AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät
Jedes System kann gebrochen werden, das ist richtig, allerdings ist dabei auch entscheidend, wie lange das dauert. Es gibt durchaus Systeme die als sicher gelten, da es nach heutigen Meinungen mit der heutigen Technik Jahrzehnte, Jahrhunderte oder noch länger dauern würde, den Schlüssel zu "berechnen". Allerdings sind diese Systeme i.d.R. mit großen Kosten und erheblichen Aufwand der Umsetzung vorhanden. Wer möchte das schon?
Wovon du sprichst, dass sind Verschlüsselungsalgorithmen. Da gibt es durchaus einige, bei denen man sehr lange braucht, um den Schlüssel einer einzelnen Nachricht zu knacken und einige, bei denen das unmöglich ist.
Eine Verschlüsselung ergibt aber noch kein sicheres System. Dazu gehört auch noch ein sicheres Verfahren, um die Verschlüsselung überhaupt durchzuführen und ein sicheres Verfahren, um Nachricht und ggf. Schlüssel an den richtigen Empfänger (und nur den) zuzustellen. Und das ganze soll auch bei wiederholter Anwendung auf sehr ähnliche Daten standhalten...
Da ergeben sich beim E-Perso eine ganze Reihe von Schwachstellen, nicht zuletzt wird er von Laien auf Windows-basierten Systemen eingesetzt und generiert Datenverkehr über öffentliche Server. D.h.:
- sämtliche Prozesse, die im Rechner ablaufen, lassen sich von kriminellen Elementen ausspähen. Selbst wenn die Verschlüsselung komplett im Lesegerät oder gar auf dem Perso erfolgt, hat der Angreifer Zugriff auf den verschlüsselten Code und auf den Befehl, der ihn generiert hat, außerdem auf sämtliche Hinweise, die der Empfänger zum dekodieren braucht.
- er wird immer und immer wieder eingesetzt und er wird in den meisten Fällen nur ein einfaches Identitätssignal generieren. Der Angreifer erhält Zugriff auf eine ganze Reihe von Codes, in denen jedesmal eine nahezu identische Nachricht verschlüsselt ist.
- der Angreifer muss den Code ggf. nichtmal knacken, denn er kann selbst z.B. über Phishing-Methoden oder ggf. auch wenn der User gerade aktiv ist Codes generieren und er kann umgekehrt bei potentiellen Zielservern solange anfragen, bis eine Anfrage kommt, auf die er die Antwort bereits kennt.
- oder er stimmt seine kriminellen Aktivitäten auf die des Users ab und schleust seine eigene Anfrage anstelle einer vom User erwarteten ein. (z.B.: User will auf einer Seite mit interessantem Inhalt seine Volljährigkeit belegen, sein Surfverkehr wird aber über den Server des Kriminellen überwacht, der lieber auf das Konto des Opfers zugreifen möchte. In dem Moment, in dem die Altersabfrage Kontakt mit dem Lesegerät aufnehmen möchte, spielt der Kriminelle stattdessen die Kontrollabfrage der Bank ein und fängt im Gegenzug die Antwort ab. -> Er hat Zugang zum Konto und das Opfer bemerkt nur eine gescheiterte Authentifizierung)
Das war aber nur die harmlose Variante, bei der man noch viel unter Kontrolle hat. Es ist aber bereits gelungen -und bei einem dummen Speicherchip lässt sich das auch nur schwer verhindern- den Inhalt derartiger Ausweise komplett zu kopieren. Und die Lesegeräte gibts für jedermann...
Interessant ist allerdings auch, dass solche Systeme zehn Jahre oder mehr im Einsatz sind, es aber im Durchschnitt nur 2-3 Jahre dauert, bis sie geknackt werden.
Und das sind in aller Regel Systeme, bei denen es sich kaum lohnt, sie zu knacken, weil man zusätzlich erstmal wichtige Inhalte aus dem Datenwust raussortieren müsste, der über sie läuft.
Hier ist die Motivation ungleich größer.
Und die Laufzeit eines Persos beträgt 10 Jahre, die Übergänge erfolgen fließend über die Bevölkerung verteilt (Stichwort: Kompatibilität), die Kosten für die Einführung (und erst recht jede Korrektur) sind hoch und sollten einem Nutzen über mehrere Generationen gegenüberstehen,...