L
Lotipats
Guest
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät
an ruyven_macaran:
Nein, ich bezog mich nicht ausschließlich auf Verschlüsslungen, auch wenn diese - in diesem Fall asymmetrische - durchaus eine Rolle spielen.
Weiterhin habe ich auch nie sagen wollen, dass das aktuelle System des elektronischen Personalausweises ein gut gesichertes, unknackbares ist. Ob das System bereits gebrochen ist, kann ich nicht sagen, ich habe da nur etwas unscharfes im Hinterkopf. Das in dem News-Beitrag angesprochen Problem ist, wie ich es verstanden habe, eines der Lesegeräte und kein allg. des Systems. Wobei man dann natürlich fragen könnte, ob es nicht ein Designfehler ist, wenn ein Lesegerät so etwas anrichten kann.
Generell muss ich auch sagen, dass ich die "German Electronic ID Card" für idiotisch halte, auch der Ziele wegen.
Die 2-3 Jahre nannte meine Quelle direkt im Zusammenhang mit dem elektronischen Personalausweis. Da sie schon viele Jahre/Jahrzehnte auf "dem Gebiet" arbeitet und ich sie auch für äußerst kompetent halte, gehe ich von der Richtigkeit der Aussage aus. Allerdings habe ich, wie ich gestehen muss, auch keine andere Quelle gesucht!
Aber letztendlich stimmen wir doch beide überein, dass der elektronischen Personalausweis nicht für die anvisierte Zeit ausgelegt ist, oder?
Was den mittleren Teil deines Beitrages angeht, richtig, beim elektronischen Personalausweis gibt es viele Schwierigkeiten zu überwinden. Aber ich stimme nicht mit dir überein, dass es immer möglich ist, die auf dem PC laufenden Prozesse auszuspähen. Es gibt Techniken wie "Trusted Computing" bei denen nicht einmal das Betriebssystem alles überwachen kann. Dort bereiten mir allerdings andere Aspekte auch Magenschmerzen.
Was du mit Code meinst, weiß ich nicht, ich verstehe deshalb leider auch nicht alles, was du da geschrieben hast. Wie genau die ganzen Umsetzungen sein müssen um die gewollten Funktionalitäten zu erreichen und das auch ziemlich sicher, kann ich nicht sagen. Aber mit dem aktuellen System, so wie ich es kenne, würde ich es nicht versuchen. Das wollte ich aber auch nie sagen. Ich bezog mich auf den allg. Fall und da stehe ich auch immer noch zu.
Nur zur Vollständigkeit:
Das "aktuelle" System funktioniert meines Wissens nach folgender Maßen.
PC fragt bei einem Dienstanbieter (z.B. Webseite) an. Dieser hat ein Zertifikat der Regierung. Mit Hilfe dieses Zertifikates werden die Daten vom Personalausweis angefordert. Der Besitzer des Ausweises muss mit der Eingabe der PIN der Übermittlung zustimmen, die Daten gehen dann zum Dienstanbieter.
Natürlich ergeben sich da viele Probleme.
an ruyven_macaran:
Nein, ich bezog mich nicht ausschließlich auf Verschlüsslungen, auch wenn diese - in diesem Fall asymmetrische - durchaus eine Rolle spielen.
Weiterhin habe ich auch nie sagen wollen, dass das aktuelle System des elektronischen Personalausweises ein gut gesichertes, unknackbares ist. Ob das System bereits gebrochen ist, kann ich nicht sagen, ich habe da nur etwas unscharfes im Hinterkopf. Das in dem News-Beitrag angesprochen Problem ist, wie ich es verstanden habe, eines der Lesegeräte und kein allg. des Systems. Wobei man dann natürlich fragen könnte, ob es nicht ein Designfehler ist, wenn ein Lesegerät so etwas anrichten kann.
Generell muss ich auch sagen, dass ich die "German Electronic ID Card" für idiotisch halte, auch der Ziele wegen.
Die 2-3 Jahre nannte meine Quelle direkt im Zusammenhang mit dem elektronischen Personalausweis. Da sie schon viele Jahre/Jahrzehnte auf "dem Gebiet" arbeitet und ich sie auch für äußerst kompetent halte, gehe ich von der Richtigkeit der Aussage aus. Allerdings habe ich, wie ich gestehen muss, auch keine andere Quelle gesucht!
Aber letztendlich stimmen wir doch beide überein, dass der elektronischen Personalausweis nicht für die anvisierte Zeit ausgelegt ist, oder?
Was den mittleren Teil deines Beitrages angeht, richtig, beim elektronischen Personalausweis gibt es viele Schwierigkeiten zu überwinden. Aber ich stimme nicht mit dir überein, dass es immer möglich ist, die auf dem PC laufenden Prozesse auszuspähen. Es gibt Techniken wie "Trusted Computing" bei denen nicht einmal das Betriebssystem alles überwachen kann. Dort bereiten mir allerdings andere Aspekte auch Magenschmerzen.
Was du mit Code meinst, weiß ich nicht, ich verstehe deshalb leider auch nicht alles, was du da geschrieben hast. Wie genau die ganzen Umsetzungen sein müssen um die gewollten Funktionalitäten zu erreichen und das auch ziemlich sicher, kann ich nicht sagen. Aber mit dem aktuellen System, so wie ich es kenne, würde ich es nicht versuchen. Das wollte ich aber auch nie sagen. Ich bezog mich auf den allg. Fall und da stehe ich auch immer noch zu.
Nur zur Vollständigkeit:
Das "aktuelle" System funktioniert meines Wissens nach folgender Maßen.
PC fragt bei einem Dienstanbieter (z.B. Webseite) an. Dieser hat ein Zertifikat der Regierung. Mit Hilfe dieses Zertifikates werden die Daten vom Personalausweis angefordert. Der Besitzer des Ausweises muss mit der Eingabe der PIN der Übermittlung zustimmen, die Daten gehen dann zum Dienstanbieter.
Natürlich ergeben sich da viele Probleme.