SuisseID und der deutsche elektronische Personalausweis

SuisseID und der deutsche elektronische Personalausweis

Der digitale Stirnabdruck
1 Stunde 54 Minuten

Beschreibung

vor 14 Jahren
Unser Personalausweis geht ins Internet! Handlich, praktisch und
elektronisch soll das neue Personaldokument nun auch digital aus
dem Wohn- oder Schlafzimmer natürlich einhundertprozentig sicher
dem Gegenüber unsere Identität nachweisen können und dabei auch
gleich noch die persönliche, handgeschriebene Unterschrift unter
den wichtigsten Dokumenten ersetzen können. Zu sicher, um wahr zu
sein? Die Schweizer Bürger dürfen sich bereits sicher fühlen. Das
hiesige Pendant zum elektronischen Personalausweis, genannt
SuisseID, ist bereits weitverbreitet, jedoch noch nicht gesetzlich
vorgeschrieben. Was macht nun diese Identitätsdokumente so
unglaublich sicher, sicherer noch als herkömmliche und unhandliche
Ausweise? Sind es die von den Herstellern propagierten unhackbaren
Smartcard-Chips? Oder die Firewall auf Deinem asiatischen
DSL-Router? Deine breiten Schultern oder gar die Irrelevanz Deiner
digitalen Identität? Oder daß Du den Ausweis immer nur wenige
Sekunden am Rechner hast? Wir haben in den vergangenen Tagen
demonstriert, daß ein tiefes Wissen und hoher Aufwand keineswegs
notwendig ist, um eine solche Identität zu kapern. Laßt uns wissen,
ob wir etwas übersehen, vernachlässigt oder auch übertrieben haben
– ob ihr Betroffene oder betroffen Machende seid. Die SuisseID ist
eine Schweizer Lösung zur elektronischen Authentifizierung und
digitalen Signatur im Internet. Max Moser und Thorsten Schröder
kratzten bereits eifrig an der Oberfläche dieses offenbar brüchigen
Gebildes, als die ersten semi-offiziellen Meldungen die Runde
machten, der CCC würde den neuen, elektronischen Personalausweis in
Deutschland gehackt haben. Im Vorfeld des im September geplanten
Vortrages der beiden auf einer Züricher Sicherheitskonferenz ging
bei vielen beteiligten Institutionen bereits die Alarmsirene an:
Fortan sollte die Gerüchteküche brodeln, und alle spielten
verrückt. Mit einfachen Mitteln sollte das Konzept der SuisseID
auseinandergenommen werden – und zwar so, daß jedem
Marketingmenschen, der die Totale Sicherheit (tm) durch Smartcards
ausrief, jedes Argument aus den Händen geschlagen wird. Schnell
wurde klar, daß die gleichen Angriffe analog auch beim deutschen
ePA (neuerdings nPA) wirken, weswegen in diesem Zuge gleich noch
das deutsche Pendant zur Schweizer SuisseID mit den simpelsten
Mitteln zerlegt wurde. Die sehr einfachen Angriffe wurden in Text,
Ton und Bild festgehalten und detailliert dokumentiert. Letzten
Mittwoch machte die Kunde die Runde, und der Bundesinnenminister
Thomas de Maizière (CDU) sah sich genötigt, in die tagesschau zu
rufen: "Irgendwelche Hacker mögen immer irgendwas hacken können,
äh, aber, ähm, die [...] Sicherheit des neuen Personalausweises
steht nicht in Frage." Wir möchten mit Euch über die trivialen
Angriffsflächen diskutieren und herausfinden, ob Herrn de Maizière
Recht gegeben werden kann oder nicht. Die Reaktionen und Argumente,
die sich anschließend in der Diskussion nach der Veröffentlichung
entwickelten, werden ebenfalls diskutiert. Wir möchten von Euch
wissen: Versteht ihr den Impact dessen, was wir hier angerissen
haben, oder fehlen Euch noch Argumente, die bislang nicht den Weg
in die Öffentlichkeit fanden? Hörer, Politiker und Hersteller,
Befürworter und Gegner der (exemplarisch) thematisierten Techniken
sind aufgerufen, sich an dieser Diskussion zu beteiligen. Links: *
CCC: Praktische Demonstration erheblicher Sicherheitsprobleme bei
Schweizer SuisseID und deutschem elektronischen Personalausweis
http://ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa
15
15
:
: