Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

PCGH-Redaktion

Kommentar-System
Teammitglied
Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Jetzt ist Ihre Meinung zu Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät gefragt.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Thread zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät
 
Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

ist halt am sichersten, auf sämtl. techn. Schnickschnack zu verzichten, grad beim Perso. Das Zeuchs dient doch in meinen Augen dazu, den Preis für den Perso in die Höhe zu treiben.
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Mal wieder hat sich die Regierung absolut lächerlich gemacht, was für naive Menschen dürfen denn über solche Millionenbeträge eigentlich beschließen?:motz:
Naja, aber es war ja vorherzusehen.
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Da passt doch perfekt der Spruch "Papier ist geduldig", hätten sie einfach die alten gelassen :ugly:, aber nein alles besser und sicherer, man siehts :lol:, und es gibt nichts was nicht geknackt wird
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Und ich musste zum Glück gerade einen neuen alten beantragen :hail:

Die mit ihrem ganzen mistigen Biometriekagg.. das wird noch darin enden, dass sie von jedem elektronisch den Fingerbadruck, DNS-Code, Gesichtsmuster etc zentral speichern(Wenns geht noch mit Krankheitsdaten für die Industrie / Lobby olee) und wenn man einen aufn Kieker hat, ihm jeden Mist vorwerfen kann :daumen2:

Wir sind nun bald bei Stasi 2.5 :schief:
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

naja die komischen methoden zum kole verballern mach ich nicht mit

ich habe kein perso seit jahren alles mit führerschein.......:D

mal wieder ein staats streich der ein flop wird alla maut toll collect millionen in müll und erst nach jahren geht es naja der steuer zahler hats ja

wir werden es nie lernen wenn wir nix anderes wählen:lol:
armes deutschland
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

"Zukunft: etwas, das die meisten Menschen erst lieben, wenn es Vergangenheit geworden ist."

William Somerset Maugham
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Das einzige positive an dem neuen Perso ist, dass ich wenn ich den beantrage ein neues Foto machen muss, auf dem ich nicht so blöd aussehe wie auf meinem aktuellen Perso ...

Wenn man schon vor der Veröffentlichung Sicherheitslücken ausnutzen kann, dann läuft was schief, das sollten eigentlich auch Politiker merken :daumen2:
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Politiker.. wenn sie schon technische Erneureungen einführen wollen, wieso lassen sie nicht Leute ran, die etwas Ahnung haben.. Datenaustausch auf der Ebene muss doch unter höchster Sicherheitsstufe geschehen, bin mal gespannt wie die Methoden sind,Daten abzugreifen..
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Na ein bissel Quatsch ist es schon "alles beim Alten" zu belassen.
Außer der guten Überwachungsmöglichkeit des Staates , hat solch Ausweis auch Vorteile , gut zur Zeit fallen mir keine ein ;) .

Aber falls man die Sicherheitsprobleme in Griff bekommt und nachweislich kein Schindluder mit den eigenen Daten getrieben wird (sprich kein Zugriff durch Dritte , wie USA oder Wirtschaft möglich ist) bzw. getrieben werden kann,
dann könnte es schon ein Mehrwert geben.

Leider gibt es da viele wenns und abers und leider kann man ,aus leidvollen bisherigen Erfahrungen , unserer Regierung durchaus zutrauen das unsere Daten an "Hilfebedüftige" verteilt werden.

MfG Diemetius
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Naja, das die Persönliche Identifikationsnummer leicht abzugreifen ist, ist ja logisch. Eine 6stellige Nummer sollte da kein Problem sein, vor allen Dingen für Könner.

Deswegen bestehen Passwörter ja auch neuerdings aus Zahlen, Groß-/Kleinbuchstaben und Sonderzeichen. ;-)
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

"...im Rahmen des Konjunkturpaketes II..." Häh??? Wo kurbelt denn son'n mist die Konjunktur an? Da verdienen nur ein paar Subunternehmer dran (die natürlich für nichts haften)...
Letztendlich geht's doch nur darum in Behörden und Gemeinden mal wieder massiv Personal einzusparen (aber wie meistens sind dann die Kosten höher als die Einsparung).
Wird dann so sein wie auf meiner Bank... man geht auf's Rathaus und stellt sich an ein Terminal. Dann stehen da noch so'n paar Leute im Anzug rum die zwar schick aussehen aber keine Ahnung haben. Aber helfen kann da keiner, muss dann 2 Orte weiterfahren zur nächsten Filiale die noch ein paar fähige Angestellte haben. Und die 2-3 Mio Menschen die das dann wirklich Online benutzen werden dann mit dem Risiko allein gelassen...
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

1. Wir brauchen einen E-Perso, damit das Internet irgendwann einmal in einem Gewissen selbst erzeugten Bereich für jedermann Transparenz und Rechtssicherheit bieten kann. Daran macht der E-Perso ja auch nix falsch.

2. Das mit den Lesegeräten ist in der Tat ein Diseaster auf das reagiert werden muss, ohne wenn und aber, sonst bringt der E-Perso wieder nix. Ich werde heute abend auf jeden Falle plusminus sehen. Soweit schonmal dickes Lob an den ccc.
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

ich habe kein perso seit jahren alles mit führerschein.......:D

Mit einem Führerschein kann man sich nicht ausweisen. (Mag sein, dass manch Türsteher den akzeptiert, die Polizei nicht)
Mal so nebenbei: Du bist verpflichtet einen Personalausweis oder Reisepass zu besitzen. Es gibt in Deutschland eine Ausweispflicht (nur keine Mitführpflicht)
Könnte also doppelt Probleme bei einer Polizeikontrolle geben.


Bei dem E-Pass gibt es ein Problem nach dem Nächsten. Werden Lesegeräte nicht während der Entwicklung auf Sicherheit geprüft? ^^
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Mit einem Führerschein kann man sich nicht ausweisen. (Mag sein, dass manch Türsteher den akzeptiert, die Polizei nicht)
Mal so nebenbei: Du bist verpflichtet einen Personalausweis oder Reisepass zu besitzen. Es gibt in Deutschland eine Ausweispflicht (nur keine Mitführpflicht)
Könnte also doppelt Probleme bei einer Polizeikontrolle geben.


Bei dem E-Pass gibt es ein Problem nach dem Nächsten. Werden Lesegeräte nicht während der Entwicklung auf Sicherheit geprüft? ^^

Ich weiß zwar nicht wie bei euch in D die Gesetze sind, aber wenn man bei uns in Ö aufgehalten wird, wird auch nur nach dem Führerschein gefragt :what:
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

ja bei uns in österreich ist der personalausweis optional. führerschein geht eigentlich immer :D
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

was für naive Menschen dürfen denn über solche Millionenbeträge eigentlich beschließen?:motz:

Die, die vom Wähler damit beauftragt werden.


Politiker.. wenn sie schon technische Erneureungen einführen wollen, wieso lassen sie nicht Leute ran, die etwas Ahnung haben..

Glaubst du, die haben das selbst entwickelt? :rollen:

Aber es ist ziemlich egal, wieviel Ahnung die Leute haben. Es gibt kein unknackbares System. Erst recht keins, dass man mit nach Hause nehmen und analysieren kann oder das mit einem gängigen PC zusammenarbeiten muss. Von "online" ganz zu schweigen. Entweder man verzichtet auf den E-Perso und zieht den Stecker, oder er ist unsicher. Ggf. ist er aber trotzdem noch ein großer Fortschritt gegenüber z.B. einfachen Pinnummern ohne Hardwaregegenstück, die sich mit einem primitiven Keylogger ausspähen lassen oder gar gänzlich öffentliche Daten wie "geben sie Namen, Anschrift und Konto/Kreditkartennummer an".
Spannend wird imho nur die Frage, in wie weit die Identifikation via E-Perso als rechtlich sicher eingestuft wird.
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Es gibt kein unknackbares System. Erst recht keins, dass man mit nach Hause nehmen und analysieren kann oder das mit einem gängigen PC zusammenarbeiten muss.

Jedes System kann gebrochen werden, das ist richtig, allerdings ist dabei auch entscheidend, wie lange das dauert. Es gibt durchaus Systeme die als sicher gelten, da es nach heutigen Meinungen mit der heutigen Technik Jahrzehnte, Jahrhunderte oder noch länger dauern würde, den Schlüssel zu "berechnen". Allerdings sind diese Systeme i.d.R. mit großen Kosten und erheblichen Aufwand der Umsetzung vorhanden. Wer möchte das schon? :schief:
Falls der Beweis von P!=NP richtig ist, ist sogar ein Teil der Meinung Wahrheit. :ugly:

Interessant ist allerdings auch, dass solche Systeme zehn Jahre oder mehr im Einsatz sind, es aber im Durchschnitt nur 2-3 Jahre dauert, bis sie geknackt werden.
Wenn ich das richtig sehe, ist hier das System an sich nicht gebrochen, sondern "nur" ein Lesegerät ist fehlerhaft, welches zufällig ist den Einsatz kommen wird.
 
AW: Elektronischer Personalausweis: Chaos Computer Club erkennt Sicherheitslücken im Lesegerät

Jedes System kann gebrochen werden, das ist richtig, allerdings ist dabei auch entscheidend, wie lange das dauert. Es gibt durchaus Systeme die als sicher gelten, da es nach heutigen Meinungen mit der heutigen Technik Jahrzehnte, Jahrhunderte oder noch länger dauern würde, den Schlüssel zu "berechnen". Allerdings sind diese Systeme i.d.R. mit großen Kosten und erheblichen Aufwand der Umsetzung vorhanden. Wer möchte das schon? :schief:

Wovon du sprichst, dass sind Verschlüsselungsalgorithmen. Da gibt es durchaus einige, bei denen man sehr lange braucht, um den Schlüssel einer einzelnen Nachricht zu knacken und einige, bei denen das unmöglich ist.
Eine Verschlüsselung ergibt aber noch kein sicheres System. Dazu gehört auch noch ein sicheres Verfahren, um die Verschlüsselung überhaupt durchzuführen und ein sicheres Verfahren, um Nachricht und ggf. Schlüssel an den richtigen Empfänger (und nur den) zuzustellen. Und das ganze soll auch bei wiederholter Anwendung auf sehr ähnliche Daten standhalten...

Da ergeben sich beim E-Perso eine ganze Reihe von Schwachstellen, nicht zuletzt wird er von Laien auf Windows-basierten Systemen eingesetzt und generiert Datenverkehr über öffentliche Server. D.h.:
- sämtliche Prozesse, die im Rechner ablaufen, lassen sich von kriminellen Elementen ausspähen. Selbst wenn die Verschlüsselung komplett im Lesegerät oder gar auf dem Perso erfolgt, hat der Angreifer Zugriff auf den verschlüsselten Code und auf den Befehl, der ihn generiert hat, außerdem auf sämtliche Hinweise, die der Empfänger zum dekodieren braucht.
- er wird immer und immer wieder eingesetzt und er wird in den meisten Fällen nur ein einfaches Identitätssignal generieren. Der Angreifer erhält Zugriff auf eine ganze Reihe von Codes, in denen jedesmal eine nahezu identische Nachricht verschlüsselt ist.
- der Angreifer muss den Code ggf. nichtmal knacken, denn er kann selbst z.B. über Phishing-Methoden oder ggf. auch wenn der User gerade aktiv ist Codes generieren und er kann umgekehrt bei potentiellen Zielservern solange anfragen, bis eine Anfrage kommt, auf die er die Antwort bereits kennt.
- oder er stimmt seine kriminellen Aktivitäten auf die des Users ab und schleust seine eigene Anfrage anstelle einer vom User erwarteten ein. (z.B.: User will auf einer Seite mit interessantem Inhalt seine Volljährigkeit belegen, sein Surfverkehr wird aber über den Server des Kriminellen überwacht, der lieber auf das Konto des Opfers zugreifen möchte. In dem Moment, in dem die Altersabfrage Kontakt mit dem Lesegerät aufnehmen möchte, spielt der Kriminelle stattdessen die Kontrollabfrage der Bank ein und fängt im Gegenzug die Antwort ab. -> Er hat Zugang zum Konto und das Opfer bemerkt nur eine gescheiterte Authentifizierung)

Das war aber nur die harmlose Variante, bei der man noch viel unter Kontrolle hat. Es ist aber bereits gelungen -und bei einem dummen Speicherchip lässt sich das auch nur schwer verhindern- den Inhalt derartiger Ausweise komplett zu kopieren. Und die Lesegeräte gibts für jedermann...

Interessant ist allerdings auch, dass solche Systeme zehn Jahre oder mehr im Einsatz sind, es aber im Durchschnitt nur 2-3 Jahre dauert, bis sie geknackt werden.

Und das sind in aller Regel Systeme, bei denen es sich kaum lohnt, sie zu knacken, weil man zusätzlich erstmal wichtige Inhalte aus dem Datenwust raussortieren müsste, der über sie läuft.
Hier ist die Motivation ungleich größer.
Und die Laufzeit eines Persos beträgt 10 Jahre, die Übergänge erfolgen fließend über die Bevölkerung verteilt (Stichwort: Kompatibilität), die Kosten für die Einführung (und erst recht jede Korrektur) sind hoch und sollten einem Nutzen über mehrere Generationen gegenüberstehen,...
 
Zurück