Kritik am biometrischen Pass - Nein am 17. Mai [updated] Marc Ruef | 04.05.2009 Am 17. Mai 2009 steht eine technologisch wichtige Abstimmung im Zentrum der Schweizer Politik. Es geht um die Akzeptanz der Einführung des biometrischen RFID-Passes im Jahr 2010. In diesem Beitrag möchte ich als Sicherheitsexperte auf die technischen und organisatorischen Unklarheiten, Schwierigkeiten und Probleme hinweisen. Meine Empfehlung mit einem Nein zum biometrischen Pass am 17. Mai abzustimmen, soll argumentativ untermauert werden. Einführung In der Schweiz wurden eine Reihe von Pässen ausgestellt, die anhand ihrer Namensgebung auf das Jahr der Einführung schliessen lassen. Der Pass 85 (http://www.schweizerpass.admin.ch/pass/de/home/ausweise/pass_85.html) ist nicht elektronisch und mittlerweile nicht mehr gültig. Er wurde durch den Pass 03 (http://www.schweizerpass.admin.ch/pass/de/home/ausweise/pass_03.html) abgelöst, der ebenfalls nicht elektronisch war. Erstmals wurde mit dem Pass 06 (http://www.schweizerpass.admin.ch/pass/de/home/ausweise/pass_06.html) ein mit einem RFID-bestücktes Passdokument ausgestellt. Er wird deshalb erstmals als ePass bezeichnet. Durch biometrische Daten und zusätzliche technische Mechanismen wird dieser mit dem Pass 10 (http://www.schweizerpass.admin.ch/pass/de/home/ausweise/pass_10.html) erweitert werden. Er wird damit biometrischer Pass genannt. (biometrische-ausweise.ch (http://www.biometrische-ausweise.ch/epass/)) Die genutzte RFID-Technik (Radio Frequency Identification) stellt eine kontaktlose Chipkarte dar, mit der sich Daten drahtlos auslesen lassen. Diese Technik wird je länger je mehr in der Industrie und im Handel eingesetzt, um grössere Produktmengen einfacher verwalten zu können. Zum Beispiel könnte jeder Artikel in einem Kaufhaus mit einem RFID-Chip ausgerüstet sein, wodurch beim Durchschreiten der Schranke an der Kasse automatisch der Inhalt des Warenkorbs berechnet wird. Das mühsame Einlesen der Produktnummern oder Barcodes durch die KassiererIn wird damit überflüssig. Auslesen durch Dritte Das Problem an drahtlosen Mechanismen ist, dass sich diese nicht ohne weiteres kanalisieren lassen. Dies bedeutet, dass jedermann im Umkreis der versendeten Daten auf eben diese zugreifen kann. Muss ein Angreifer bei einem Kabel physischen Zugriff auf dieses erlangen, um die Kommunikationen mithören oder unterbrechen zu können, reicht bei einem drahtlosen System die Nähe zu diesem. Ein Problem, dass in Bezug auf WLAN-Netze (http://www.computec.ch/download.php?list.28) schon lange diskutiert wurde. Um das Auslesen der Daten des Passes über RFID zu verhindern, wird eine Technik namens Basic Access Control (BAC) eingesetzt. Um die mittels BAC geschützten Daten auslesen zu können, muss der Empfänger einen geheimen Schlüssel kennen. Dieser wird in der maschinenlesbare Zone (MRZ) auf dem Pass abgelegt. Bei der MRZ handelt es sich um einen physischen Bereich auf dem Passdokument, der sehr einfach dank OCR durch Computer eingelesen werden kann. Man muss also zuerst den Pass physisch aushändigen, damit der MRZ eingelesen werden kann, um auf die BAC-geschützten Daten zugreifen zu können. Das Problem hierbei ist, dass die Daten der MRZ sehr einfach zu erraten sind. Und zwar, weil diese aus den folgenden persönlichen Komponenten bestehen: Ausweisart, Ausstellerland, Name, Vorname, Nationalität, Geburtsdatum, Geschlecht, Ablaufdatum und Verschiedene Prüfziffern. Da sich diese Informationen sehr einfach berechnen lassen, vor allem wenn man eine Person kennt, kann das Passwort einfach vorausgesagt und unmittelbar drahtlos auf die Daten des Passes zugegriffen werden. Im Internet finden sich eine Vielzahl an Fachpublikationen und Videos dazu, wie ein erfolgreicher Angriff bei RFID-Passdokumenten verschiedenster Nationalitäten durchgeführt wird (Heise Online (http://www.heise.de/newsticker/Sicherheitsmaengel-bei-Schweizer-E-Pass-System--/meldung/137195), Infoscience (http://infoscience.epfl.ch/record/110699)). Zerstörung durch Überlastung Der Transponder auf dem Pass ist nicht mit einer eigenen Stromquelle (Batterie) ausgestattet. Stattdessen erzeugt das Lesegerät mit der Hilfe von Induktionsspulen ein elektromagnetisches Hochfrequenzfeld. Eine zu grosse Energiemenge kann dazu führen, dass die RFID-Chips durch einen elektromagnetischen Impuls (EMP) zerstört werden (diesen Effekt kann man sehr einfach mit einer Mikrowelle erzeugen). Der elektronische Teil des Passes ist damit nicht mehr nutzbar. Von Aussen sieht man dies dem Chip nicht an. In der Schweiz ist der jeweilige Bürger für den Besitz eines korrekt funktionierenden Passes zuständig. Ein Verlust oder eine Zerstörung dessen muss sofort den zuständigen Behörden gemeldet (http://www.schweizerpass.admin.ch/pass/de/home/ausweise/allgemeines/verlust_eines_ausweises.html) und ein neues Passdokument bezogen werden. Die Kosten dieser Prozedur müssen durch den Kunden getragen werden. Der Pass 06 kostet rund 250 CHF (ohne Bearbeitungsgebühren), Pass 10 wird voraussichtlich mehr kosten. Voraussichtlich werden elektronisch defekte Pässe temporär ihre Gültigkeit behalten und stattdessen in klassischer Weise nutzbar sein (Aushändigen und manuelles Durchsehen/Einlesen). Es ist durchaus denkbar, dass jemand an öffentlichen Orten mit hohem Menschenaufkommen - vorzugsweise Flughäfen - mit einem automatisierten RFID-Zapper um die Zerstörung der RFID-Chips in Reichweite bemüht ist (Anleitungen zum Bau eines solchen finden sich beim Chaos Computer Club (http://events.ccc.de/congress/2005/static/r/f/i/RFID-Zapper_de61.html) und auf YouTube (http://www.youtube.com/watch?v=c0vZigwn09I)). Jenachdem können innert weniger Sekunden Dutzende von Passdokumenten unbrauchbar gemacht werden. Die betroffenen Personen müssen Aufwand und Geld auf sich nehmen, um diese Schäden - die sie nur schwer verhindern können - wieder zu beheben. Kein Komfort durch drahtlose Lösung Eines der frühen Hauptargumente der Einführung von RFID war, dass damit der Komfort für die Benutzer und damit die Effizienz bei der Prüfung erhöht werden kann. Schliesslich kann man theoretisch am Zoll vorbeigehen, ohne in mühsamer Weise den Pass hervorkramen und vorweisen zu müssen. Da sich verschiedene Angriffe erfolgreich auf die RFID-Chips der Passdokumente durchsetzen lassen (auslesen oder zerstören), haben sich skurrile Gegenmassnahmen etabliert. Und zwar liefern viele Hersteller entsprechender Pässe sogleich speziell ausgekleidete Schutzhüllen mit. Durch die Verwahrung der RFID-Dokumente in diesen ist es nicht mehr ohne weiteres möglich, die Pässe über RFID anzugehen. Dies bedingt nun aber wieder, dass bei einer Prüfung am Flughafen erneut das Dokument hervorgekramt und aus der Hülle genommen werden muss. Genauso, wie dies schon bei den nicht-technischen Pässen der Fall war. Auch wenn die Angreifbarkeit der elektronischen Pässe nicht gegeben wäre, müsste auf ein Hervornehmen dieser zurückgegriffen werden. Und zwar müssen ja die Daten der MRZ zuerst mittels OCR am Lesegerät übergeben werden (siehe Absatz "Auslesen durch Dritte"), bevor dieses auf die Passdaten zugreifen kann. Der Komfort der drahtlosen Lösung kann und wird nicht gewährleistet werden können. Kopierbarkeit nicht unmöglich Die vermeintliche Komplexität des elektronischen Passes soll diesen Fälschungssicher machen. In der Tat sind für das Verändern und Kopieren derartiger Passdokumente erweiterte Kenntnisse und zusätzliche Mechanismen notwendig (Tractatus 3.3.2.1.4.2 (http://www.computec.ch/projekte/tractatus/?s=tractatus&m=liste&h=3.3.2.1.4.2&l=6)). Durch die Passive Authentication (PA) sollen derartige Angriffe zusätzlich erschwert werden. Hierzu werden im SOD (Document Security Object) Hashes aller Datengruppen abgelegt. Das SOD ist sodann mit dem DS (Document Signer), einem kryptografisch möglichst fälschungssicheren Zertifikat, signiert. Die Echtheit des Dokuments kann sodann mit dem Länderzertifikat des Herkunftslands verifiziert werden. (biometrische-ausweise.ch (http://www.biometrische-ausweise.ch/epass/wie-kopiert-man-einen-pass/)) Als krytographischer Algorithmus wird dabei normalerweise RSA verwendet, in der Schweiz kommt jedoch das als weniger sicher geltende DSA zum Einsatz. Als Hashfunktion wird oft SHA1 oder SHA256 verwendet, die zur Zeit als relativ sicher gelten. Durch die Active Authentication (AA) soll zusätzlich mit einem eigenen RSA-Zertifikat die Echtheit des Dokuments gewährleistet werden. Die Sicherheit von AA hängt jedoch unmittelbar von PA ab. Das applizierte Verfahren vermag theoretisch das benötigte Mass an Sicherheit bereitzustellen. Probleme gibt es jedoch voraussichtlich im internationalen Austausch der Länderzertifikate. Nur wenige Staaten beteiligen sich auf dieser Ebene, so dass die Verifikation des DS-Hash der SOD nicht immer durchgeführt werden kann. Jenachdem werden also manipulierte oder geklonte Pässe nicht als solche erkannt (Times Online (http://www.timesonline.co.uk/tol/news/uk/crime/article4467106.ece)). Einem Hollandischen Hacker gelang es, mit einem gefälschten Pass von Elvis Presley durch die Passkontrolle zu kommen (Heise Online (http://www.heise.de/security/Sicherheitspruefung-fuer-elektronische-Reisepaesse-ueberlistet--/news/meldung/116715)). Sollte ein Passdokument aufgrund eines Defekts nicht über RFID angesteuert werden können, liesse er sich ebenso in klassischer Weise durch die aufgedruckten Informationen prüfen. Der zusätzliche Sicherheitsgewinn der komplexen Technik ist damit nicht mehr gegeben. Passfälscher werden voraussichtlich die elektronischen Teile gar nicht manipulieren wollen, ein Defekt dieser forcieren und so auf die klassischen Prüfmechanismen ausweichen können. Zentrale Datenbank wird verloren gehen Die elektronischen Daten der Pässe der neuen Generation sollen in einer zentralen nationalen Datenbank abgelegt werden (wurde seit dem Pass 06 angestrebt). Eine Zentralisierung führt immer zu einem Single Point of Failure. Dies bedeutet, dass ein Problem bei der zentralen Stelle unmittelbare Auswirkungen auf das gesamte System haben wird. Der Aufbau redundanter Mechanismen zur Überbrückung von Problemen erhöht die Komplexität und damit die Kosten für das System in überproportionaler Weise. Das grösste und naturbedingt nicht aufhaltbare Risiko ist der Verlust der Daten. Durch technische Probleme, eine Fehlbedienung des Personals, durch korrupte Mitarbeiter oder Dritte könnte es durchaus passieren, dass die zentral angelegten Daten aller Bürger in falsche Hände geraten. Die Vergangenheit hat immerwieder gezeigt, dass im Informationszeitalter zentralisierte Register früher oder später in dieser Weise kompromittiert werden: Das Italienisches Finanzministerium veröffentlichte Mitte 2005 versehentlich die Einkommenssteuererklärungen aller Bürger im Internet (Heise Online (http://www.heise.de/newsticker/Italienisches-Finanzministerium-veroeffentlichte-Einkommenssteuererklaerungen-aller-Buerger--/meldung/107281)). Im Jahr 2006 wurde der deutschen Telekom über 17 Millionen Kundenstammdaten des zentralen Systems entwendet (Heise Online (http://www.heise.de/newsticker/Alter-Raub-neuer-Skandal-17-Millionen-Telekom-Nummern-entwendet--/meldung/116913)). Im Jahr 2007 wurden in England zwei CD-ROMs verloren, die persönliche Daten von über 25 Millionen Bürgern gespeichert hatten (Heise Online (http://www.heise.de/newsticker/Grossbritannien-Verlorener-Datentraeger-koennte-Steuerzahler-viele-Millionen-Pfund-kosten--/meldung/115584)). Und 2009 fordern Angreifer in den USA 10 Millionen Dollar für eine entwendete Patientendatenbank (Heise Online (http://www.heise.de/newsticker/Cracker-fordern-10-Millionen-US-Dollar-fuer-Patientendatenbank--/meldung/137281)). Es ist nur eine Frage der Zeit, bis auch die zentrale Datenbank der Schweizer Pässe ungewollt Dritten zugänglich gemacht wird. Statistisch ist davon auszugehen, dass dies in den kommenden 10 Jahren geschehen wird. Je mehr Daten in dieser Datenbank gespeichert werden, desto grösser ist der mögliche Schaden. Technisch und personell sind keine Massnahmen denkbar, um die Risiken zu minimieren oder den potentiellen Schaden einzugrenzen. Gegenwärtig wird immerwieder betont, dass der Zugriff auf die zentrale Datenbank gesetzlich sehr strikt geregelt ist und nur Schweizer Behörden darauf zugriff haben, die unmittelbar mit der Ausstellung und Prüfung der Dokumente zu tun haben. Es bleibt zu Hoffen, dass hier nicht der gleiche Effekt entsteht wie in Deutschland bezüglich der umstrittenen "Kinderporno-Sperren", die nach vorgängigen Abwiegeln plötzlich für präventive Rasterfahndungen eingesetzt werden wollen (Heise Online (http://www.heise.de/newsticker/Kinderporno-Sperren-Regierung-erwaegt-Echtzeitueberwachung-der-Stoppschild-Zugriffe--/meldung/136769)). Fazit Die elektronische Pässe wurden ursprünglich mit vorteilhaften Ideen angegangen. Die Umsetzung dieser ist jedoch technisch und organisatorisch in vielerlei Hinsicht fragwürdig. Die bestehenden und drohenden Mängel können nicht ohne weiteres adressiert werden, wodurch konkrete und unmittelbare Risiken bestehen und bestehen bleiben werden. Die vermeintlichen Vorteile können grösstenteils nicht eingehalten oder gerechtfertigt werden. Die technologisch und soziologisch wichtige Diskussion der Zustände wurde leider versäumt und auch im Kampf um die Abstimmung nur mit hohlen Floskeln abgetan. Die breitflächige Einführung der biometrischen Pässe wird längerfristig zu informationstechnischen Problemen führen, deren Ausmass jenes der Fichenaffäre der 90er Jahre in der Schweiz bei weitem übertreffen wird. Aufwand/Ertrag sowie Risiken der neu forcierten Lösung können meines Erachtens nicht vertreten werden. Wahrscheinlich einer der Gründe, warum vielerorts die negativen Aspekte ausgeblendet werden (schlechter-journalismus.ch (http://www.schlechter-journalismus.ch/?Schlechter_Journalismus:24.III.2009_-_NZZ-Artikel_%26uuml%3Bber_Biometrische_P%26auml%3Bsse)). Aus diesen Gründen empfehle ich ein Nein zum biometrischen Pass am 17. Mai.