Totale Überwachung. Ausweise mit biometrischen Merkmalen

Transkript

1 Glazkov Michael Mt. - Nr.: Informatik;Diplom 4. Fachsemester milok@minet.uni-jena.de Totale Überwachung Prof. Dr. Eberhard Zehendner Institut für Informatik Fakultät für Mathematik und Informatik FSU Jena Sommersemester 2008 Ausweise mit biometrischen Merkmalen

2 Inhalt: 1. Hintergründe und gesetzlicher Rahmen 3 2. Technische Realisierung Digitale Signaturen 2.2. Zugriffsschutz 3. Vorteile der biometrischen Technologie in Ausweisen Einreisen in die Vereinigten Staaten von Amerika 3.2. epass Wirtschaftsfaktor 4. Nachteile der biometrischen Technologie in Ausweisen Technologie 4.2. Datenschutz 4.3. Kostenfaktor 5. Fazit Quellenverzeichnis...9 2

3 1. Hintergründe und gesetzlicher Rahmen Nach den in den USA am 11 September 2001 verübten Anschlägen wurde in der Politik die Frage gestellt, ob es erforderlich ist, für die bessere Identifizierung elektronisch gespeicherte Fingerabdrücke in die Reisepässe aufzunehmen. Die Folge dieser politischen Diskussion war eine Änderung des deutschen Passgesetzes, welche ab dem 1 Januar 2002 in Kraft getreten war. Die eingeführten Absätze 3 und 4 in 4 Passgesetz ermöglichten nun Fingerabdrücke in den Reisepass aufzunehmen. 4 Absatz 3 und 4 Passgesetz lauteten: (3) Der Pass darf neben dem Lichtbild und der Unterschrift weitere biometrische Merkmale von Fingern oder Händen oder Gesicht des Passinhabers enthalten. Das Lichtbild, die Unterschrift und die weiteren biometrischen Merkmale dürfen auch in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden. Auch die in Absatz 1 Satz 2 aufgeführten Angaben über die Person dürfen in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden. (4) Die Arten der biometrischen Merkmale, ihre Einzelheiten und die Einbringung von Merkmalen und Angaben in verschlüsselter Form nach Absatz 3 sowie die Art ihrer Speicherung, ihrer sonstigen Verarbeitung und ihrer Nutzung werden durch Bundesgesetz geregelt. Eine bundesweite Datei wird nicht eingerichtet." Die Vereinigten Staaten von Amerika verschärfen ab dem 30 September 2004 ihre Einreisebestimmungen. Es werden nun von allen Einreisenden die Fingerabdrücke der beiden Zeigerfinger abgenommen. Als eine weitere Maßnahme dürfen ab dem 26 Oktober 2004 nur diejenigen Personen einreisen, die einen maschinenlesbaren Reisepass besitzen. Das Ziel dieser verschärften Bestimmungen ist der Aufbau eines Kontrollsystems an Grenzübergängen, wo die biometrischen Daten überprüft und gespeichert werden. Dabei ist die Speicherung in eine Datenbank vorgesehen, dadurch soll festgestellt werden ob mehrere Reisepässe mit unterschiedlichen Identitäten auf ein und dieselbe Person ausgestellt sind. Ab dem 29 November 2007 wurde am Flughafen Dulles International Airport in Washington, D.C ein System eingeführt, welches alle zehn Fingerabdrücke erfasst. Bis zum Ende des Jahres 2008 sollen alle Flughäfen mit den neuen 10-Finger Systemen ausgestatten werden. Die Personen, welche ein Visum benötigen müssen demzufolge auch bei der Beantragung zehn Fingerabdrücke ablichten lassen. Die neue Politik von den Vereinigten Staaten bewirkte eine Formanforderung an Reisepässe in Europa. So wurde am 24/25 Oktober 2004 in einer Sitzung des Rates der Europäschen Union von den Innenministern der Mitgliedsstaaten die Einführung der Fingerabdrücke in die Reisepässe der Mitgliedsstaaten beschlossen. Dieser Beschluss wurde nicht als endgültig betrachtet, weil Niederlande, Finnland und Österreich gegen die Aufnahme der Fingerabdrücke in die Reisepässe waren. So folgte am 13 Dezember 2004 die Verordnung EG Nr. 2252/2004. Artikel 1 lautet: (1) Die von den Mitgliedstaaten ausgestellten Pässe und Reisedokumente müssen die im Anhang aufgeführten Mindestsicherheitsnormen erfüllen. 3

4 (2) Die Pässe und Reisedokumente sind mit einem Speichermedium versehen, das ein Gesichtsbild enthält. Die Mitgliedstaaten fügen auch Fingerabdrücke in interoperablen Formaten hinzu. Die Daten sind zu sichern, und das Speichermedium muss eine ausreichende Kapazität aufweisen und geeignet sein, die Integrität, die Authentizität und die Vertraulichkeit der Daten sicherzustellen. (3) Diese Verordnung findet auf von den Mitgliedstaaten ausgestellte Pässe und Reisedokumente Anwendung. Sie findet keine Anwendung auf Personalausweise, die Mitgliedstaaten eigenen Staatsangehörigen ausstellen, oder auf vorläufige Pässe und Reisedokumente mit einer Gültigkeitsdauer von zwölf Monaten oder weniger. Mit dieser Verordnung wurde endgültig eine rechtliche Grundlage für die Aufnahme biometrischer Merkmale in die Reisepässe in den europäischen Mitgliedsstaaten geschaffen. Und anschließend wurden alle Änderungen in dem Terrorismusbekämpfungsergänzungsgesetz vom 5 Januar 2007 zusammengefasst. 2. Technische Realisierung In die neuen elektronischen Reisepässe (epass) ist eine Radio Frequenz IDentification Chip (RFID - Chip) eingebaut. Der RFID Chip stellt einen zertifizierten Sicherheitschip dar, welcher mit kryptographischen Koprozessor ausgestattet ist. Neben den zuvor integrierten Informationen wie der Name, das Geburtsdatum, das Geschlecht und das Gesichtsbild können nun auch die biometrischen Daten gespeichert werden. Die oben genannten Daten sind in maschinenlesbaren Zone Machine Readable Zone (MRZ) enthalten. Ein RFID System besteht aus zwei Komponenten, einem Transponder und einem Lesegerät. Der Transponder ist der Datenträger, der in unserem Fall in den Reisepass eingebaut ist. Er kann per Funk ausgelesen und beschrieben werden. Der Transponder speichert eine Identifikationsnummer mit den restlichen Daten. Das Lesegerät besteht je nach Bauart aus einer Lese- bzw. Schreib-/Lese-Einheit und einer Antenne. Das Lesegerät für die Reisepässe hat nur den lesenden Zugriff, da das Beschreiben nur bei der Ausstellung des Dokuments benötigt wird. Das Lesegerät ist weiterhin mit einer Schnittstelle ausgestattet, um die empfangenen Daten zur Weiterverarbeitung an beispielsweise einen Computer weiterzuleiten Digitale Signaturen Nach der Produktion des Reisepasses sind die darauf gespeicherten Daten des Inhabers soweit geschützt, dass das unerlaubte Auslesen und Verändern der Daten nicht möglich ist. Dieses wird mit der digitalen Signatur erreicht, welche die Echtheit der Daten garantieren soll. Das Signieren und das Überprüfen der Daten wird mit global interporable Public Key Infrastruktur (PKI) realisiert. Jeder Mitgliedsstaat der EU in unserem Fall generiert eine PKI, die aus genau einer Country Singing Certification Authority (CA) und mindestens einem Document Signer (DS) besteht. Bei den Reisepässen ist CA die oberste Zertifizierungsstelle, somit hat jeder Mitgliedsstaat die gesamte Kontrolle über die erzeugten Schlüssel. Das erzeugte Schlüsselpaar wird nur für die Zertifizierung von DS genutzt. Die Verwendung des privaten CA Schlüssels ist auf drei bis fünf Jahren festgelegt. Der zugehörige öffentliche Schlüssel ist somit dreizehn bis fünfzehn Jahren gültig, da der Reisepass eine Lebensdauer von zehn Jahren hat. Die privaten DS - Schlüssel werden innerhalb der Länder benutzt, um digitale Dokumente von den dafür 4

5 berechtigten Behördenstellen zu signieren. Zum Beispiel erzeugt die Bundesdruckerei ein DS - Schlüsselpaar. Mit dem privaten Schlüssel signiert es die ausgestellten Reisepässe und der öffentliche Schlüssel wird dann von dem öffentlichen CA zertifiziert. Die privaten DS - Schlüssel werden höchstens drei Monate verwendet, damit existiert der öffentliche DS - Schlüssel maximal zehn Jahre und drei Monate. Die deutschen Reisepässe verwenden Elliptic Curve Digital Signature Algorithm (ECDSA) als Signaturverfahren. Dabei empfiehlt es sich bei den langen Lebensdauern für den CA - Schlüssel 256 Bit und für den DS - Schlüssel 224 Bit zu wählen. Als weitere Signaturverfahren sind RSA, benannt nach seinen Erfindern Ronald L. Rivest, Adi Shamir, und Leonard Adleman und Digital Signatur Algorithm (DSA) zugelassen Zugriffscshutz Das unberechtigte Auslesen wird mit den Zugriffschutzmechanismen verhindert. Für das Auslesen der gewöhnlichen Daten von dem Namen bis zum Gesichtsbild verwendet man Basic Access Control (BAC) und für das Auslesen der Fingerabdrücke der beiden Zeigefinger nutzt man Extenden Access Control (EAC). Bei dem BAC muss das Lesegerät einen optischen Zugriff haben, um überhaupt Daten von dem Reisepass auslesen zu können. Das heißt, dass die MRZ des epasses in der optischen Scannzone des Lesegerätes verfügbar sein muss. Um das Auslesen zu ermöglichen, muss nun das Lesegerät aus der ausgelesenen MRZ den Zugriffsschlüssel berechnen. Der benötigte Schlüssel setzt sich aus den Feldern Passnummer, Geburtsdatum und Ablaufdatum zusammen. Diese Felder sind mit Prüfziffern gesichert, um mögliche Lesefehler auszuschließen. Bei den heutigen Reisepässen ist die Passnummer neunstellig, also 10 9 mögliche Zahlen. Das Geburtsdatum hat näherungsweise 365 * 10 2 und das Ablaufdatum 365 * 10 Möglichkeiten bei einer Ablauffrist von 10 Jahren. Damit ist die Komplexität des Schlüssels ungefähr 56 Bit (365 2 * ). Wie beim BAC muss auch EAC zunächst optisch scannen. Man benutzt einen weiteren Public Key Authentifizierungsmechanismus, um die Sicherheit der sensiblen Daten zu erhöhen. Der Unterschied ist nun der, dass jetzt ein zusätzliches Schlüsselpaar und von dem RFID Chip verifizierte Zertifikat, welcher die Rechte des Lesegerätes enthält, vorhanden sein muss, um das Auslesen aus dem epass gewährleisten zu können. 3. Vorteile der biometrischen Technologie in Ausweisen Die europaweite Einführung der neuen Reisepässe innerhalb der Mitgliedsstaaten siehe oben die Verordnung EG Nr. 2252/2004 ist eine weitere Vereinheitlichung und Standardisierung. Durch die Einführung der Biometrie in den Reisepässen wird ein neuer Standard an Sicherheit gewonnen. Die Personen können jetzt besser identifiziert, die Identität einer Person ermitteln, und verifiziert, behauptete Person zu bestätigen gegebenenfalls zu widerlegen, werden. Es wird somit erheblich erschwert einen epass zu fälschen und durch die genutzten Fingerabdrücke wird der Missbrauch durch ähnlich aussehende Personen sogar verhindert werden können. Weiterhin ist es vom Vorteil, dass die Polizei bei Kontrollen von Personen sofort die Fingerabdrücke und die Lichtbilder mit den Beständen im Bundeskriminalamt vergleichen können. Dadurch wird die Personenfahndung um einen erheblichen Grad einfacher gemacht. Die Automatisierung, welche durch die Einführung folgt, bedeutet unter anderem den zeitlichen Gewinn an den Grenzübergängen für vertrauenswürdige Reisende und somit auch für die Bundespolizei. 5

6 3.1. Einreisen in die Vereinigten Staaten von Amerika Die Einreise in die Vereinigten Staaten von Amerika wird mit dem elektronischen Reisepass viel bequemer gemacht. Das visumfreie Einreisen für 90 Tage wird hiermit möglich. Das ist enorm wichtig für die Personen, die oft nach USA arbeitstechnisch reisen müssen epass - Wirtschaftsfaktor Der elektronische Reisepass ist logischerweise auch ein Wirtschaftsfaktor, welcher eine Vielzahl an Arbeitsplätzen schafft. Da in Deutschland der Beschluss über die Einführung der biometrischen Merkmalen in den Ausweisen im Vergleich zu den anderen Mitgliedstaaten der europäischen Gemeinschaft schon relativ früh gefallen ist, konnte die deutsche Biometrie Branche gute Fortschritte machen und diesen Vorsprung ausnutzen, um sich als führender Anbieter von biometrischen Systemen zu behaupten. Unter den erfolgreichen deutschen Unternehmen sind zum Beispiel Philips und Infinion als Chiphersteller nennenswert. In der Passproduktion behaupten sich die Bundesdruckerei und Giesecke & Devrient als führende Passproduzenten. Die Bundesdruckerei hat Lieferungen von Passkarten und der zugehörigen Technik wie Lesegeräte an Venezuela zu verzeichnen. 4. Nachteile der biometrischen Technologie in Ausweisen Es gibt sehr viel Kritik an dem neuen elektronischen Reisepass von den Seiten der Datenschützern und der Technikexperten. Weiterhin ist die Erforderlichkeit der neuen elektronischen Pässe fraglich, da es in den letzten acht Jahren kaum Fälschungen der deutschen Pässe gab, welche damit weltweit zu den sichersten gehören Technologie Um die Identität einzelner Personen zu prüfen bedarf es bereits erfasste biometrische Merkmale, die so genannten Templates, mit den bei der Kontrolle aufgenommenen zu vergleichen. Die Qualität und die daraus folgende Leistungsfähigkeit biometrischer Systeme beschreiben folgende Parameter. Das ist False Rejection Rate (FFR), welche die Zahl zurückgewiesener Personen angibt, die fälschlicherweise den Test negativ bestehen. Das heißt das System erkennt nicht die Übereinstimmung, obwohl diese vorliegt. Der zweite Parameter ist False Acception Rate (FAR). Wie der Name schon sagt, beschreibt dieses Maß die Anzahl der Personen, welche durchgelassen werden, wobei die Daten in Wirklichkeit nicht übereinstimmen. Und als Letztes ist False Enrollment Rate (FER), welche den Anteil beschreibt, wo das jeweilige biometrische Merkmal für die Überprüfung ungeeignet ist. Des Weiteren muss ein hohes Maß an Komplexität gewährleistet werden, sodass das Nachahmen möglichst schwer gemacht werden muss. Es ist also technisch gesehen von einem biometrischen System gefordert, dass die oben genannten Parametern möglichst klein sind. Bei den Tests der einzusetzenden biometrischen Systemen, welche von dem Bundesinnenministerium für innere Sicherheit beauftragt wurden zu entwickeln, waren die Ergebnisse mit 50% falsch, das bedeutet dass die Hälfte der passierenden Personen entweder mit falschen Daten passieren dürften oder unter Verdacht geraten würden ohne etwas gesetzwidriges getan zu haben. 6

7 Ein weiteres erschreckendes Ergebnis konnte der Sicherheitsexperte Lukas Grunwald präsentieren. Er hat es geschafft einen RFID Chip, solchen aus dem Reisepass, im Jahr 2006 zu klonen. Dies hat er sogar mit recht kostengünstigen Methode erreicht, dieses Ergebnis hatte er auf der Sicherheitskonferenz Black Hat demonstriert. Der Sicherheitsexperte schaffte es zwar nicht aufgrund der Signatur den Inhalt zu fälschen, zeigte jedoch dass eine Identität verdoppelt werden kann. Daraus resultiert ein Szenario, wo Terroristen oder Kriminelle ihre Pässe mit fremden Identitäten ausstatten könnten. Das hat zur Folge, dass der rechtmäßige Besitzer beweisen muss, dass er keinen Bezug zu einer, mit seinem geklonten Pass verübte, Tat hat. Dasselbe Ergebnis erreichte auch ein Sicherheitsexperte Adam Laurie im Jahr 2007, der den RFID Chip in britischen Pässen geklont hat. Und 2006 wurde in Niederländischen Fernsehen ein epass Hack vorgeführt. In den Niederlanden wurde der elektronische Reisepass 2006 eingeführt. Lukas Grunwald erwähnte weiterhin die Möglichkeit des Einschleusens einer Manipulatinssoftware in die biometrischen Systeme, sodass die nicht signierten oder manipulierten Chips als gültig erkennen. Als ein weiteres Problem benennt er den oben erwähnten Zugriffsmechanismus EAC. Dieser setzt nach dem Zugriff auf das Dokument keinen zeitlichen Stempel, hat also keinerlei Zeitmesser. Dies ist ein folgenschwerer Fehler, denn dadurch ist es nicht möglich den Zugangsschlüssel, welcher den Zugriff auf die Daten erlaubt, zu verifizieren. So können Länder, welche schon mal auf die Daten Zugriff erhalten haben den Zugriffsschlüssel speichern und zum späteren Zeitpunkt ohne nochmalige Zustimmung des Zugriffs auf die Daten unberechtigt zugreifen. Der Chaos Computer Club (CCC) ist ein eingetragener Verein, welcher sich auch gegen die Einführung der Biometrie in den Pässen bekennt. CCC demonstriert auf ihrer Seite wie man einen Fingerabdruck mit einfachen Mitteln nachmachen kann. Die genaue Anleitung ist auf der Seite veröffentlicht. Die gravierende Schlussfolgerung ist jedoch wie einfach es geht eine sozusagen neue Identität zu verschaffen. Dies wirft natürlich die Frage über die Notwendigkeit und die Tauglichkeit biometrischer Systeme auf 4.2. Datenschutz Ein sehr sensibles Thema ist der Datenschutz, der in Deutschland eigentlich großgeschrieben wird, gerät immer mehr von der neuen Technologie in den Schatten. Die Datenschützer weisen darauf hin, dass durch die Biometrie in den Pässen die informatielle Selbstbestimmung gravierend eingeschränkt wird. Dies ist in der Tat der Fall, da durch die biometrischen Daten unbemerkte Identifikation durch die Überwachungskameras möglich ist. Mit dem Gefühl ständig beobachtet zu werden, ist es klar, dass dies einen ständigen Einfluss auf das Verhalten eines jeden Bürgers hat. Bei Einreisen in die anderen Länder werden die Daten an den Grenzübergängen abgeglichen. Aus diesen Informationen über jeden Einreisenden können die anderen Länder biometrische Datenbanken erstellen, auf welche Deutschland keinerlei Einfluss haben kann. Dies kann beispielsweise von den ausländischen Geheimdiensten gegen den deutschen Bürger verwendet werden, und somit sehr unangenehme Folgen haben Kostenfaktor Es ist natürlich für jeden Bundesbürger wichtig was dieses bundesweite Vorhaben kosten wird, weil es kein geringerer als der Steuerzahler zu tragen hat. Die Einrichtungskosten, das 7

8 heißt beispielsweise die Ausstattung der Grenzübergänge und der Beamtenstellen werden auf 670 Millionen Euro geschätzt. Weiterhin sind jährliche Kosten von ungefähr 610 Millionen nötig, um diesen ganzen Apparat am Leben zu erhalten. Es gibt Ideen wie man den Steuerzahler entlasten kann. Der Vorschlag ist der, dass interessierte Unternehmen kostenpflichtigen Zugriff auf die Daten erhalten. Die Kosten sollen zwischen 40 und 50 Cent pro Datensatz liegen. Das Durchbringen dieser Idee würde natürlich wieder nicht mit dem Datenschutz vereinbar, da dadurch informatielle Freiheit eingeschränkt wird. Und weiterhin ließe sich von den Unternehmen komplette Abbildungen der Persönlichkeiten mit ihren Süchten und Erbkrankheiten erstellen lassen. 5. Fazit Durch die gemachte Gegenüberstellung der Vor- und Nachteile komme ich zu persönlicher Ansicht, dass die neuen elektronischen Pässen noch ungenügend technisch realisiert sind, um die sensiblen biometrischen Daten wie Fingerabdrücke darauf zu sichern. Es wird mit Sicherheit des Bürgers und seiner Daten argumentiert und zugleich erscheint es paradox wie einfach doch die neuen Systeme zu knacken sind. Mein Fazit ist, dass es sich nicht lohnt mit solch einem riesigen Kostenaufwand nur ein kleines Maß an Sicherheit zu kaufen und auch noch dabei einen großen Teil seiner Freiheit aufzugeben. 8

9 6. Quellenverzeichnis: Passgesetz Verordnung EG Nr. 2252/ zur Vertiefung : (Der zeitliche Stand der Recherche ist der 28 Juli 2008.) 9