Sind die neuen Reisepässe sicher? Dr. M. Meints, ULD SH
Inhalt Allgemeine Vorüberlegungen Was ist neu am epass? Der epass wozu? Und wie wurde er eingeführt? Sicherheit eine Frage der Zielrichtung Sicherheit und Kontrolle Mögliche Szenarien für die Nutzung der epass-technik im Rahmen eines Federated Identity Managements Sicherheit und Federation beim epass Bestehende Sicherheitsrisiken Mögliche Konsequenzen für den Bürger Erreicht der epass aus Sicht des Staates die gesteckten Ziele? Schlussfolgerungen und Empfehlungen für zukünftige Maßnahmen
Was ist neu am epass? Seit November 2005: RFID Chip, Datenübertragung nach ISO 14443 Zugriffschutz: Basic Access Control (BAC) Speicherung eines digitalen, für die automatisierte Auswertung optimierten Passbildes (JPEG) Ab November 2007: Zusätzlich digitales Bild zweier Fingerabdrücke Verbesserter Zugriffsschutz: Extended Access Control (EAC) Der epass ist damit Teil eines verteilten IT-Systems
Der epass wozu? Der epass wurde mit der Begründung eingeführt, dass gegenüber dem klassischen papiergebundenen Dokument Verbesserungen nötig seien: Verbesserung der Fälschungssicherheit (Nachmachen und Verfälschen) Quelle: BMI 2005 (http://www.bmi.bund.de/nn_163950/internet/content/ Nachrichten/Archiv/Pressemitteilungen/2005/10/ePass.html) Nutzung biometrischer Mittel bei der Personenfahndung, Bekämpfung von Terrorismus (Verbesserung des Erkennens von Terroristen bei Ein- und Ausreise) Erleichterungen im Reiseverkehr etc. Quelle: BMI 2005 (http://www.bmi.bund.de/nn_163950/internet/content/ Nachrichten/Archiv/Reden/2005/06/ePass.html)
Die Einführung Die technische Spezifikation und Standardisierung wurde durch die ICAO und ISO abgeschlossen, bevor es funktionierende Implementierungen gab Bis September 2005 wurden noch intensive Funktions- und Kompatibilitätstest bei RFID-Chips und Lesern durchgeführt Der epass wurde vor der Einführung unzureichend getestet Nur beschränkte Funktionstests von Teilkomponenten (Biometrie, RFID) wurden unter Laborbedingungen durchgeführt Es fehlten umfangreiche Tests aller Komponenten im Zusammenspiel unter realen Einsatzbedingungen Es fehlten Sicherheitstests (Hackertest) Vergleiche Tests bei der Einführung der elektronischen Gesundheitskarte
Fehlende Konsequenzen aus den Testergebnissen Quelle: BSI, BioP II-Abschlussbericht, S. 14
Sicherheit eine Frage der Zielrichtung Die Staats-Perspektive Ziel: Öffentliche Sicherheit Zuverlässige Identifizierung von Reisenden Verhinderung ungesetzlicher Migration Möglicherweise Abgleich gegen Datenbanken mit Fahndungsgesuchen Die Bürger-Perspektive Physische Sicherheit im Gastland Datensicherheit Schutz der Privatsphäre, Datenschutz ist das zugehörige rechtliche Instrument mit den folgenden Prinzipien: Datenvermeidung / Datensparsamkeit Zweckbindung Sicherheitsmaßnahmen etc.
Vorüberlegungen zur Sicherheit Sicherheit von IT-Systemen benötigt einen integrierten Ansatz Organisatorische und technische Maßnahmen müssen abgestimmt sein Alle Lebenszyklen eines Verfahrens und der dazu eingesetzten Technik müssen betrachtet werden Unterschiedliche Sicherheitsziele müssen betrachtet und gewichtet werden Kontrolle über das IT-System muss beschrieben und die daraus resultierenden wechselseitigen Pflichten müssen geklärt werden (z.b. in Form von Verträgen oder Gesetzen) Kontrollfrage: Wer ist für die Umsetzung der Sicherheitsmaßnahmen zuständig?
Sicherheit benötigt Kontrolle Etablierte Kontrollmodelle: Kontrolle des Nutzers über sein eigenes System (typisches Beispiel: Heim-PC): Nutzerkontrolle Kontrolle der Organisation über ihre eigene IT: Zentrale Kontrolle (siehe z.b. ISO 27001) Kontrolle über ein System, dass von mehren Parteien betrieben wird: Indirekte oder verteilte Kontrolle; Sicherheit basiert auf Vertrauen Quelle des Vertrauens sind typischerweise Verträge, geeignete Audit-Schemata und ggfs. Vertragsstrafen (siehe z.b. ISO 27001 und 17799 (zukünftig 27002)) Kontrolle über ein verteiltes System unter Berücksichtigung von Nutzerinteressen: Mehrseitige Sicherheit Bislang existieren nur Forschungsansätze für die Umsetzung dieses Kontrollmodells
Potentielle Nutzungsszenarien für den epass Vielversprechendes Konzept für die Authentisierung Federation: Ausstellung des Passes erfolgt durch vertrauenswürdige Organisationen (die 189 ICAO Mitgliedsstaaten weltweit) Verteiltes Kontrollmodell Bindung des Passes an den Inhaber wird mit Biometrie sichergestellt Dies ist eines der anerkannten und starken Einsatzszenarien für Biometrie Diskutierte Einsatzszenarien: Zugangskontrolle, auch in der Wirtschaft Authentisierung über das Internet für e-government- Anwendungen und die Wirtschaft
Sicherheitslücken des epasses (forts.) Wer hat die Kontrolle? 189 ICAO-Mitgliedsstaaten Passaustellende Behörden (in Deutschland: 5000 Meldeämter (einschl. Außenstellen) und die Bundesdruckerei) Grenzkontrollbehörden und Zollbeamte (Nutzung von Authentisierungssystemen, Datenbankabgleich etc.) Der epassinhaber Dritte Autorisiert: z.b. Hotels in mehreren EU-Mitgliedsstaaten Nicht autorisiert: Verschiedene Personen, die den Zugriffsschutz (heute BAC) umgehen können
Sicherheitslücken des epasses Es gibt keinen Vertrag, kein Gesetz oder dergleichen, dass für alle genannte Beteiligten weltweit ein einheitliches Sicherheitsniveau festlegt und dessen Umsetzung sicherstellt Folglich gibt es keine Kontrolle über das verteilte IT-System und daher kein einheitliches Sicherheitsniveau
Ist das nicht eher eine theoretische Feststellung? Unglücklicherweise nicht, wie der Blick auf die faktische Sicherheit aus unterschiedlicher Perspektive zeigt: epassinhaber: Biometrie ist nicht gemäß den Empfehlungen der Art. 29 Datenschutz Arbeitsgruppe der EU umgesetzt: Es werden biometrische Rohdaten statt Templates eingesetzt Die Speicherung von biometrischen Merkmalen erfolgt zusammen mit weiterer identifizierender Information Die biometrische Verifizierung wurde so implementiert, dass die Referenzdaten (Rohdaten) nicht widerrufbar sind Die biometrischen Referenzdaten werden zwar dezentral gespeichert, dies ist aber in anderen Ländern auch für europäische epassinhaber nicht durchgesetzt Im Falle des (technisch bedingten) Versagens der Biometrie, z.b. durch FRR, FTE, sind keine Alternativ-Verfahren festgelegt Zudem fehlt eine Bürgerinformation!
Ist das nicht eher eine theoretische Feststellung? (Forts.) epassinhaber: RFID Chip ist nicht geschirmt (Faraday scher Käfig wird nicht genutzt) BAC fehlt bei einigen europäischen epass-implementierungen völlig (z.b. Belgien bis Juni 2006) BAC kann gehackt werden (schwache Entropie des BAC- Schlüssels) BAC kann umgangen werden Daten zum Berechnen des Schlüssels stehen in der maschinenlesbaren Zone (MRZ) und können von jedem abgeschrieben oder kopiert werden, der den Pass in den Händen hält (siehe Zugriff durch Dritte!)
Ist das nicht eher eine theoretische Feststellung? (Forts.) epassinhaber: EAC kann das bestehende Problem nicht lösen, da EAC (noch) kein ICAO-anerkannter Standard ist und Abwärtskompatibilität zu BAC erforderlich ist Der epass kann aus bis zu 50 cm ausgelesen werden Abhören der Kommunikation zwischen (autorisiertem) Leser und epass ist aus bis zu 5 m möglich Der RFID-Chip im epass konnte bereits kopiert (geclont) werden
Szenario 1: Tracking 80 cm Possible Range: 50-60 cm BAC-Key Traveller
Szenario 2: Abhören
Sind diese Szenarien nicht praktisch nutzlos? Leider nein: Szenario 1: Tracken von Besuchergruppen macht aus Sicht bestimmter Reiseländer durchaus Sinn Szenario 1 kann zur Auslösung bestimmter Ereignisse genutzt werden (z.b. Bomben wurden bereits in der Literatur diskutiert) Szenario 2: Kann unter bestimmten Voraussetzungen zum Identitätsdiebstahl benutzt werden Biometrische Daten können wegen der enthaltenen überschießenden Informationen für weitere Zwecke verwendet werden z.b. Diagnose bestimmter Erkrankungen wie das Marfan-Syndrom Automatisierte Auswertung ergänzender Informationen aus Bildern wurde bereits demonstriert Auch die Bundesrepublik Deutschland reagiert darauf: Diplomaten haben die Wahl, statt des epasses einen herkömmlichen Diplomatenpass ohne RFID Chip zu benutzen (Diplomatenprivileg)
Ist das nicht eher eine theoretische Feststellung? (forts.) Die Perspektive der Wirtschaft Ausstellungsprozess ist nicht verlässlich Biometrie-gestützte Authentisierung über das Internet kann derzeit nicht verlässlich sein, da der Nutzer den RFID Leser und den biometrischen Sensor kontrolliert Spoofen und Manipulation von biometrischen Referenzdaten kann nicht wirksam unterbunden werden Für alle Perspektiven: Der epass ist mindestens 5, in Deutschland 10 Jahre gültig Es gibt kein Wartungs- oder Updatekonzept für einmal ausgegebene epässe
Erreicht der epass die gesetzten Ziele? Der traditionelle Pass wurde vor allem auch deshalb mit einem RFID Chip versehen, um die Fälschungssicherheit zu erhöhen Da der epass im Papierdokumententeil fälschungssicher ist, stellt die Möglichkeit des Kopierens des RFID Chips keinen ernstzunehmenden Angriff dar? Das Ausstellungsverfahren des heutigen epasses stellt nicht sicher, dass der Benutzer des Passes auch der rechtmäßige Inhaber ist Siehe BBC-Reportage: My faked passport and me,http://news.bbc.co.uk/2/hi/programmes/ panorama/6158927.stm)
Erreicht der epass die gesetzten Ziele? (Forts.) Betroffene europäische Länder: GB, Deutschland, Frankreich, Italien, Schweden, Dänemark, Finnland, Estland, die Niederlande, Belgien, Spanien, Portugal, Griechenland, Slowenien, Tschechien, Polen, Österreich, Slowakei, Litauen, Lettland
Erreicht der epass die gesetzten Ziele? (Forts.) Quelle: Heise-Online: www.heise.de
Schlussfolgerungen Die technische und organisatorische Sicherheit zeigt zahlreiche gravierende Lücken Erfolgreiche Angriffe wurden bereits durchgeführt Das anfällige Technikkonzept des epasses sollte nicht auf nationale Personalausweise übertragen werden, da die beschriebenen Missbrauchszenarien dadurch eine erheblich erweiterte Relevanz bekommen (wer hat denn bei uns ein zusätzliche Interesse an diesen Szenarien?) Die Kontrollsituation verschlechtert sich weiter, wenn die epass-technik zur Authentisierung über das Internet genutzt wird
Schlussfolgerungen (Forts.) Was sollte getan werden? Mögliche Sicherheitsmaßnahmen sollte bei dem vorhandenen Technikkonzept sofort umgesetzt werden Faraday scher Käfig Schirmung von Lesern an Grenzkontrollstellen Enrolment der Biometrie (Erstellung des digitalen Passfotos) muss bei den passausstellenden Behörden erfolgen epassinhaber muss über darüber informiert werden, wie er den epass benutzen soll Maßnahmen für den Fall des Versagens der Biometrie müssen entwickelt, international abgestimmt und kommuniziert werden (Bürger!)
Schlussfolgerungen (Forts.) Was sollte getan werden? Mittelfristig wird ein neues Technik- und Sicherheitskonzept für den epass benötigt, da bei dem vorhandenen Konzepten die Kontrollprobleme nicht gelöst werden können Dabei sollten die folgenden Fragestellungen geklärt werden: Kann gekapselte Biometrie benutzt werden? Kann auf einen RFID Chip verzichtet werden? Weitere Empfehlungen können der Budapest Erklärung entnommen werden: http://www.fidis.net/press-events/press-releases/
Vielen Dank für Ihre Aufmerksamkeit! Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Dr. Martin Meints Telefon: 0431 / 988 1226 LD102@datenschutzzentrum.de http://www.datenschutzzentrum.de/