Ansichten eines Informatikers

Sicherheitslücke beim elektronischen Personalausweis

Hadmut
25.8.2010 0:29

Meine Anmerkungen als Security Consultant.

Ich habe heute die Ankündigung gelesen, daß es in der Sendung PlusMinus einen Bericht über eine erhebliche Sicherheitslücke im neuen Personalausweis geben würde, den ARD und Chaos Computer Club zusammen gefunden hätten.

Nun habe ich die Sendung vorhin verpaßt, das stattdessen auf deren Webservern nachgelesen und eben im ARD Nachtmagazin den Beitrag dazu gesehen.

Einerseits muß ich sagen, da kam nichts neues. Viel Geschrei um Altbekanntes. Sie haben aufgezeigt, daß man den Personalausweis über einen doofen Kartenleser (also einen ohne eigene Benutzerschnittstelle) benutzen soll und dann über seinen eigenen Computer bedient, PIN eingibt und so weiter. Und das ist – bekanntlich – angreifbar. Man kann die PIN abfangen, falsche Abfragen an die Karte senden usw. usw., wenn man die richtige Malware auf den Rechner bringt. Eigentlich greift man damit nicht die Karte bzw. den Personalausweis selbst an, sondern nur den Computer, den man als Benutzerschnittstelle verwendet. Alles bekannt, alles längst ausdiskutiert, beispielsweise beim Homebanking. Nichts Neues, nichts Geniales. Alter Kaffee.

Gerade das macht es aber so bedenklich. Hätten die da jetzt den absolut abgefahrenen, extrem anspruchsvollen Super-Krypto-Hack vorgeführt, hätte man sagen können, na gut, Kryptographie kann man nicht völlig sicher bauen und implementieren.

Jetzt kommen CCC und ARD aber mit so einem (völlig berechtigten aber auch völlig bekannten) Schlabber-Grundlagen-Angriff. Einerseits so trivial und offensichtlich. Andererseits so realistisch, jeder gewöhnliche Keylogger wird das können, jeder Popel-Bot wird es beherrschen, von infiltrierten Rechern aus die Personalausweis-PINs auszuspähen und Signaturen usw. anzufertigen. Gerade weil’s so trivial ist und keine Krypto-Kenntnisse usw. erfordert.

Da fragt man sich, wie so etwas passieren kann. Hatten die nicht irgendwo getrötet, daß das das sicherste Dokument der Welt werden soll (oder irgendsowas schwülstiges, weiß nicht mehr genau)?

So ein Riesen-Projekt, so viel Trara, so wichtig – und dann solche Fundamentalfehler? Was sind denn da wieder für Kapazitäten unterwegs?

Eben im Nachtjournal habe ich gerade ein kurzes Interview (schon zuviel gesagt, eine Frage-Antwort vor der Kamera) mit dem BSI-Präsidenten gezeigt, der das nicht bestritt, sondern einfach darauf verwies, daß man sich ja durch Antivirensoftware und Firewalls schützen könne.

Sind die noch zu retten?

Ich bin ja vom BSI so manches gewohnt, aber das ist doch nun gar zu dämlich. Denn Sinn und Zweck einer solchen Karte ist ja, daß es darauf eben gerade nicht ankommt. Oder andersherum gesagt: Wenn doch sowieso unterstellt wird, daß ich meinen PC durch Virenscanner, Firewalls usw. sauber halten muß, damit’s nicht angreifbar ist, wozu brauch ich dann noch die Karte? Dann kann ich den kryptographischen Schlüssel auch gleich auf dem PC speichern.

Davon ganz abgesehen sollte einem BSI-Präsidenten bekannt sein, daß Virenscanner usw. heute in ihrer Effektivität massiv abgenommen haben und deren Trefferquote viel zu niedrig geworden ist, um sie noch als zuverlässig zu bezeichnen. Und daß Firewalls gegen die modernen Angriffe (Pufferüberläufe usw.) auch nichts nutzen, weil dabei in der Regel nicht mehr der PC von außen angegriffen wird (was im Zeitalter der IPv4-RFC1918-Adressen ohnehin so nicht geht, weil kaum jemand statisches NAT treibt, bei IPv6 sieht das wieder anders aus), sondern der Benutzer sich das Zeug über präparierte Webseiten, PDFs usw. einschleppt. Beide Ratschläge des BSI-Präsidenten taugen nicht viel.

So platt und flach dieser ARD-CCC-Angriff ist, so angemessen ist es auch, den neuen Personalausweis und seine Macher gerade deshalb zu kritisieren und zu verspotten.

Wie kann sowas passieren?

14 Kommentare (RSS-Feed)

shd
25.8.2010 3:07
Kommentarlink

Ja lustig, genau das dachte ich mir auch als ich den Beitrag gesehen habe: “Was das soll der Hack sein? Na das ist ja billig gemacht!”.

Dann hab ich aber noch mal darüber nachgedacht. Denn in der Praxis sind ja genau die einfachen Hacks das Problem sein. Die (meist sehr theoretischen) Angriffe gegen diverse Krypto-Protokolle mögen für uns Informatiker und Mathematiker ja interessant sein. Im realen Leben spielen sie aber keine Rolle. Wohl aber das vom CCC gezeigte. Oder mag mal jemand schätzen wie hoch der Prozentsatz sein wird die ihre PIN zusammen mit dem Perso im Geldbeutel rumtragen werden?


Saskia Schwartz
25.8.2010 7:07
Kommentarlink

Ihr Beitrag wird sicher großes Interesse unter den Danisch-Lesern finden. Großartig!

Aber die große Allgemeinheit wird für dumm verkauft und dumme (d.h. uninformierte) “Untertanen” sind für einen Staat ausgesprochen bequem und gut kontrollierbar.

Kirche und Staat haben das in früheren Jahrhunderten auch schon mit Erfolg praktiziert.


Maik
25.8.2010 10:33
Kommentarlink

Sowas kann passieren, wenn überhaupt nicht das Ziel ist, dass irgendjemand die Karte für irgendetwas benutzt.
Das einzige politische Ziel – Steigerung des Gewinns der Bundesdruckerei, damit die nächste Privatisierung klappt – ist komplett erreicht, sobald die Karte gekauft wird. Darum sind die Bürger auch genau dazu verpflichtet. Die tatsächliche Verwendung der Features interessiert keinen mehr, darum sind die auch freiwillig (aber den Chip muss man trotzdem kaufen, selbst wenn man bei allen Features “Nein, danke” sagt).


Besonders schlimm ist es, wenn man dazu noch die Kartenanwendung Qualifizierte Digitale Signatur nimmt, die mit der gleichen PIN geschützt ist. Auch hier – und die rechtliche Tragweite einer solchen Signatur ist ja enorm – wird immer noch auf sichere hardware Lösungen verzichtet. Erschreckend.

Übrigens: durch das verwendete PACE Protokoll und das Konzept des “Remote Terminals” bei Internet Anwendungen lässt sich das IMHO auch nicht fixen. Die PIN muss zum entschlüsseln des DH Keyexchanges am Software Endpunkt vorhanden sein und kann nicht einfach am Reader eingegeben werden.

Gruss
Bernd


Maik
25.8.2010 18:38
Kommentarlink

Laut der Infoseite des BMI hat die Signaturanwendung eine getrennte PIN, und ist auf Lesegeräten ohne PIN-Pad gesperrt. Immerhin.

Das BSI hat sich inzwischen geäußert und weist darauf hin, dass die PIN alleine einem nichts nütze, man müsse ja auch die Karte selbst klauen. Das ist bestenfalls eine Halbwahrheit; wenn ich schon einen Trojaner auf der Kiste habe, kann ich auch warten, bis das Opfer seine Karte das nächste Mal benutzen will. Dazu hält er die Karte ans Lesegerät. Ich muss dann nur seine Transaktion durch meine ersetzen, oder meine hinterher schieben.

Falls gerade noch jemand einen heftigen Fall von Déjà-vu hat, ja, das sind exakt die selben Argumentationen, die beim Thema Onlinebanking durchgekaut wurden. Es handelt sich ja auch um exakt das selbe Problem (Trusted Client).


Hadmut
25.8.2010 23:48
Kommentarlink

Und woher weiß die Karte, ob das Kartenlesegerät eines ohne oder mit Tastatur ist? Das Kartenlesegerät authentifziert sich ja nicht kryptographisch gegenüber der Karte, womit ein tastaturloses Lesegerät sich immer als eines mit Tastatur ausgeben kann, spätestens mit der geeigneten Firmware.

Ich hab mich zwar seit Jahren nicht mehr mit Chipkartenprotokollen beschäftigt (eigentlich seit der seligen EISS-Card nicht mehr), und weiß jetzt aus dem Stand nicht mehr, ob das Protokoll zwischen Lesegerät und Karte überhaupt diese Angabe vorsieht, aber zumindest wäre mir nichts derartiges in Erinnerung.


Maik
26.8.2010 0:42
Kommentarlink

Soweit ich die technischen Richtlinien verstehe, die ich zugegebenermaßen gerade nur überflogen habe, passiert folgendes: das „Terminal“ (damit ist in ePerso-Terminologie nicht das Lesegerät, sondern die Gegenstelle gemeint, bei QES also die auf dem Host-PC laufende Signatursoftware) schickt dem Perso ein Bauart-Zertifikat und beweist per Challenge-Response, dass es den privaten Schlüssel dazu hat. Diese Zertifikate haben ein Merkmal, ob dieses Terminal qualifizierte Signaturen bekommen darf. Dieses Flag soll nur gesetzt werden, wenn sichergestellt ist, dass ein Leser mit PIN-Pad und Display im Einsatz ist.

Das unterstellt natürlich mindestens drei äußerst wackelige Behauptungen:
– Ich kriege den privaten Schlüssel aus dem Terminal nicht raus
– Ich kann das Terminal nicht dazu bringen, doch einen beliebigen Leser zu akzeptieren
– Die zuständige Aufsicht vergibt Bauartzertifikate nicht wie Bonbons im Karneval, sondern nur nach ausführlicher Prüfung
Im wahren Leben dürften alle drei Punkte Unsinn sein.


Hadmut
26.8.2010 0:46
Kommentarlink

Hört sich dubios an: Die PC-Software soll ein kryptographisches Geheimnis haben, das der Angreifer nicht wissen darf? Und auch noch für alle gleich ist?

Das muß ein Mißverständnis sein, irgendwas kann da nicht stimmen. Das wäre gar zu doof.


Saskia Schwartz
11.9.2010 11:38
Kommentarlink

Herr Danisch, Sie als IT-Experte können ja bestimmt beurteilen, ob es sich bei den folgenden Ausführungen um die Panik-Mache von einigen Verschwörungstheoretikern handelt oder ob ein solches Szenario überhaupt rein IT-technisch machbar ist.

Unter dem Link:
http://www.nworesist.de/blog/2010/02/26/rfid-chip-erfassung/

findet sich u.a. folgender Textvom 26. Februar 2010:

“Das nächste Woche starten wir mit dem Thema RFID chip. Wir er auch in unseren neuen ausweisen demnächst enthalten sein wird!
Für einen kurzen umriss zu diesem Thema möchten wir dass sie sich folgende zwei kurze Filme anschauen. Dennoch, der halbwegs intelligente Mensch wird nun erfassen was auf ihn zukommt im Zusammenspiel mit dem Projekt INDECT der Europäischen Union.
Um zu verstehen was Terror eigentlich ist, wer in fördert und für was dieser Terror geschaffen wurde.
Hierzu schauen Sie sich bitte den Film Terrorstorm(Klickmich) auf unserer Seite an !

Achten Sie auf den letzten Satz der lautet :
“Das endgültige Ziel ist es allen Menschen einen RFID-Chip einzupflanzen. Alle Daten der Menschen und ihr Geld sind auf diesem Chip gespeichert und wenn jemand gegen uns protestieren möchte oder nicht tut was wir wollen. Dann schalten wir diesen Chip einfach ab !”
Sie denken egal ich habe ja noch Bargeld ?! Falsch !
Ab 2011 ist Griechenland das Versuchsfeld für eine Bargeldlose Gesellschaft !
Siehe Griechenland-wird-in-eine-bargeldlose-gesellschaft-umgewandelt
“Aus dem amtlichen Personalausweis wird von November an ein kleiner, aber leistungsstarker Computer. Damit kann der Inhaber sich nicht nur gegenüber Behörden ausweisen, sondern auch im Internet einkaufen und seine elektronischen Briefe mit einer digitalen Unterschrift versehen. Aber nicht nur das: Der elektronische Personalausweis soll auch Arbeitnehmerdaten aus Beschäftigungsverhältnissen speichern. Alle Ausweisdaten und Programme für die Bearbeitung dieser Daten sind auf dem Funkchip des neuen Personalausweises gespeichert. Die im elektronischen Personalausweis verwendeten passiven Funkchips sind RFID-Technik und können Daten nur dann verarbeiten, wenn ihnen von außen Energie zugeführt wird. Dafür ist in der Regel ein Lesegerät zuständig, das ein elektromagnetisches Hochfrequenzfeld aufbaut.”
Dieser neue Personalausweis wird über längere Zeit, alle unsere Daten beinhalten eine Karte für alles ! Den Zettel mit ihrer Steuer ID und damit ihre Sklavennummer haben Sie ja schon bekommen .
durch die nächste künstlich erzeugte Krise wird uns das Bargeld entzogen. So wie es in Griechenland bereits in Planung ist.
Und jetzt denken sie nochmal an das oben genannte Interview !
Merken sie auf was wir zu steuern, wollen Sie das wirklich ? Wollen Sie das Ihren Kindern Antun ? Wollen sie weiterhin Nichtstun, Schweigen und alles über sich ergehen lassen ………….

Es liegt allein an jedem von euch etwas zu tun.
Diese Ekel erregende Zukunft, wird in den Treffen der Bilderberger den jeweiligen Medienbossen und Politikern vorgestellt, und besprochen wie man diese ohne größtmöglichen Widerstand zu erzeugen, der Bevölkerung unterschieben kann.
Merkel und Westerwelle waren z. B. auf diesem Treffen ebenfalls eingeladen ! Machen sie sich ihr eigenes Bild – aber bitte nicht in der Bild-Zeitung der Chef des Axel-Springer Verlages war übrigens auch schon dort !
Sie sehen also dass sie hier mit Sicherheit nichts wirklich wichtiges für ihre Zukunft erfahren werden !
Falls es ihre kostbare Zeit erlaubt, und sie nicht unbedingt den nächsten schläfrig hypnotisieren den Scheißdreck in ihrem Fernseher ansehen müssen !
Schauen Sie sich doch mal den Film ENDGAME an. Den haben wir auch auf Unserer Seite. ENDGAME – DEUTSCH. BLAUPAUSE ZUR TOTALEN VERSKLAVUNG Neue Verlinkung, da er auf vimeo Gelöscht wurde.”


Hadmut
11.9.2010 12:01
Kommentarlink

Naja.

Ich bin zwar Spezialist für IT-Sicherheit und kenne mich grundsätzlich mit sowas aus. Das Thema IT Sicherheit ist aber mittlerweile zu groß um alle Ecken voll zu beherrschen. Und Chipkarten und RFID sind nicht so mein primäres Spezialgebiet. Wir haben am EISS zwar damals eine der ersten Sicherheitschipkarten entwickelt und eingesetzt, die hat auch wunderbar funktioniert, aber das ist bei mir auch schon wieder 10-15 Jahre her. Seitdem bin ich etwas raus aus den Details. Müßte ich mich erst wieder reinarbeiten und mir mal einen RFID-Leser usw. besorgen.

Allerdings ist das da oben auch kein wirklich technisches Thema, sondern mehr so ein gesellschaftliches.

Ich habe inzwischen den Eindruck, daß es unserer Regierung eigentlich völlig egal ist, ob wir einen Chip im Ausweis, im Geldbeutel oder im Hintern haben. Denen geht es allein darum, daß irgendeine Interessengruppe mit irgendwas Geld verdient. Und wenn irgendwer behauptet, daß die größten Umsätze zu erzielen sind, wenn man die Chips stäbchenförmig baut und sich quer durch die Nase bohrt, dann wird eben das Gesetz.


woula
7.10.2010 0:46
Kommentarlink

Ist es wahr, dass der Ziel nach diese RFID Chips ist, das Volk VeriChips ein zu pflanzen???
Was haben mit Griechenland vor. Was ist mit der neue Deutsche Pässe, diese haben eID Chip, ist das gleiche wie RFID Chip???
Für eine Antwort wäre ich Ihnen dankbar.


Hadmut
7.10.2010 0:56
Kommentarlink

Davon habe ich noch nichts gehört. Wer behauptet sowas?

Gänzlich auszuschließen ist das bei unserer Regierung aber nicht. Wenn irgendwer daran verdient und Umsatz macht, schreiben die alles in ein Gesetz.

Sowas wird sich in Deutschland nicht allgemein durchsetzen lassen, die körperliche Integrität ist Grundrecht. Aber irgendwann wird das halt mal kommen, daß Länder wie die USA oder England Leuten Vorteile bei der Flughafenabfertigung oder der Visa-Erteilung versprechen, wenn sie so einen Chip in sich haben.

Ich würde mir niemals so ein Ding einsetzen lassen.

Die deutschen Pässe haben kontaktlose Chips. Meines Wissens gehören die in die Kategorie RFID.


pit
24.11.2010 10:28
Kommentarlink

man brauch ihn ja nicht benutzen. ich denke der absatz von elektroschockern wird in zukunft zunehmen.
http://de.wikipedia.org/wiki/RFID#Angriffs-_bzw._Schutzszenarien


pit
24.11.2010 10:42
Kommentarlink

nachtrag:
es gibt jetzt schon bekloppte die machen das freiwillig
http://www.body-modification.org/index.php?seite=RFID