RFID Pässe und Ausweise zur Zugangskontrolle

In der Presse liest man immer wieder euphorische Artikel über die phantastischen Möglichkeiten, die RFIDs bieten aber auch kritische Artikel, die zu Beispiel zeigen wie die vielgerühmten elektronischen Ausweise, die gegen viel Geld bei uns ausgegeben werden, leicht gefälscht werden können. Elektronische Fälschungen sind viel schwerwiegender als  z.B. gefälschte Geldscheine oder Papierausweise, da elektronische Fälschungen weder von Laien noch Experten erkannt werden können und diese auch beliebig dupliziert und leicht verteilt werden können. Grundsätzlich kann jeder elektronische Ausweis dupliziert werden, sobald er ausgelesen werden kann (genauso wie Papierdokumente kopiert werden können.) Nun ist die RFID Smartcard Technologie tatsächlich sehr sicher. Wenn man diese Technologie aber falsch anwendet wie z.B. bei den Pässen aber auch bei Teilen der Gesundheitskarte, dann ist diese Technologie aber wesentlich unsicherer und lädt zum Identitätsdiebstahl direkt ein. Sowohl bei den internationalen Pässen als auch bei der Gesundheitskarte werden zwei Basisregeln der Smartcard Sicherheit verletzt. 

1) Der Schlüssel zum Auslesen muss genügend lang (zur Zeit > 128 bit), geheim und zufällig ausgewählt sein. 

2) Die Informationen auf dem Chip müssen gesperrt oder total gelöscht werden wenn bei einem Angriff mehrfach versucht wird mit einem falschen Schlüssel auf die Information zuzugreifen. Dieses Verfahren wird z.B beim PIN der Bankkarte  angewendet – die Karte sperrt ja nach dem dritten Fehlversuch. Die Wahrscheinlichkeit, dass man zufällig den richtigen PIN einer gefundenen Karte findet ist 0,4 Promille reicht aber aus, um  den Missbrauch unattraktiv zu machen. Wer jemals dreimal einen falschen PIN bei seiner Bankkarte eingegeben hat, weiß welche unangenehme Folgen das hat.

Damit ein Smartcard oder RFID System wirklich sicher ist, muss man auch ein hochsicheres System zur Verteilung der Schlüssel implementieren oder noch besser alle Schlüssel Online mt einem sicheren System (wie z.B. beim GSM System)verifizieren. Hierfür braucht es aber sehr viel Sorgfalt beim Entwurf des Systems und geeignete Hardware, Software und Verfahren. Da dies das System verteuert und auch in der Benutzung unhandlich macht, spart man sich diesen Aufwand. Dann sollte man sich aber auch den Aufwand für die „hochsicheren“ RFID Chips sparen!  Mit viel Lobby lassen sich aber in Deutschland immer noch unsinnige technische Lösungen durchsetzen.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s