. 54 €. Und da ist noch nicht mal ein Chip drauf 😉
Oh je, hier geht es ja ab … und ich will mit dabei sein: Daher: Was regt ihr euch denn alle so über den Ausweis auf: Wie alles kostet er halt nur mehr. Die einen begründen das mit dem nicht vorhandenen Teuro, die anderen mit der nicht vorhandenen Sicherheit. Schluss endlich wird ein Großteil der e-Pässe einmal eine Spule zu Gesicht bekommen, die direkt an die 230 V Steckdose angeschlossen wird. Daraufhin springt die Sicherung raus, die selbstgebastelte Spule für 13 Cent ist im Hintern und jeder der Ausweise ist lediglich ein Ausweis – ohne Schutz und anderen Schnickschnak, den bis heute keiner braucht. Und wieso brauchte man dafür jetzt eine Einwegkamera?
@coriandreas: Weil zu wenige Menschen (du weißt sicher wen ich meine) wissen, wie es denn um die wahre Natur der ganzen Sache steht. Auch trotz der ganzen Aufregung wird sich „dumm“ durchsetzen, denn nicht das Volk sondern die Dummheit regiert! Das war so und wird so bleiben, denn Denken ist wirklich anstrengend – könnte man meinen, wenn man sich so alles anschaut. Und Warum um alles in der Welt soll der CCC etwas das es schon gibt neu erfinden? Sie prangern doch nur an UND ZEIGEN AUF wie es nicht sein darf. Nebenbei: Machst Du Homebaning immer noch über (i)Pin und (i)Tan? Oder benutzt du schon eine Chipkarte und wenn ja, hast Du dir einen Klasse 3 Leser gekauft? Nein?
@Wixxer und generell mal @ALLE:
Vergesst doch diese ganzen Methoden, wie man den ollen Chip auf dem Ausweis kaputtmachen oder sabotieren kann. Laßt ihn Euch bei der Ausstellung bzw. Abholung einfach nicht freischalten/aktivieren und ihr bekommt einen stinknormalen Plastikausweis ohne „Funktion“.
Und dass die Medien davon berichten, dass der Ausweis „geknackt“ wurde, ist auch völliger Blödsinn. Der Ausweis-Chip kann vielleicht unbrauchbar gemacht werden, aber das Ändern der PIN ist nur mit der vorhandenen PIN möglich. Und da muss erst ein Trojaner ins Spiel kommen, der die Tastatureingaben am PC abfängt, wenn das Lesegerät keine eigene Tastatur hat. Wer seinen neuen Ausweis mal verliert, muss sich (bislang) keine Sorgen machen, dass der Finder da einfach ’ne neue PIN drauf macht und den Ausweis dann missbrauchen kann. Das wird von den Medien völlig überzogen rübergebracht.
LÖSUNG 1: Chip nicht freischalten, wenn nicht benötigt. LÖSUNG 2: wer den Chip nutzen möchte, kauft sich ein Lesegerät mit INTEGRIERTER Tastatur.
FERTIG…
@Coriandreas: danke, endlich mal jemand der sich nicht von der Panik anstecken läßt 😉
@Thomas K: wenig Substanz? Mal kurz gelacht… 😉 Wie gesagt, wenn der User unvorsichtig ist und sich einen ePA-Trojaner etc. einfängt ist er IMHO selbst Schuld. Beispiel mit dem Schlüssel und der Türe. Sorry…wieder zu wenig Substanz 😉
Da der CCC nicht klar darlegt, wie er das mit der PIN-Änderung gemacht haben will und nur schwammiges dazu schreibt ist es für mich nur haltloses Gesülze. Der CCC ist für mich kein offizielles Prüflabor, somit können die in Ihren Test ja alles „zeigen“. Sorry, wieder keine Substanz 😉
Kreditkarten benutzt heutzutage auch jeder und die sind noch einfacher zu mißbrauchen, als ein ePA Ausweis. Und wer jammert da, dass dort alles sichtbar aufgedruckt ist? Kein Mensch!
Wie gesagt, sobald etwas neues herauskommt und sich die breite Masse mit dem Thema sich nicht auskennt, eignet sich das hervorragend um Panik zu verbreiten.
Ich kenne aus beruflichen Gründen den Chiphersteller sehr gut und weiß wie sicher der Chip selbst ist. Und ich kann mir nicht vorstellen, dass das darauf laufene Applet eine PIN-Änderung erlaubt. Oder kann man die PIN seiner EC-Karte ändern? Zumal es sich ja wohl um „Prototypen“ gehandelt hat beim CCC. Dort sind evtl. auch Funktionen testweise freigeschaltet, die es nacher nicht geben wird. Mal daran gedacht oder ist das auch wieder ohne Substanz?
Ich werde mich jedenfalls nicht von undurchsichtigen, weil nicht genau beschriebenen, CCC-Tests verrückt machen lassen. Wenn der CCC doch so überzeugt ist, wieso geht er damit nicht zu einem unabhängigen Prüflabor, gibt es ja genug.
Aber bevor es wieder ein zu langer Texte ohne Substanz gibt, mache ich lieber Schluss ;-)))
@Michael…FULL ACK! Noch jemand, der mal hinter diesen CCC-Test blickt und in die gleiche Richtung argumentiert wie ich. Aber Vorsicht Michael…könnte als „wenig Substanz“ bezeichnet werden 😉