Diskussionsforum
Menü

Nicht zu den ersten gehören


25.07.2010 13:11 - Gestartet von alexander-kraus
einmal geändert am 25.07.2010 13:11
Da wir ja alle nicht um dieses neue "Digitale Ding" drumrum kommen, kann ich nur froh sein, dass ich meinen Ausweis dieses und nächstes Jahr nicht beantragen muss.

Sollen die Kinderkrankheiten doch andere ausbaden. - Oder sollte es etwa keine geben? - Wers glaubt....

Kartenlesegerät für 10 EUR? - Ah ja, und welche Software für welches Betirbesystem brauche ich da? - Geht das dann auch unter Linux, oder muss es zwingend Windows sein? - 32 oder 64 Bit? - Ich lach´ mir nen Ast, wenns das Tool dann nur für Windows 7 in der 32 Bit Variante gibt, ehrlich.. - Und das bei einer Verbreitung von Win 7 64 Bit von ca 40% von den verkauften Win 7 Einheiten... - Sowas nenn ich dann "fail".

Die Idee mit der Pin ist nicht die schlechteste, aber wenn irgendjemand, wie auch immer meine PIN ausgespäht hat - was dann? - Neuen Ausweis beantragen für schlappe 28,80 EUR dann jedesmal?

Ich bin ein Freund des Internets und ich bin für alles zu haben, was Vertrauen schafft, Bezahlvorgänge im Internet vereinfacht und eben auch eindeutig festlegt, mit wem ich es, bzw wer es mit mir zu tun hat.
Es muss neu eines sein: - SICHER.

Es fehlen einfach noch zu viele Infos, dass ich für mich sagen kann: - "Jawoll, das ist das, worauf wir schon lange gewartet haben".
Aber wer nicht glaubt, dass die "Phisching-Jäger" und Konsorten sich nicht auch schon Gedanken machen, wie man "echte Daten" abfangen, und für seine Zwecke nutzen kann, der ist meiner Meinung nach echt "blaueugig"...
Wer muss wem bei Mißbrauch der Daten, denn dann Nachweisen, dass es sich hierbei um Betrug handelt? - Aber ich weiß, sowas wird ja gar nicht mehr möglich sein.....
Menü
[1] DenSch antwortet auf alexander-kraus
25.07.2010 13:15
Benutzer alexander-kraus schrieb:

Ich bin ein Freund des Internets und ich bin für alles zu haben, was Vertrauen schafft, Bezahlvorgänge im Internet vereinfacht und eben auch eindeutig festlegt, mit wem ich es, bzw wer es mit mir zu tun hat.
Es muss neu eines sein: - SICHER.


Netter Beitrag, definitiv vieles RIchtig :)

Aber... Das einzige was (zumindest bisher) SICHER ist, ist das wir irgendwann ins Gras beißen werden. Mehr nicht.
Menü
[2] renehaeberlein antwortet auf alexander-kraus
25.07.2010 13:21
Ich beantrage extra noch schnell den alten Ausweis ,dann hat man schon mal 20 gespart für die nächsten 10 Jahre. Momentan kostet der Ausweis 80 Cent im Jahr und nur weil der Staat Geld verdienen will mit Mist ,den man gar nicht nutzen kann bzw. will soll man dann 2,80 im Jahr bezahlen. Nein Danke.
Menü
[2.1] wernerd antwortet auf renehaeberlein
25.07.2010 13:56
Benutzer renehaeberlein schrieb:
Ich beantrage extra noch schnell den alten Ausweis ,dann hat man schon mal 20 gespart für die nächsten 10 Jahre. Momentan kostet der Ausweis 80 Cent im Jahr und nur weil der Staat Geld verdienen will mit Mist ,den man gar nicht nutzen kann bzw. will soll man dann 2,80 im Jahr bezahlen. Nein Danke.

Die Gemeinden zahlen doch am Ende sogar drauf bei dem neuen Ausweis. Ein weiterer Kritikpunkt.
Menü
[2.1.1] thefloyd antwortet auf wernerd
25.07.2010 14:25
Was mich ärgert, ist die Tatsache, dass dieser RFID-Chip total unsicher ist.
Offiziell soll dieser Chip ja nur mit speziellen Lesegeräten aus einer Entfernung von wenigen Zentimetern ausgelesen werden können.
Doch in zahlreichen Foren, findet man Infos dazu - wie der Otto-Normal-User ebenfalls diese Chips auslesen kann. Außerdem gibt es Tests mit Lesegeräten, die aus einer Entfernung von 2-3 Metern problemlos RFID-Chips lesen können.

Eine unschöne Vorstellung wenn ich z.B. durch Köln laufe und irgendwo einer mit seinem Koffer steht und die Personendaten nur so sammelt. Technisch möglich und Werbeadressenfirmen freuen sich.
Menü
[2.1.1.1] Moneysac antwortet auf thefloyd
26.07.2010 10:12
Eine unschöne Vorstellung wenn ich z.B. durch Köln laufe und irgendwo einer mit seinem Koffer steht und die Personendaten nur so sammelt. Technisch möglich und Werbeadressenfirmen freuen sich.

Ein so sensibles Dokument würde ich gar nicht mitführen. Mein Reisepass liegt im Safe. Und an alle unwissenden: Es gibt zwar eine Ausweispflicht, aber keine Mitführpflicht. Mein Reisepass im Safe genügt daher völlig!
Menü
[2.1.1.1.1] hafenbkl antwortet auf Moneysac
26.07.2010 11:00
Benutzer Moneysac schrieb:
... aber keine Mitführpflicht...

Aber es GAB sie: In den FRÜHEREN Zollgrenzbezirken.
Menü
[2.1.1.1.1.1] Moneysac antwortet auf hafenbkl
26.07.2010 16:09
Benutzer hafenbkl schrieb:
Benutzer Moneysac schrieb:
... aber keine Mitführpflicht...

Aber es GAB sie: In den FRÜHEREN Zollgrenzbezirken.

Es GAB noch viel schlimmere Sachen...
Menü
[2.1.1.1.1.1.1] hafenbkl antwortet auf Moneysac
26.07.2010 16:31
Benutzer Moneysac schrieb:
Benutzer hafenbkl schrieb:
Benutzer Moneysac schrieb:
... aber keine Mitführpflicht...

Aber es GAB sie: In den FRÜHEREN Zollgrenzbezirken.

Es GAB noch viel schlimmere Sachen...

Was denn im Zusammenhang mit dem Personalausweis?

Außerdem fand ich das gar nicht so schlimm. Man gewöhnt sich ja von Geburt an daran.

Laut wikipedia soll es ja immer noch zwei geben:
https://secure.wikimedia.org/wikipedia/de/wiki/Zollgrenzbezirk
Menü
[2.2] garfield antwortet auf renehaeberlein
25.07.2010 22:03
Benutzer renehaeberlein schrieb:
Ich beantrage extra noch schnell den alten Ausweis ,dann hat man schon mal 20 gespart für die nächsten 10 Jahre. Momentan kostet der Ausweis 80 Cent im Jahr und nur weil der Staat Geld verdienen will mit Mist ,den man gar nicht nutzen kann bzw. will soll man dann 2,80 im Jahr bezahlen. Nein Danke.
Ja, verdammt. Da habe ich doch tatsächlich heute meinen Ausweis verloren ;-)
Nun komme ich doch nicht sobald in den "Genuss" des Neuen. Schaaade!
Menü
[2.2.1] basti007 antwortet auf garfield
26.07.2010 23:38

Ja, verdammt. Da habe ich doch tatsächlich heute meinen Ausweis verloren ;-)
Nun komme ich doch nicht sobald in den "Genuss" des Neuen. Schaaade!


Muss man eigentlich diese Ausrede vorlegen, wenn ich im Oktober noch einen "alten" beantragen will oder genügt es, wenn ich die Fakten und meinen bisherigen auf den Tisch lege und sage: Bitte entwerten, ich will nen neuen und zahle auch?

Basti
Menü
[2.2.1.1] garfield antwortet auf basti007
27.07.2010 11:10
Benutzer basti007 schrieb:

Muss man eigentlich diese Ausrede vorlegen, wenn ich im Oktober noch einen "alten" beantragen will oder genügt es, wenn ich die Fakten und meinen bisherigen auf den Tisch lege und sage: Bitte entwerten, ich will nen neuen und zahle auch?

Basti

AUSREDE??? Tststs. ;-)

Das habe ich jetzt nicht verstanden. Willst Du 'nen neuen Neuen oder 'nen neuen Alten. Und was soll die Formulierung "und zahle auch"? Meinst Du, Du willst 'nen neuen Alten und bietest denen das Geld für den Neuen?
Das kannst Du glaube ich komplett vergessen. Schliesslich gibt's Korruption nur in China oder Mexiko.
Nein, im Ernst. Das ist wohl die unwahrscheinlichste Variante.

Ich vermute mal, dass man dem Antragsteller auch im Oktober und November nicht die Entscheidung überlässt, welchen Ausweis er bekommt. Schliesslich will man ja den neuen "pushen". Es wird wohl einen Stichtag geben, ab dem nur neue beantragt werden kann.

Sicherheitshalber sollte man besser in die Situation kommen, ihn vorher beantragen zu MUESSEN ;-)
Menü
[3] ger1294 antwortet auf alexander-kraus
25.07.2010 15:42
Ich sehe es auch so, erst einmal abzuwarten.
Mein alter Ausweis läuft ohnehin im Oktober 2010 ab, d.h. ich werde mir für 8 Euro noch einen "alten" bestellen, mit 10 jahren Gültigkeit.

Das jetzige Format finde ich ohnehin besser, wegen der geringen Dicke. Ich habe schon genug 2,5 mm dicke Plastikkarten im Geldbeutel.

Hinzu kommt, dass z.B. beim Scheckkartenführerschein die Verarbeitungsqualität sehr mies ist. Mein noch nicht einmal 7 Jahre alter Führerschein schaut schon richtig schlecht aus, viel schlechter, als die 10 Jahre alten PA oder 33 Jahre alten grauen Führerscheine meiner Eltern.
Menü
[3.1] Telly antwortet auf ger1294
25.07.2010 16:24

einmal geändert am 25.07.2010 16:58
Das jetzige Format finde ich ohnehin besser, wegen der geringen Dicke. Ich habe schon genug 2,5 mm dicke Plastikkarten im Geldbeutel.

Das ist Geschmackssache. Und darüber lässt sich bekanntlich nicht streiten. Ich für meinen Teil, finde das Format des bisherigen Ausweises zu groß. In einen kleineren Geldbeutel passt er leider nicht rein.

Hinzu kommt, dass z.B. beim Scheckkartenführerschein die Verarbeitungsqualität sehr mies ist. Mein noch nicht einmal 7 Jahre alter Führerschein schaut schon richtig schlecht aus, viel schlechter, als die 10 Jahre alten PA oder 33 Jahre alten grauen Führerscheine meiner Eltern.

Das kann ich nicht bestätigen. Ich kenne sowohl gut erhaltene als auch verschlissene graue und rosa Führerscheine. Die Führerscheinkarten in meiner Bekanntschaft sehen alle noch gut aus. Mit "alle" meine ich natürlich nur die, die man mal in Gesellschaft so rumgezeigt hat.

Ich denke, es kommt auch drauf an, wie oft man sie benutzen und vorzeigen muss. Meine Bankkarte z. B. sieht nach 3 Jahren wirklich verschlissen aus. Diese brauche ich aber auch fast täglich beim Einkaufen. Und hier sendet meine Bank mir auch alle 3 Jahre eine neue zu.

Telly
Menü
[4] Telly antwortet auf alexander-kraus
25.07.2010 16:15
Sollen die Kinderkrankheiten doch andere ausbaden. - Oder sollte es etwa keine geben? - Wers glaubt....

Naja. Meiner hält noch bis 2017. Somit bin ich glücklicherweise nicht bei den ersten dabei und bis dahin sollte sich auch alles eingspielt haben.

Kartenlesegerät für 10 EUR? - Ah ja, und welche Software für welches Betirbesystem brauche ich da? - Geht das dann auch unter Linux, oder muss es zwingend Windows sein? - 32 oder 64 Bit? - Ich lach´ mir nen Ast, wenns das Tool dann nur für Windows 7 in der 32 Bit Variante gibt, ehrlich.. - Und das bei einer Verbreitung von Win 7 64 Bit von ca 40% von den verkauften Win 7 Einheiten... - Sowas nenn ich dann "fail".

"Dann" kannst Du es auch "fail" nennen. Aber ich warte erstmal ab, bevor ich es "fail" nenne. Das im Moment aber alles nur auf das PostIdent-Verfahren abzielt, finde ich jedoch auch nicht mehr zeitgemäß. Daher begrüße ich grundsätzlich mal den neuen Ausweis.

Die Idee mit der Pin ist nicht die schlechteste, aber wenn irgendjemand, wie auch immer meine PIN ausgespäht hat - was dann? - Neuen Ausweis beantragen für schlappe 28,80 EUR dann jedesmal?

Wenn ich den Artikel richtig gelesen habe, kann man die 6-stellige PIN ja selbst festlegen. Wann geschieht das denn? Bei Antragstellung? Wenn ja, tippt man das in ein Gerät ein oder schreibt man die Nummer etwa auf einen Antrag? Letzteres kann ich mir nicht vorstellen bzw. wäre in der Tat ein KO-Kriterium.

Ich hoffe, dass man die PIN also selbst an seinem Kartengerät dann auch ändern kann.

Telly
Menü
[5] VariusC antwortet auf alexander-kraus
25.07.2010 19:11

einmal geändert am 25.07.2010 19:15
Alles absolut richtige Gedanken.
Wenn ich noch an die Einführung des aktuellen Modells denkeda wurde uns die „Maschinenlesbarkeit“ angepriesen, wodurch man nicht immer „alle Angaben abgeschrieben werden müssen“ und „alles viel schneller“ ginge.
Komisch nur, dass bis zum heutigen Tag sämtliche Ämter und öffentlichen Einrichtungen meine Ausweisdaten „abschreiben“! Und selbst bei der Polizei gibt es noch keine "Maschinen" für meinen PA und es kommt irgendwann die Frage: „Und wie ist ihre Postleitzahl?“
Am ärgerlichsten ist aber die Tatsache, dass die Probleme mit den RFID-Chips (Ich meine die Lesbarkeit und Auswertung durch Dritte, welche mit geeigneten Gerätschaften in der Nähe sind) schon seit Einführung der neuen Pässe (2007?) bekannt sind und offensichtlich nichts daran verbessert wurde. Es zeigt sich wieder, auch der Datenschutzbeauftragte ist ein Lakai des Staates.

Gruß
Varius
Menü
[5.1] isar03 antwortet auf VariusC
26.07.2010 10:23
Hallo,

ich darf den neuen Ausweis gerade mit testen (Studienarbeit). Ohne ALLE Bedenken der Vorredner zerstreuen zu wollen - einiges (im Vgl. zum Pass) ist tatsächlich anders beim neuen Ausweis:

Funktionen:
Es gibt drei, vollständig voneinander getrennte Funktionen,
ePass: nur behördliche Verwendung (z.B. Grenzkontrolle / Polizei)
eID: Ausweisen an Automaten oder im Internet: z.B. Flughafen, Internet-Shop, Banking
eSign: digitale Signatur, Zusatzfunktion, zusätzliche Kosten

AusweisApp:
- gibt es (derzeit) für Windows 32/64 Bit ab XP, MAC OS X und Linux

PIN:
- man bekommt einen Brief mit einer 5-stelligen PIN (Rubbelfeld). Diese muss in der AusweisApp in eine eigene 6-stellige geändert werden. Sie kann dort beliebig oft geändert werden. Dazu gibts noch eine PUK wie beim Handy mit gleicher Funktion.
- Tipp1: nicht den eigenen Geburtstag als PIN nehmen...
- Tipp2: niemals ein günstiges Lesegerät OHNE EIGENE TASTATUR verwenden (die 10 Euro Klasse), mittels Keylogger-Angriff kann die PIN sonst leicht mitgelesen werden...

RFID Angreifbarkeit:
- Die Karte ist technisch nur ca. 10 cm weit lesbar.
- Wichtiger: Ein erstmals (auch im europäischen Vgl.) angewandtes Verfahren "Terminal Authentication (TA)" sorgt dafür, dass sich ein Auslesegerät (Terminal) selbst erst beim Personalausweis "ausweisen" muss, bevor dieser überhaupt mit dem Terminal "redet". Die zeitlich beschränkten Berechtigungen (Zertifikate) für Terminals (z.B. Internet-Shops) vergibt das Bundesverwaltungsamt nach ziemlich aufwendiger Prüfung. Bei allen bekannten erfolgreichen RFID-Angriffen auf Ausweise gab es dieses Verfahren noch nicht.

Kosten:
- was hier noch nicht so gut rüberkam - wer auch die Signaturfunktion (eSign) nutzen will muss sich bei einem Drittanbieter zuerst mal ein Zertifikat kaufen (derzeit ca. 20 Euro/Jahr). DANN reicht auch ein günstiges Lesegerät für 10 Euro nicht mehr aus, man braucht ZWINGEND ein Gerät mit Tastatur (um die 60 Euro).
Menü
[5.1.1] thefloyd antwortet auf isar03
26.07.2010 11:59
Benutzer isar03 schrieb:
Hallo,

ich darf den neuen Ausweis gerade mit testen (Studienarbeit). Ohne ALLE Bedenken der Vorredner zerstreuen zu wollen - einiges (im Vgl. zum Pass) ist tatsächlich anders beim neuen Ausweis:

Funktionen:
Es gibt drei, vollständig voneinander getrennte Funktionen, ePass: nur behördliche Verwendung (z.B. Grenzkontrolle / Polizei)
eID: Ausweisen an Automaten oder im Internet: z.B. Flughafen, Internet-Shop, Banking eSign: digitale Signatur, Zusatzfunktion, zusätzliche Kosten

AusweisApp:
- gibt es (derzeit) für Windows 32/64 Bit ab XP, MAC OS X und
Linux

PIN:
- man bekommt einen Brief mit einer 5-stelligen PIN (Rubbelfeld). Diese muss in der AusweisApp in eine eigene 6-stellige geändert werden. Sie kann dort beliebig oft geändert werden. Dazu gibts noch eine PUK wie beim Handy mit gleicher Funktion.
- Tipp1: nicht den eigenen Geburtstag als PIN nehmen...
- Tipp2: niemals ein günstiges Lesegerät OHNE EIGENE TASTATUR verwenden (die 10 Euro Klasse), mittels Keylogger-Angriff kann die PIN sonst leicht mitgelesen werden...

RFID Angreifbarkeit:
- Die Karte ist technisch nur ca. 10 cm weit lesbar.
Das ist leider nicht ganz korrekt. Es kommt auf die Sendestärke des Lesegerätes an. Die offiziell zugelassenen Geräte können nur auf 10cm lesen. Würde mich aber wundern, wenn dort kein Datendieb aufspringt.
- Wichtiger: Ein erstmals (auch im europäischen Vgl.) angewandtes Verfahren "Terminal Authentication (TA)" sorgt dafür, dass sich ein Auslesegerät (Terminal) selbst erst beim Personalausweis "ausweisen" muss, bevor dieser überhaupt mit dem Terminal "redet". Die zeitlich beschränkten Berechtigungen (Zertifikate) für Terminals (z.B. Internet-Shops) vergibt das Bundesverwaltungsamt nach ziemlich aufwendiger Prüfung. Bei allen bekannten erfolgreichen RFID-Angriffen auf Ausweise gab es dieses Verfahren noch nicht.
Ja und? Das heißt doch alles gar nichts. Trotzdem werden schon nach kurzer zeit Datendiebe unser Land lieben. Es wäre das erste System das man nicht knacken könnte. Und das glaubt doch nicht wirklich jemand, oder?
Schauen wir uns doch nur Microsoft und Windows an. Bei jeder neuen Version heißt es "unknackbar". Mal dauert es 2 Wochen, mal 3 Wochen. Doch bis jetzt ging es immer.

Kosten:
- was hier noch nicht so gut rüberkam - wer auch die Signaturfunktion (eSign) nutzen will muss sich bei einem Drittanbieter zuerst mal ein Zertifikat kaufen (derzeit ca. 20 Euro/Jahr). DANN reicht auch ein günstiges Lesegerät für 10 Euro nicht mehr aus, man braucht ZWINGEND ein Gerät mit Tastatur (um die 60 Euro).
Fakt ist: Der liebe Staat möchte seine Bürger als Feinde. Es gibt kein Argument warum eine Funkschnittstelle sein muß. Digital ist gut und okay. Aber man hätte ohne Probleme auf Funk verzichten können. Auslesen per Lesegerät mit fester Schnittstelle ( wie z.B. Krankenkarte, EC-Karte etc.) würde auch nicht länger am Flughafen dauern.
Menü
[5.1.1.1] oeni4 antwortet auf thefloyd
29.07.2010 13:05
Ich bin auf der CEBIT in Hannover gewesen und haben mit vielen Personen gesprochen auch aus dem Innenministerium, Fazit ist: es gibt viele Sicherheitsbedenken und ein RIFD ist auf 1-2 Meter lesbar mit den entsprechenden Geräten lt. deren Hersteller. Dies zur Sicherheit.
Menü
[5.1.2] Telly antwortet auf isar03
26.07.2010 14:04
Danke für die emotionslosen Fakten!

Telly
Menü
[5.1.2.1] garfield antwortet auf Telly
27.07.2010 11:17
Benutzer Telly schrieb:
Danke für die emotionslosen Fakten!

Telly

Also ich mag Emotionen ;-)

Sogar Fakten kann man mit Humor rüberbringen.
(Das war jetzt um Gottes Willen keine Kritik an isar03s toller Information, vielen Dank ihm dafür --> übrigens: "toll", schon wieder 'ne Emotion).
Menü
[5.1.2.1.1] isar03 antwortet auf garfield
27.07.2010 14:49
Benutzer garfield schrieb:
Benutzer Telly schrieb:
Danke für die emotionslosen Fakten!

Telly

Also ich mag Emotionen ;-)

Sogar Fakten kann man mit Humor rüberbringen.

@Telly - sorry, wenn das alles etwas trocken klang, liegt aber sicher auch daran, dass ich seit Wochen nichts anderes mach als trockene Fakten über das Thema zu sammeln...

Also, wer Angst haben sollte, er müsse sich irgendwo rechtfertigen, wenn er vor November einen alten PA beantragen will braucht sich wohl keine Sorgen zu machen, lt. personalausweisportal.de kann man überhaupt erst ab 1.11. den neuen PA beantragen (sorry, schon wieder ein Fakt -:) )

"Wo und wann bekomme ich den neuen Personalausweis?
Den neuen Personalausweis können Sie ab dem 1. November 2010 in der Personalausweisbehörde Ihres Bürgeramts beantragen...."
Menü
[5.1.2.1.1.1] Telly antwortet auf isar03
27.07.2010 15:34
Benutzer isar03 schrieb:
Benutzer garfield schrieb:
Benutzer Telly schrieb:
Danke für die emotionslosen Fakten!

Telly

Also ich mag Emotionen ;-)

Ich auch! Im Zweifel sind mir Fakten und Neutralität aber lieber. Eine Aussage ist für mich auch glaubwürdiger, wenn ich nicht das Gefühl habe, jemand möchte mich in eine Richtung drängen.

Sogar Fakten kann man mit Humor rüberbringen.

@Telly - sorry, wenn das alles etwas trocken klang, liegt aber sicher auch daran, dass ich seit Wochen nichts anderes mach als trockene Fakten über das Thema zu sammeln...

Dass Du Dich damit befasst hast, merkt man. Und Dein "sorry" ist nicht nötig. Ich meinte mein Posting durchaus positiv!

Also, wer Angst haben sollte, er müsse sich irgendwo rechtfertigen, wenn er vor November einen alten PA beantragen will braucht sich wohl keine Sorgen zu machen, lt. personalausweisportal.de kann man überhaupt erst ab 1.11. den neuen PA beantragen (sorry, schon wieder ein Fakt -:) )

Ein sorry mit Smiley passt schon besser ;-)

Beiträge wie diese hier von Dir bereichern eben ein Forum.

Telly
Menü
[5.1.3] helmut-wk antwortet auf isar03
29.07.2010 10:11
Benutzer isar03 schrieb:
>
AusweisApp:
- gibt es (derzeit) für Windows 32/64 Bit ab XP, MAC OS X und
Linux
>
Wenn ich mal davon ausgehe, dass auch andere Unices (*BSD etc.) mit der Linux-App klarkommen, dann sind ja alle wichtigen Betriebssysteme abgedeckt, es fehlen nur ein paar Exoten und Systeme, die nur auf Handys eingesetzt werden.

PIN:
- Tipp1: nicht den eigenen Geburtstag als PIN nehmen...
>
Auch nicht rückwärts oder so ...

RFID Angreifbarkeit:
- Die Karte ist technisch nur ca. 10 cm weit lesbar.
>
Das hängt natürlich davon ab, wie gut das Lesegerät ist. Höhere Sendestärke und verbesserter Empfang (Richtantenne?) kann da schon Einiges bewirken. "Nicht lesbar" ist der Chip erst, wenn sein Signal im Hintergrundrauschen untergeht. Solltest du auch so in deine Studienarbeit schreiben (im Kapitel über illegale Leseversuche oder so ...).

- Wichtiger: Ein erstmals (auch im europäischen Vgl.) angewandtes Verfahren "Terminal Authentication (TA)" sorgt dafür, dass sich ein Auslesegerät (Terminal) selbst erst beim Personalausweis "ausweisen" muss, bevor dieser überhaupt mit dem Terminal "redet".
>
Ich versuche mir das mal vorzustellen: das Terminal muss ein Zertifikat vorweisen, das vom Bundesverwaltungsamt signiert ist. Da muss also nur der richtige Mann korrupt sein, und offiziell nicht existierende Zertifikate erstellen (bzw. den Schlüssel herausgeben, mit dem sie signiert werden).

Und welches Verfahren wird bei der TA benutzt (Protokoll, Verschlüsselung)?
Menü
[5.1.3.1] isar03 antwortet auf helmut-wk
29.07.2010 14:50
Benutzer helmut-wk schrieb:
Benutzer isar03 schrieb:
>

- Tipp1: nicht den eigenen Geburtstag als PIN nehmen...
> Auch nicht rückwärts oder so ...

Und vor allem: nur im Kopf haben, nicht auf dem Zettel neben dem Ausweis in der Tasche...


RFID Angreifbarkeit:
- Die Karte ist technisch nur ca. 10 cm weit lesbar.
> Das hängt natürlich davon ab, wie gut das Lesegerät ist. Höhere Sendestärke und verbesserter Empfang (Richtantenne?) kann da schon Einiges bewirken. "Nicht lesbar" ist der Chip erst, wenn sein Signal im Hintergrundrauschen untergeht. Solltest du auch so in deine Studienarbeit schreiben (im Kapitel über illegale Leseversuche oder so ...).

Ja, das stimmt. Man hat den (verschlüsselten) Datenverkehr von beim nPA (wie auch ePass) eingesetzen passiven Proximity-Chips unter LABORBEDINGUNGEN (keine störenden Einflüsse) auf max. 2-4m Entfernung MITHÖREN können, allerdings nicht fehlerfrei.

Aber: Selbst wenn das fehlerfrei möglich wäre, würde es einen technischen und finanziellen Aufwand erfordern (große Richtantennen und starke elektromagnetische Felder), den in der Praxis wohl kaum ein Datendieb betreiben würde. Außerdem, wenn, dann hat man nur den stark verschlüsselten Datenverkehr.

Vor jeder einzelnen Kommunikation werden mehrere, dafür neu erzeugte und signierte Schlüssel (mit 256bit üppig dimensioniert) zwischen dem beteiligten Terminal und dem Chip im Ausweis ausgetauscht. Die hier angewandten Protokolle und Kryptografieverfahren sind sehr aufwendig. Wer tiefer einsteigen will, dem sei das Studium der frei abrufbaren Technischen Richtlinien des BSI zum nPA empfohlen - relativ gut verständlich ist als Bsp. die TR-03116-2.


- Wichtiger: Ein erstmals (auch im europäischen Vgl.) angewandtes Verfahren "Terminal Authentication (TA)" sorgt dafür, dass sich ein Auslesegerät (Terminal) selbst erst beim Personalausweis "ausweisen" muss, bevor dieser überhaupt mit dem Terminal "redet".
> Ich versuche mir das mal vorzustellen: das Terminal muss ein Zertifikat vorweisen, das vom Bundesverwaltungsamt signiert ist. Da muss also nur der richtige Mann korrupt sein, und offiziell nicht existierende Zertifikate erstellen (bzw. den Schlüssel herausgeben, mit dem sie signiert werden).

Korruption: Wo Menschen beteiligt sind immer denkbar.
Aber: Hier viel schwieriger und risikoreich, da mehrere Instanzen involviert sind, alle Genehmigungen zur Möglichkeit der Gegenkontrolle veröffentlicht werden müssen, das Genehmigungsverfahren nicht trivial ist usw. usf.

Zertifikatsherausgabe: Kein Beamter kennt diese Signaturen (sie verlassen die hermetisch abgeriegelten sowie versiegelten Hardware-Kryptoboxen der Zertifizierungsstelle nie)
Außerdem werden sie in sehr kurzen Zeitabständen (einige Stunden) automatisch erneuert.

Und noch etwas. ePass und eID Funktion verwenden vollständig voneinander getrennte Zertifikatsketten (PKIs). Biometrische Merkmale sind nur mit der ePass Funktion (Grenzkontrolle etc.) zugreifbar.

Und welches Verfahren wird bei der TA benutzt (Protokoll, Verschlüsselung)?

Eigentlich sind es drei, die untereinander kryptografisch "verzahnt" sind:

PACE (PAATSCHE) schützt vor dem "Auslesen im Vorbeigehen", es benötigt die 6-stellige eID PIN, sonst "schweigt" der Chip. Beim zweiten Fehlversuch reicht diese auch nicht mehr (Wörterbuchattacke), man braucht die vorne auf dem Ausweis aufgedruckte Zugangsnummer für einen dritten Versuch. Stimmt die PIN auch dann nicht, wird die eID Funktion gesperrt (Die mitgelieferte PUK kann sie 10x wieder entsperren).
Ist PACE erfolgreich, dann baut es einen sicheren Kommunikationskanal zwischen Terminal (oder AusweisApp) und Chip auf. Die Integrität des Kanals ist von beiden Komponenten (Terminal, Chip) kryptografisch verifizierbar.
Verfahren: ECDH, ECDSA (assym., Diffie-Hellmann mit elliptischer Kurvenkryptografie)

Terminal Authentication (TA) dient der Prüfung OB, und WAS das Terminal (der Internetdienstleister) aus dem Ausweis auslesen darf. Jede einzelne der erlaubten Informationen ist danach per Hand abwählbar. Dazu dienen die Berechtigungszertifikate des Bundesverwaltungsamts.
Die gewonnen Leserechte werden kryptografisch an die folgende Chip Authentication gebunden, so dass die Nutzdaten durch einen sicheren Tunnel zwischen Chip und Terminal (oder eID-Server des Diensteanbieters) "wandern".
Verfahren: Challenge-Reponse mit Diffie-Hellmann

Chip Authentication (CA): Hier weist sich der Chip als nicht gefälscht und integer gegenüber dem Terminal aus (kompliziert) und baut bei Erfolg auch seinerseits den sicheren Kanal für die Daten auf.
Verfahren: ECDH, ECDSA (assym., Diffie-Hellmann mit elliptischer Kurvenkryptografie)
Menü
[5.1.3.1.1] helmut-wk antwortet auf isar03
30.07.2010 23:08
Benutzer isar03 schrieb:

Ja, das stimmt. Man hat den (verschlüsselten) Datenverkehr von beim nPA (wie auch ePass) eingesetzen passiven Proximity-Chips unter LABORBEDINGUNGEN (keine störenden Einflüsse) auf max. 2-4m Entfernung MITHÖREN können, allerdings nicht fehlerfrei.

Aber: Selbst wenn das fehlerfrei möglich wäre, würde es einen technischen und finanziellen Aufwand erfordern (große Richtantennen und starke elektromagnetische Felder), den in der Praxis wohl kaum ein Datendieb betreiben würde. Außerdem, wenn, dann hat man nur den stark verschlüsselten Datenverkehr.

Die Verschlüsselung ist natürlich ein Problem für sich... 2-4m im Labor ergibt in der Praxis schon mehr als 7cm, 20-30cm sollten kein Problem sein, ob auch 1m wage ich lieber nicht zu entscheiden.
Vor jeder einzelnen Kommunikation werden mehrere, dafür neu erzeugte und signierte Schlüssel (mit 256bit üppig dimensioniert) zwischen dem beteiligten Terminal und dem Chip im Ausweis ausgetauscht
>
Also ich weiß, das bei elliptischen Kurven die Schlüssel kürzer sein können als bei RSA (wo 8192 bit Standard sind, aber auch so0 erscheinen mir 256 Bit eher kurz. Die Daten müssen ja auch davor geschützt werden, dass sie jemand abgreift, speichert und dann monatelang versucht, den Schlüssel zu knacken - mir der Hardware, wie sie gegen ende der Gültigkeit des Ausweises (in 10 Jahren!) für Kriminelle erschwinglich ist (sagen wir mal: für 20.000 Euro).

Benutzer helmut-wk schrieb:
Ich versuche mir das mal vorzustellen: das Terminal muss ein Zertifikat vorweisen, das vom Bundesverwaltungsamt signiert ist. Da muss also nur der richtige Mann korrupt sein, und offiziell nicht existierende Zertifikate erstellen (bzw. den Schlüssel herausgeben, mit dem sie signiert werden).

Korruption: Wo Menschen beteiligt sind immer denkbar. Aber: Hier viel schwieriger und risikoreich, da mehrere Instanzen involviert sind, alle Genehmigungen zur Möglichkeit der Gegenkontrolle veröffentlicht werden müssen, das Genehmigungsverfahren nicht trivial ist usw. usf.
>
Versteh nicht ganz: um den Chip ein gültiges Zertifikat vorzugaukeln, muss kein veröffentlichtes oder genehmigtes Zertifikat verwendet werden. Wir reden ja von illegalen Aktivitäten.

Ein Zertifikat ist ja mit einem öffentlichen Schlüssel lesbar, es fehlt nur der geheime Schlüssel, mit dem es erstellt wurde. Wer den kennt, kann ein Zertifikat fälschen.

Zertifikatsherausgabe: Kein Beamter kennt diese Signaturen (sie verlassen die hermetisch abgeriegelten sowie versiegelten Hardware-Kryptoboxen der Zertifizierungsstelle nie)
>
Da gibt es keine Sysadmins, um bei Problemen ins System einzugreifen?

Außerdem werden sie in sehr kurzen Zeitabständen (einige Stunden) automatisch erneuert.

Aber doch nicht die root-Zertifikate, an denen der Chip erkennt, dass ihm kein falsches Zertifikat untergejubelt wird. Oder holt der Chip alle paar Stunden selbstständig neue Zertifikate ab? ;-)

Also der Chip überprüft ein Terminal, das ein gültiges Zertifikat vorlegt. Das ist nur wenige Stunden alt, denn es ist noch nicht abgelaufen. Also kennt der Chip das Zertifikat nicht und überprüft es - natürlich an Hand eines Zertifikats, dass er wieder an einem Zertifikat überprüft, ... bis ein Zertifikat vorgelegt wird, das der Chip kennt. Weil es ihm schon mal präsentiert wurde und er es damals anerkannt und gespeichert hat (was nur sinnvoll ist, wenn es länger gültig ist, damit nach dem Auslandsaufenthalt noch ein gültiges Zertifikat auf dem Chip ist). So entsteht eine Kette von Zertifikaten, an deren logische Anfang natürlich ein Zertifikat steht, mit dem der Chip von der Behörde ausgeliefert wurde.

Also ein Zertifikats-Schlüssel relativ am Anfang der Kette, und du kannst Zertifikate herstellen, die angeblich aus den Krypto-Servern stammen, und dem Chip die zusammen mit einer gefälschten Zertifikatskette bis hin zum echten Zertifikat, dessen Schlüssel geklaut wurde.

Und welches Verfahren wird bei der TA benutzt (Protokoll, Verschlüsselung)?

Eigentlich sind es drei, die untereinander kryptografisch "verzahnt" sind:

PACE (PAATSCHE) ...
... Beim zweiten Fehlversuch reicht diese auch nicht mehr (Wörterbuchattacke), man braucht die vorne auf dem Ausweis aufgedruckte Zugangsnummer für einen dritten Versuch. Stimmt die PIN auch dann nicht, wird die eID Funktion gesperrt (Die mitgelieferte PUK kann sie 10x wieder entsperren).
>
Werden die Fehlversuche pro Terminal gezählt oder allgemein? In ersten Fall wär die Frage, ob es Lesegeräte gibt, die übers Netz infiziert werden können, um als Botnetz zusammenzuarbeiten und eine verteilte Wörterbuchattacke zu starten, im zweiten Fall wär die Frage: was tu ich, wenn plötzlich was gesperrt ist?

Terminal Authentication (TA) dient der Prüfung OB, und WAS das Terminal (der Internetdienstleister) aus dem Ausweis auslesen darf. Jede einzelne der erlaubten Informationen ist danach per Hand abwählbar.
>
Erst wird festgestellt, was der auslesen darf, dann kann ich das abwählen? Was, wen ein Terminal vorgibt, dass eine Funktion abgewählt wurde, aber im Hintergrund wird das (mit der vom Benutzer eingegebene PIN für andere Funktionen) doch ausgelesen?

Verfahren: ECDH, ECDSA (assym., Diffie-Hellmann mit elliptischer Kurvenkryptografie)
>...
Verfahren: Challenge-Reponse mit Diffie-Hellmann ...
Verfahren: ECDH, ECDSA (assym., Diffie-Hellmann mit
elliptischer Kurvenkryptografie)
>
Das klingt gut. Öffentlich bekannte, von Fachleuten für ziemlich sicher gehaltene Verfahren (wobei ich nicht genug weiß, um das "ziemlich" zu präzisieren).
Menü
[5.1.3.1.1.1] isar03 antwortet auf helmut-wk
02.08.2010 11:26
Benutzer helmut-wk schrieb:

Also ich weiß, das bei elliptischen Kurven die Schlüssel kürzer sein können als bei RSA (wo 8192 bit Standard sind, aber auch so erscheinen mir 256 Bit eher kurz. Die Daten müssen ja auch davor geschützt werden, dass sie jemand abgreift, speichert und dann monatelang versucht, den Schlüssel zu knacken - mir der Hardware, wie sie gegen Ende der Gültigkeit des Ausweises (in 10 Jahren!) für Kriminelle erschwinglich ist (sagen wir mal: für 20.000 Euro).

Natürlich kann ein solcher Vergleich nur für den gleichen Algorithmus sinnvoll sein. Nach dem was ich gelesen hab, sind 256 Bit für die hier zum Einsatz kommenden Algorithmen schon einiger "Puffer". Ob dieser in 10 Jahren noch genügt - andere Frage, die TR sieht die Länge daher auch erst einmal nur bei Ausweisproduktion bis 2016 als ausreichend an.

Was das Schlüssel knacken angeht - sicher, irgendwann mit (sehr) viel Zeit und viel Rechenpower zum Tag x möglich - allerdings auch dann nicht absehbar in 24h, denn genau so lang gilt ein Berechtigungszertifikat nur. Bis jetzt ist meines Wissens keine Entschlüsselung dieser Verfahren gelungen oder wahrscheinlich.

Benutzer helmut-wk schrieb: Versteh nicht ganz: um den Chip ein gültiges Zertifikat vorzugaukeln, muss kein veröffentlichtes oder genehmigtes Zertifikat verwendet werden. Wir reden ja von illegalen Aktivitäten.

Mit dem Veröffentlichen meinte ich auch nicht das Zertifikat sondern, den Inhalt der Genehmigung, also das Dienstanbieter xy die Daten abc auslesen darf.

Zertifikatsherausgabe: Kein Beamter kennt diese Signaturen >> (sie verlassen die hermetisch abgeriegelten sowie versiegelten Hardware-Kryptoboxen der Zertifizierungsstelle nie)
> Da gibt es keine Sysadmins, um bei Problemen ins System einzugreifen?
>
Doch sicher, aber auch diese öffnen keine Kryptobox - im Zweifel würde sie eher komplett ausgetauscht. Ausserdem - noch einmal, das BSI (die ROOT CA) ist nicht irgendeine Behörde, die haben sehr hohe Sicherheitsanforderungen - auch in Bezug auf Mitarbeiter.

Außerdem werden sie in sehr kurzen Zeitabständen (einige Stunden) automatisch erneuert.

Aber doch nicht die root-Zertifikate, an denen der Chip erkennt, dass ihm kein falsches Zertifikat untergejubelt wird. Oder holt der Chip alle paar Stunden selbstständig neue Zertifikate ab? ;-)

Tatsächlich - so ähnlich, anhand von sog. Link-Zertifikaten der Terminals wird bei jeder Kommunikation die "logische Uhr" des Chips gestellt (er hat keinen Timer, da er passiv arbeitet).
Durch die Ausstelldaten dieser Link-Zertifikate (nicht Berechtigungszertifikate) holt der Chip zwar keine Zertifikate ab, er berechnet aber den aktuellen Public Key der Root-CA selbst aus den link-Zertifikaten (TR-03110, Abschnitt 2.2.5) - vereinfacht gesagt. Ist der Chip ganz neu, nutzt er das in einem physikalisch unauslesbaren Bereich geschriebene Root Zertifikat.

...Also der Chip überprüft ein Terminal, das ein gültiges Zertifikat vorlegt. Das ist nur wenige Stunden alt, denn es ist noch nicht abgelaufen...

Die Gültigkeit des Terminal-Zertifikats kann NUN anhand des intern berechneten Public Keys der Root-CA verifiziert werden. Dabei wird natürlich die GESAMTE PKI-Kette von unten (24h Gültigkeit) nach oben (längere Gültigkeiten) geprüft.

Wichtig ist, dass alle Authentisierungsverfahren in definierter Reihenfolge angewandt werden, sonst klappt dieser Mechanismus nicht.

>Werden die Fehlversuche pro Terminal gezählt oder allgemein?

Es gibt EINEN Fehlbedienungszähler - also allgemein.

>...im zweiten
Fall wär die Frage: was tu ich, wenn plötzlich was gesperrt ist?

Die PUK eingeben oder zur Einwohnerbehörde gehen.

Erst wird festgestellt, was der auslesen darf, dann kann ich das abwählen? Was, wenn ein Terminal vorgibt, dass eine > Funktion abgewählt wurde, aber im Hintergrund wird das (mit d er vom Benutzer eingegebene PIN für andere Funktionen) doch ausgelesen?

Die Antwort liegt teilweise schon in der Frage: Die PIN ist (nur) für PACE, geht also nicht. Und: Die Ausweisapp gibt am Ende NUR das weiter, was
a.) durch das Berechtigungszertifikat erlaubt ist und
b.) danach NICHT per Hand abgewählt wurde.
Menü
[5.1.3.1.1.1.1] helmut-wk antwortet auf isar03
05.08.2010 12:44
Hallo isar-3,

danke für deine geduldigen Antworten. Einiges ist klar geworden, aber ich habe noch Fragen.

Was das Schlüssel knacken angeht - sicher, irgendwann mit (sehr) viel Zeit und viel Rechenpower zum Tag x möglich - allerdings auch dann nicht absehbar in 24h, denn genau so lang gilt ein Berechtigungszertifikat nur.
>
Ich dachte ja nicht an das, sondern an Zertifikate, die dessen Gültigkeit bestätigen ...

Doch sicher, aber auch diese öffnen keine Kryptobox - im Zweifel würde sie eher komplett ausgetauscht. Ausserdem - noch einmal, das BSI (die ROOT CA) ist nicht irgendeine Behörde, die haben sehr hohe Sicherheitsanforderungen - auch in Bezug auf Mitarbeiter.
>
Ok, gehen wir davon aus, dass die Boxen sicher sind.

Aber doch nicht die root-Zertifikate, an denen der Chip erkennt, dass ihm kein falsches Zertifikat untergejubelt wird. Oder holt der Chip alle paar Stunden selbstständig neue Zertifikate ab? ;-)

Tatsächlich - so ähnlich, ...
>
Durch die Ausstelldaten dieser Link-Zertifikate (nicht Berechtigungszertifikate) holt der Chip zwar keine Zertifikate ab, er berechnet aber den aktuellen Public Key der Root-CA selbst aus den link-Zertifikaten (TR-03110, Abschnitt 2.2.5) - vereinfacht gesagt. Ist der Chip ganz neu, nutzt er das in einem physikalisch unauslesbaren Bereich geschriebene Root Zertifikat.
>
Also wenn ich da was knacken wollte, würde ich versuchen, ein Link-Zertifikat zu fälschen und dem Chip unterzujubeln. Womit sich die Frage ergibt: wie werden die verschlüsselt? Und was passiert, wenn dem Chip ein zwei Jahre altes Link-Zertifikat vorgelegt wird, um ein altes (oder gefälschtes) Terminal-Zertifikat einsetzen zu können?

Die Gültigkeit des Terminal-Zertifikats kann NUN anhand des intern berechneten Public Keys der Root-CA verifiziert werden.
>
Ist bekannt, wie der errechnet wird, oder ist das jetzt Safety by obscurity?

>Werden die Fehlversuche pro Terminal gezählt oder >allgemein?

Es gibt EINEN Fehlbedienungszähler - also allgemein.
>
Womit zumindest eine Art DOS-Atacke möglich ist: eine "brute-force Attacke" auf die PIN, die natürlich scheitert, weil jetzt die HUK verlangt wird. bei einem anonymen Terminal, das nicht als solches erkennbar ist, könnte so den Leuten reihenweise Ärger verursacht werden ... schuld ist der Mann, der den Ausweis "nur sehen" wollte und ihn kurz aufs Pult gelegt hat oder so ähnlich, bemerkt wird das erst beim nächsten Einsatz des Ausweises, im günstigsten Fall Stunden später ...

Oder noch besser: wenn der Mensch vermutlich nur einmal am Terminal ist: genau ein Versuch weniger, als zu Sperre nötig ist, dann gibts genau noch einen freien Fehlversuch.

Die Antwort liegt teilweise schon in der Frage: Die PIN ist (nur) für PACE, geht also nicht. Und: Die Ausweisapp gibt am Ende NUR das weiter, was a.) durch das Berechtigungszertifikat erlaubt ist und b.) danach NICHT per Hand abgewählt wurde.
>
Was ich meinte war ja: eine böswillige App kann den Fall (b) ignorieren und sich Daten greifen, die der Benutzer diesmal eigentlich rausrücken will. Also der Benutzer wählt ab, die App gaukelt ihm vor, dass das auch so gilt, liest das aber trotzdem aus.
Menü
[6] Moneysac antwortet auf alexander-kraus
26.07.2010 10:09
Benutzer alexander-kraus schrieb:
Da wir ja alle nicht um dieses neue "Digitale Ding" drumrum kommen, kann ich nur froh sein, dass ich meinen Ausweis dieses und nächstes Jahr nicht beantragen muss.

Also ich werde danken verzichten. Ich habe seit 7 Jahren keinen Personalusweis, denn der Reisepass ist weltweit gültig und reicht völlig aus. Entgegen der irrigen Annahme, ein Personalausweis ist Pflicht, ist er nämlich gar nicht nötig, sofern man einen Reisepass hat. Warum doppelt bezahlen, denn den Reisepass brauche ich durch Auslandsreisen ohnehin. Wenn mal ein Adressnachweis nötig ist zeige ich einfach die Anmeldebestätigung von meinem Wohnsitz.