Diskussion:Elektronischer Personalausweis

Aktive Diskussionen

Provokant

Aussage : -- Meine Katze hat diesen fortschrittlichen Chip bereits implantiert. Das ist easy.

Dies hat sehr viele Vorteile.

  • Ein Verlieren oder Vergessen ist somit nicht mehr möglich.
  • Die eindeutige Zuordnung zum Träger ist gewährleistet.
  • Es besteht ein hohes Maß an Sicherheit hinsichtlich der Identifikation.
  • Eine optische Veränderung beeinträchtigt die Erkennung nicht.
  • Ein Ablauf, zeitlicher Verfall ist dadurch nicht notwendig.
  • Die Bürokratie wird verringert und Vereinfacht.
  • Die Krankenkarte wird überflüßig

Alles in Allem der echte Fortschritt. -- Wiskyhotel

Nicht immer gleich dagegen

Der Beitrag führt zurecht aus, dass die qualifizierte digitale Signatur auf dem Chip freiwillig aufgenommen werden kann und zwar auf Wunsch des Bürgers. Ich bitte Euch, es mir nicht zu verbieten, auf die zusätzliche Funktionalität zurück zu greifen. Wenn es so ist, dass dies die Wirtschaft fördert, ist dies als Argument für oder gegen den neuen Perso indifferent. Haben wir grundsätzliche Bedenken gegen unsere Wirtschaft? Ich meine nein.

Die Aussage, die auf dem Chip vorhandenen Daten können innerhalb von 2 Metern ausgelesen werden, ist vollkommen spekulativ. Richtig ist, dass die Daten auf dem Chip nur mit einem Schlüssel ausgelesen werden können, der errechnet wird, wenn die schriftlich vorhandenen Daten auf dem Personalausweis bekannt sind [1]. Sollte es also so sein, dass der Chip sich wirklich über einen solch großen Abstand aktivieren lässt, wäre eine Manipulation nur möglich, wenn der Inhalt des Chips dem Angreifer bekannt ist, weil zum Auslesen die Daten aus dem Bereich der maschinenlesbaren Zone (ICAO-Zeile) bekannt sein müssen.

Ein gutes Motto der Piratenpartei ist: Denk Selber! Darum bitte ich Euch dringend darum, es mir selbst zu überlassen, ob ich die zusätzliche Funktionalität in Anspruch nehmen möchte, oder nicht.

[1] https://www.bsi.bund.de/cln_156/DE/Themen/ElektronischeAusweise/Sicherheitsmechanismen/sicherBAC/bac_node.html, 04.04.2010

(nicht signierter Beitrag von Tracktuner (Diskussion | Beiträge) 16:58, 4. Apr. 2010)

Wir wollen dir nichts verbieten. Wir planen eine reine Informationskampagne, bei der wir über die Möglichkeit informieren, einen alten Ausweis noch bis Oktober zu beantragen. Ob du das dann tust, ist deine freie Entscheidung. Wir haben auch keine Bedenken gegen Wirschaftsförderung allgemein. Wir wollen darauf hinweisen, dass der ePA keinen Sicherheitsgewinn bringt, wie teilweise angenommen wird. Allerdings ist es meiner Meinung nach nicht notwendig, die eID-Funktion auf den Personalausweis zu packen. Das würde genauso gut mit der Geldkarte und einem entsprechenden Lesegerät funktionieren.
Die Aussage, dass der Chip aus einiger Entfernung ausgelesen werden kann, ist mitnichten spekulativ. RFID-Chips können bauartbedingt kontaktlos ausgelesen werden. Korrekt ist, dass alle Daten verschlüsselt sind und ohne die aufgedruckte PIN nicht lesbar sind. Nachdem ein Personalausweis aber 10 Jahre lang gültig ist, befürchten wir, dass innerhalb dieser Gültigkeit jemand die Verschlüsselung knacken könnte.
Noch einmal: Wenn du einen Elektronischen Personalausweis haben möchtest, kannst du dir einen holen. Es ist dir definitiv selbst überlassen. -- JustThomas 14:28, 9. Apr. 2010 (CEST)
Für meinen Neuen Personalausweis schon jetzt meinen besten Dank. Der Sicherheitsgewinn wird dadurch erzielt, dass sich der neue Perso sehr viel schwieriger fälschen lässt, als das derzeit im Umlauf befindliche Modell. Letztlich läuft es darauf hinaus, dass mit dem neuen Perso Behördendienstleistungen ohne Vorsprache im Amt erledigt werden kann. Das ginge sicher auch mit Signaturdienstleistungen kommerzieller Anbieter. Ich halte das Personalausweiswesen allerdings für eine öffentliche Aufgabe. Deren Umgang mit sensibelen Daten halte ich für sicherer (im Sinne von transparenter und justiziabel) als bei kommerziellen Anbietern.
Die Aussage zur Auslesbarkeit über eine Distanz ist insofern spekulativ, dass suggeriert wird, man könne den RFID-Chip innerhalb von mehreren Metern derart aufladen, dass der Abruf der Daten erfolgen kann. Dies ist durch die Spezifikationen ausgeschlossen. Dies ergibt sich aus der Seite des BSI. Den Verweis zu deren Seite habe ich oben angegeben.
(nicht signierter Beitrag von Tracktuner (Diskussion | Beiträge) 21:56, 11. Apr. 2010)
Ich sehe diese Sicherheitsmaßnahmen so ähnlich wie die WLAN-Verschlüsselung: Sie erschweren den Zugriff in hohem Maß, schließen ihn aber nicht mit hundertprozentiger Sicherheit aus. Das kann nur ein Chip, der kontaktbehaftet ausgelesen werden muss. Deswegen wäre es mir auch lieber, wenn so ein Chip im ePA verbaut wäre. Das von dir verlinkte Sicherheitsprotokoll BAC (Basic Access Control) kommt beim ePA übrigens gar nicht mehr zum Einsatz. Stattdessen wird das neu entwickelte Protokoll PACE verwendet. Eine Begründung dafür habe ich bisher nicht gefunden, aber wahrscheinlich ist PACE einfach sicherer. Trotzdem denke ich, dass sich die Frage, ob der ePA geknackt wird, nicht stellt. Die Frage lautet, wann er geknackt wird. Und ich vermute einfach ganz pessimistisch, dass das noch innerhalb der nächsten zehn Jahre, also bevor die ersten Ausweise ablaufen, sein wird. Aber das ist wirklich nur Spekulation. Ich werde mir aber auf jeden Fall noch einen "alten" Ausweis holen. -- JustThomas 17:43, 13. Apr. 2010 (CEST)

Angeblich soll das Auslesen der Pässe auf eine Distanz von 20-30 Fuß, das sind etwa 7-10 Meter, funktionieren. (gulli.com)

(Un-)Sicherheit von ePässen - neue Studie (Annika_Kremer)
USA: Grenzkontrollen im Vorbeifahren durch "Vicinity RFID" (Annika_Kremer)
Sicherlich sind die derzeitigen Angaben bezüglich der Reichweite der Auslesemöglichkeiten widersprüchlich, man kann auch annehmen, bewusst im unklaren gelassen, aber die Entwicklung wird bei diesem Anreiz sehr schnell fortschreiten. Wenn heute schon Versuche unternommen werden und/oder derartige Studien bzw. Überlegungen getroffen werden, wird mir klar das ich alles unternehmen werde um auch in Zukunft unbeobachtet irgendwo spazieren gehen zu können.
Die Information wo und wie sich jemand irgendwo aufgehalten hat ist die Sache der persönlichen Freiheit des Einzelnen. Das hat nach meiner Überzeugung, nicht später als Faktor, in einer Scoringberechnung aufzutauchen. Man muß sich das nur mal praktisch vorstellen. -- Wiskyhotel

Nur so nebenbei

Ich will ja nicht besserwisserisch daherkommen, aber der jetzige "alte" Personalausweis ist für Personen unter 24 Jahren nur 6 Jahre gültig. Erst ab dem 24. Lebensjahr hat er eine Gültigkeit von 10 Jahren.

Darüber hinaus ist die Abgabe der Fingerabdrücke freiwillig und deshalb glaube ich nicht, dass man diese Personen gleich als verdächtig einstuft. Eine "alte Oma" mit 80, die nen neuen Ausweis braucht, kann nämlich mit Fingerabdrücken und Signatur etc. gar nix anfangen. Die will nur ihr gültiges Ausweisdokument.

Und was ganz wichtig ist :-) Für Leute wie mich, die als Sachbearbeiter im Bürgerbüro für Ausweise und Pässe zuständig sind, wird der Arbeitsaufwand enorm erhöht. Bei dem "alten" PA dauerte ein Antrag max. 5 Minuten, bei dem neuen PA soll die Bearbeitungszeit zwischen 20 - 25 Minuten liegen. Dadurch werden sicherlich die Gebühren erhöht werden. Man sollte in dieser Hinsicht auch an den Geldbeutel des Bürgers denken.

Ich hoffe, es kommt jeder mit bei dem was ich hier sage :-) JuanZorro 17:55, 28. Apr. 2010 (CEST)

Die Vermutung, man könnte Leute, die die Abgabe eines Fingerabdrucks verweigern, als verdächtig einstufen oder zur Abgabe drängen, stammt vom CCC. Ich sehe da eher das Problem, dass man nach Abgabe eines Fingerabdrucks irgendwelche Vorteile genießt (z.B. schnellere Abfertigung bei Grenzkontrollen) und dadurch zur Abgabe von Fingerabdrücken gedrängt wird. Ich schließe aber auch nicht aus, dass man bei Routine-Verkehrs- oder Grenzkontrollen den ein oder anderen misstrauischen Blick erntet, wenn der Beamte mit dem Lesegerät feststellt, dass kein Fingerabdruck auf dem Chip gespeichert ist.
Der erhöhte Aufwand ist natürlich auch ein gutes Gegenargument. Davon ist aber nicht nur der Sachbearbeiter betroffen, sondern z.B. auch der Fotograf, der ein möglicherweise nicht normgerechtes Gesicht so fotografieren muss, dass es in die genormte Vorlage für biometrische Gesichtsbilder passt. Teurer wird der Ausweis sowieso, denn die Kosten für den unerwünschten Chip trägt selbstverständlich der Ausweisbesitzer. -- JustThomas 22:24, 29. Apr. 2010 (CEST)


Praxisbeispiel, Provokant

Die Metro hat bereits versuche mit RFID in Kundenkarten durchgeführt.
Hier zu lesen : http://www.foebud.org/rfid/metro
Nun stelle man sich vor: Metroladen besucht zum Einkauf. Perso heinlich ausgelesen. Dann beim bezahlen die Bankkarte gezückt und die Ware bezahlt.
Zuordnung easy, alles Private weg, nur so!
Was nutzt dann eine Verschlüsselung. Solche Situationen sind viele vorhanden.
Anderes Beispiel: Software
Glaubt jemand, man könne dann noch Software (kommerziell) erwerben, ohne sich nachher mit dem Perso, sprich Signatur, zu registrieren.
Das ist heute ohne weiteres Möglich
Mann muss bei der Betrachtung sicherlich abwägen, Pro und Kontra, aber eine kürzere Bearbeitungszeit eines Mitarbeiters einer Behörde, gegen die Einschränkung von pers. Freiheiten abzuwägen fällt leicht.
@JuanZorro
Überlege mal! These: DER BÜRGER ZAHLT SOWIESO, den ganzen Tag, Minuten sind dabei ziemlich unerheblich.

Update I

Heise meldet: Elektronischer Personalausweis: Berechtigungszertifikate können beantragt werden
Ab sofort können Firmen Zertifikate für den Zugriff auf die nicht-hoheitlichen Datenfelder des elektronischen Personalausweises beantragen. Die Beantragung erfolgt hier: http://www.bva.bund.de/cln_101/nn_372236/DE/Aufgaben/Abt__III/nPA/Vergabestelle/node.html?__nnn=true
Die dann auch auslesen könnten.
Die Beantragung erfolgt hier:
http://www.bva.bund.de/cln_101/nn_372236/DE/Aufgaben/Abt__III/nPA/Vergabestelle/node.html?__nnn=true
Man beachte: Anwendungsbeispiele --Wiskyhotel

Update II

Unter Technische Richtlinie für den sicheren RFID-Einsatz (TR RFID, BSI TR-03126) steht:
Mit Einführung einer neuen Technologie stellt sich häufig die Frage nach dem Sicherheitsniveau einer auf dieser Technologie basierenden Anwendung. Zur Bewertung des Sicherheitsniveaus solcher Anwendungen gibt es verschiedene Ansätze mit unterschiedlichem Komplexitätsgrad. Die hier veröffentlichten Dokumente beschreiben die Verwendung Technischer Richtlinien für die Radio-Frequency-Identification-Technologie in verschiedenen Einsatzgebieten als eine mögliche Methode zur Festlegung des erforderlichen Sicherheitsniveaus.

Betrachtete Einsatzgebiete sind:

   * der Zutritt zu Veranstaltungen (Event-Ticketing)
   * die Nutzung öffentlicher Verkehrsmittel (ÖPV-Ticketing und NFC-Ticketing)
   * das Verwenden von EPC-konformen Transpondern in der Handelskette.

Ergebnis: Hinter hochtrabenden fremdsprachigen Begriffen steck: Fußball und Busfahren mit Überwachung !!
Wäre auch eine Meldung für Bild -- :-)) --Wiskyhotel

Update III Ein Nebeneffekt

Wenn Etiketten das Recycling stören. Massenhafte Anwendung der Radio-Frequency-Identifikation stellt Mülltrennung vor neue Herausforderungen Presse-Information 067/2009 Bundesumweltamt
Wenn Etiketten das Recycling stören (PDF Download)

IT-Sicherheitskit für Bürgerinnen und Bürger
Der Deutsche Bundestag hat im Rahmen des IT-Investitionsprogramms aus dem Konjunkturpaket II Mittel in Höhe von 24 Mio. Euro als Zuschuss zur Ausgabe von IT-Sicherheitskits an Bürgerinnen und Bürger bereitgestellt. Die Förderung der IT-Sicherheitskits durch den Bund soll dazu führen, dass eine signifikante Anzahl an Lesegeräten für die Nutzung elektronischer Chipkarten verfügbar ist. In einem offen Zuwendungsverfahren, an dem sich u. a. Unternehmen, Verbände, Institutionen und Medien mit ihren Konzepten zur Verteilung von Sicherheitskits beteiligen konnten, wurden durch das Bundesministerium des Innern aus einer Vielzahl an Anträgen zehn Maßnahmen ausgewählt. Diese Maßnahmen werden durch folgende Zuwendungsempfänger umgesetzt:

  • CHIP Communications GmbH
  • Cosmos Lebensversicherungs-AG
  • Deutscher Genossenschafts-Verlag eG
  • impuls systems GmbH
  • KKH-Allianz
  • Multicard GmbH
  • REINER Kartengeräte GmbH & Co. KG
  • SCM Microsystems GmbH
  • Star Finanz-Software Entwicklung und Vertriebs GmbH
  • T-Systems International GmbH

Durch die Förderung des Bundes können rund 1,5 Mio. IT-Sicherheitskits an Bürgerinnen und Bürger ausgegeben werden. Fazit: Förderung der beteiligten Firmen. Fühlt sich zienlich schmierig an diese Entwicklungskostenhilfe -- Wiskyhotel 11:04, 22. Jun. 2010 (CEST)

Teilnehmer am zentral koordinierten Anwendungstest und Details zum Anwendungstest
sind bei der IT-Beauftragten des BMI zu finden. Die angebotenen Downloads geben die Mit(Gegen)spieler plakativ an. Weitere Infos unter Wissens- und Kommunikationsplattform des Kompetenzzentrums neuer Personalausweis Nette Site. Ein Urteil mag sich jeder selber bilden. Bis dann... -- Wiskyhotel 15:40, 23. Jun. 2010 (CEST)
Nachbrenner : Diverse Dokumente, bzw. Links darauf, Thema Technische Richtlinie Biometrie in hoheitlichen Anwendungen oder Studie "Messung der Abstrahleigenschaften von RFID-Systemen (MARS) sind in der Bibliothek im Bereich Dokumente zu finden.
Auch diese Meldung ist, wie die vorherigen, eine Dienstleistung der AG Bibliothek -- Wiskyhotel 15:52, 23. Jun. 2010 (CEST)

CCC deckt Sicherheitslücken beim neuen Personalausweis auf Berlin – Der Chaos Computerclub (CCC) hat Sicherheitslücken im neuen Personalausweis gefunden.
ARD-Sendung "Plusminus" deckt Sicherheitslücken beim neuen Personalausweis auf - Minister de Maizière sieht keinen Handlungsbedarf Info eine Dienstleistung der AG Bibliothek -- Wiskyhotel 04:07, 24. Aug. 2010 (CEST)

WDR-Sendung "Markt" zeigt wie RFID-Chip auf dem neuen Personalausweis von Schüler mit einer Einwegkamera deaktiviert(zerstört) werden kann. -- Wiskyhotel 01:55, 14. Sep. 2010 (CEST)

Kosten

Es ist Superaffengeil! Auch hier steigen die Kosten. Neben dem sog. Mehrwert, werden auch gleich die Kosten kräftig nach oben getrieben. Die Bearbeitung der Anträge, mag ja schneller gehen, aber der Mehrwert muss extra honoriert werden. Ein Konjunkturprogramm für Elektronikfachgeschäfte und Zertifizierungsstellen. Die Kosten und die Hintergründe:

---> 1. Kosten des Dokumentes bei der Behörde ca. das Dreifache des aktuellen Dokumentes
---> 2. Kosten für ein Komfortlesegerät
Info auf der Website "Der neue Personalausweis": Sie benötigen ein Komfortlesegerät mit einem PIN-Pad und Display, das für Karten mit kontaktloser Schnittstelle ausgelegt ist.
---> 3. Kosten für ein Singnaturzertifikate
Info auf der Website "Der neue Personalausweis": Die Singnaturzertifikate werden nicht von den Personalausweisbehörden ausgestellt, sondern von speziellen Dienstleistern – den Singnaturanbietern – die nach dem Singnaturgesetz (SigG) zugelassen sind. Eine Liste der zugelassenen Singnaturanbieter finden Sie auf den Seiten der Bundesnetzagentur.
Darunter: Deutschen Telekom AG, Bundesnotarkammer, DATEV eG, D-Trust GmbH, Deutsche Post Com GmbH Geschäftsfeld Signtrust, TC TrustCenter GmbH
Alle diese GmbH's sind schon mal gesetzlich dazu verpflichtet Gewinne zu erwirtschaften. Netter Zufall. (Verdeckte Subvention?)
---> Summierung : Das Ergebnis wird auf Grund der zusätzlich benötigten Geräte PC mit Komfortlesegerät
(aus dem Namen ist der Preis schon vermutbar, Toller Verkaufsansatz für Händler)) und des Signaturzertifikates bereits deutlich teurer (ohne Nachprüfung) wie ein jetzt gültiges amtliches Dokument.
Die weiteren Fragen nach der Sozialverträglichkeit in Hinsicht auf Arbeits- und Erwerbslose, Sozialhilfeempfänger, Rentner, etc, lassen wir hier mal Außen vor. Letztlich steigen die Kosten auf dem Rücken der Bürger und das bei absolutem Sparzwang. Das ist in dieser Situation sicherlich nicht wünschenswert.

Ein Verbesserungsvorschlag

Im Zuge der Gesetzgebung muss eine Kosten/Nutzenabwägung durchgeführt werden. Diese sollte zur Verabschiedung des Gesetzestextes mit zur Abstimmung kommen.

Damit würden viele Gesetze und Verordnungen sicherlich wirtschaftlicher.(Edit: gibt es, nutzt aber anscheinend nichts! --Wiskyhotel

  • Bitte lesen!:
Wahrhaft steigen die Preise für den neuen PA an. Für Personen unter 24 Jahre (bei 6jähriger Gültigkeit) kostet das olle Ding schlappe 19,80 €. Für Personen ab 24 Jahre (bei 10jähriger Gültigkeit) kostet er stolze 28,80 €.
Besonders "unverschämt" empfinde ich jedoch folgende Regelung: Personen zwischen dem 16. und 18. Lebensjahr erhalten beim erstmaligen Ausweisantrag das Dokument für umsonst. Alle anderen Personengruppen (auch Kinder unter 16 Jahren) müssen die regulären Preise bezahlen. Ein deutscher Kinderreisepass ist jedoch maximal bis zum 12. Lebensjahr gültig (dieser Kinderreisepass kostet auch 13,00 €), d.h. ein Kind zwischen dem 12. und 16. Lebensjahr muss, obwohl es den Perso zum ersten Mal beantragt, die vollen 19,80 € bezahlen. Wenn dann die 6 Jahre Gültigkeit abgelaufen sind, muss für einen erneuten Perso nochmal die Gebühr bezahlt werden. Diese Gruppe von Personen kommt dann nie in den Genuss eines kostenfreien Ausweisdokumentes. Es besteht in Deutschland zwar keine Ausweispflicht für Personen unter 16 Jahren, allerdings ist es dem Bürger doch nicht vermittelbar, fürs 13jährige Kind 19,80 € zu verlangen, und fürs 17jährige Kind muss nix bezahlt werden. Die betroffenen Eltern/Kinder dürfen dann sozusagen 4 Jahre lang nicht ins Ausland reisen, es sei denn sie bezahlen die Ausweisgebühr... Ich hoffe, jeder versteht was ich sagen will :-) --JuanZorro 17:05, 23. Jun. 2010 (CEST)
Cool, tolles Detail. Rechne mal aus welche Jahrgänge bescheiden dastehen werden. Diese Berechnung bringt entweder die handwerkliche Qualität und/oder die Ausrichtung besser zur Geltung. Dafür gibt es nur eine Lösung, die Beamtenlösung: Einen Antrag stellen. Einen Antrag auf Rückversetzung in den alten Stand. Grund: Altersdiskriminierung. :}} , :}} -- Wiskyhotel
Der ermäßigte Betrag von 19,80 € und der kostenlose erste Ausweis sind übrigens noch nicht in trockenen Tüchern. -- JustThomas 00:00, 15. Jul. 2010 (CEST)

Zur Sozialverträglichkeit kann ich nur sagen, dass ich es so verstanden haben, dass die Sachbearbeiter in den Passbehörden selbst entscheiden sollen, wann Renter/HartzIVEmpfänger/Landstreicher/Arbeitslose/usw. ein gebührengemindertes/kostenfreies Ausweisdokument bekommen und wann nicht. Das wird langfristig dazu führen, dass Sachbearbeiter X Kostenbefreiung gestattet und Sachbearbeiter Y nicht... :-( --JuanZorro 17:11, 23. Jun. 2010 (CEST)

Frage: Warum RFID?

Wer kann diese Frage logisch beantworten?

Für die Funktion bei der Beantragung von ... eines Antrags eben, kommt das Teil doch wohl ins Lesegerät.
Wozu soll dann der Funk-Chip noch gut sein. Wer kann das mal erklären? --Wiskyhotel
Du steckst den Personalausweis nicht in das Lesegerät, sondern hältst ihn an das Lesegerät hin. Der Ausweis hat keine Kontakte wie z.B. eine EC-Karte, das Auslesen erfolgt tatsächlich per Funk. Natürlich hat der Funk in diesem Fall keinen Vorteil, denn wenn man sowieso den Ausweis aus der Tasche holen muss, könnte man ihn auch gleich in ein "normales" kotaktbehaftetes Lesegerät stecken. Wenn du dich fragst, warum man die kontaktlose Variante gewählt hat - keine Ahnung. An der starken Lobby der RFID-Industrie liegt es aber sicherlich nicht. ;-) -- JustThomas 23:55, 14. Jul. 2010 (CEST)
Ok, aber nicht Unterschätzen. Auf EU-Ebene http://www.race-networkrfid.eu/ und http://www.iot-visitthefuture.eu/, sowie die Wirkung: EU-Empfehlung zu Privatsphäre und Datenschutz bei RFID. Hier Bibliothek/Gesetze_der_Europäischen_Union_V#Empfehlung_der_Kommission und Bewertung EU-Empfehlung Mai 2009. Letztlich ist _kontaktlos_ das Häkchen, welches die Probleme bereiten kann und wird. Schau mal hier http://www.nordicid.de/de/referenzen/whsmith.html -- Wiskyhotel

Verblüffenderweise ist das RFID Interface bei Chipkarten wesentlich schneller als das Kontaktinterface. Allerdings ist eine RFID Karte empfindlicher als eine Kontaktkarte, da die in der Karte eingebettete Antenne sehr empfindlich ist. Wer seine Daten auf dem Personalausweis gegen elektronischen Zugriff sichern will, sollte sich einige Male auf die Karte draufsetzen bis die Antenne kaputt ist (man kann auch einen RFID Zapper verwenden Bauanleitung dann kann man die Daten nicht mehr über die RFID Schnittstelle auslesen. So sperrt man die kommerzielle Anwendung Als Entwicklngsmanager von Smartcards kann ich versichern, dass es weder sichere Smartcards noch sichere Systeme gibt. Allerdings gibt es durchaus Anwendungen für die eine Smartcard genügend Sicherheit und Komfort bietet z.B. ec Karte. Wesentlich problematischer als der Personalausweis ist die Gesundheitskarte - interessanterweise mit Kontaktinterface, bei dem das Gesundheitsministerium mit völlig falschen Argumenten wirbt. Da beim Rollout viele Probleme auftreten und die Ärzte opponieren kann man diesen Unsinn eventuell noch stoppen. --Portaleco 01:17, 9. Okt. 2011 (CEST)

Zu den Fehlern im Flyer

„[Im ePerso-Flyer] sind aber ein paar technische Ungenauigkeiten drin. Die qualifizierte Digitale Signatur hat nichts mit eID zu tun, das sind getrennte Anwendungen. Die Chip Authentication selbst ist nicht für die Prüfung der Ausweisdaten zuständig, das wird über die Passive Authentication realisiert. Die hat ein eigenes Zertifikat (Schlüsselpaar). Auch die qualifizierte elektronische Signatur ist davon getrennt. Einem Bürger der kein QDS Zertifikat hat kann man auch keines unterschieben, auch nicht wenn man den geheimen Schlüssel des Zertifizierungsdienstleisters kennen würde, immerhin muss die Ausgabe des Zertifikats ja bei diesem protokolliert sein.“
Benutzer:eckes


Hallo, ich bin derjenige, der den beanstandeten Abschnitt im Flyertext geschrieben hat. Zunächst einmal danke, dass du uns die Fehler gemeldet hast. Ich habe daraufhin noch einmal recherchiert.

Als ich diesen Absatz für den Flyer geschrieben habe, habe ich mich an dem Vortrag von Henryk Plötz beim 26C3 orientiert.

In seinen Vortragsfolien schreibt er auf Seite 27:

  • "Keine Signatur auf den Datenfeldern, keine Bindung von CA-Schlüssel an Name, Adresse, etc."

In diesem Fall wäre es möglich gewesen, mit einem geknackten CA-Schlüssel Ausweiskopien auf beliebige Namen herzustellen und die eID-Funktion zu nutzen.

Das BSI macht hier allerdings andere Angaben:

„„Passive Authentication“ (Passive Authentisierung, PA) dient dazu, die Echtheit und Unverfälschtheit der Daten auf dem RF-Chip des Ausweisdokuments zu prüfen. Bei der Herstellung eines elektronischen Ausweisdokuments werden die im RF-Chip gespeicherten Daten digital signiert.
www.bsi.bund.de

Ich gebe dir daher vollkommen recht. Der Flyertext ist, was das betrifft, falsch. Um Ausweise zu klonen, müsste man schon an das Schlüsselpaar kommen, das der Ausweishersteller zum Signieren verwendet.

Zum Thema QES auf fremden Namen: H. Plötz schreibt auf Seite 26:

  • "Kann mit eID-PIN die QES-Anwendung initialisieren und ein Zertifikat beantragen"

und weiter auf Seite 27:

  • "Angriff [auf CA-Schlüssel] aufwendig/teuer (ca. 100kUSD-200kUSD)"
    • "Aber: Sehr großer Nutzen: Beliebige Ausweisdaten fälschen, QES-Zertifikate auf falschen Namen beantragen"

Offensichtlich geht er davon aus, dass man ein QES-Zertifikat online beantragen kann, nachdem man sich mit der eID-Funktion ausgewiesen hat. Sollte ein Zertifizierungsdienstleister das jemals anbieten, so wäre es möglich, QES-Zertifikate mit gefälschten oder gestohlenen Ausweisen zu beantragen.

Update (16.10.2010): Der Gesetzgeber hat die rechtlichen Voraussetzungen dafür geschaffen, dass elektronische Signaturen nach der Identitätsfeststellung mit Hilfe der eID ausgegeben werden dürfen. (Siehe hier)

Ich werde mich einmal mit der AG Werbemittel Bayern in Verbindung setzen und nachfragen, ob wir die Flyervorlage ändern. --JustThomas 19:12, 5. Sep. 2010 (CEST)

Zu den Fehlern in der Seite (Wiki)

Die Fehler, in der Überschrift so genannt, weil aus der letzten Überschrift kopiert :), bestehen meines Erachtens eher aus einem Mangel an Information. Die Rede ist von allgemeingültigen sachlichen Informationen im Sinne von Fakten, Fakten... usw.

Um dies Abzustellen wurde die Auflistung der Sicherheitsmerkmale eingefügt. Mir ist dabei klar, das die Site viel sachlich Info enthält, aber hier fehlt es etwas. Ich hoffe das passt. Grüße -- Wiskyhotel 16:46, 21. Sep. 2010 (CEST)

Fehler rund um ePA und Reader

Unter "Irgendwelche Hacker mögen immer irgendwas hacken können" weist der German Privacy Foundation e. V. darauf hin:
Zitat, Textausschnitt:

Hinweis: Für die Online-Abwicklung von Geschäftsprozessen, die eine rechtsgültige Unterschrift benötigen, ist der ePA nicht geeignet!. Er ist in der getesteten Version nicht kompatibel mit dem deutschen Signaturgesetz. Das steht im Widerspruch zur Werbkampagne für den ePA, die ihn als ideale Möglichkeit für sicheres Einkaufen im Internet bewirbt. Man wird wohl das Signaturgesetz ändern müssen und an den Ausweis anpassen.
Laut aktuell gültigem Signaturgesetz sind nur Kontakt-SmartCards mit Class-3-Readern für rechtsverbindliche Signaturen zugelassen. Der neue ePA bietet aber auch eine fernauslesbare RFID-Schnittstelle. Das ist (momentan) unzulässig. Die verschenkten Class-1-Reader sind eh ein Missgriff.

Info privacyfoundation.de -- Wiskyhotel 22:36, 25. Sep. 2010 (CEST)


Hinweis zum (Verhindern des) unbemerkten Auslesen

ein unbemerktes/ungewolltes Auslesen der ePAs ist einfach zu erreichen: in einer metallisierten Hülle ('Alufolie' o.Ä.) aufbewahren; soweit ich weiß, gibt das bereits für Pässe mit RDIF-Chips Georg v. Boroviczeny 10:38, 2. Okt. 2010 (CEST)

Zurück zur Seite „Elektronischer Personalausweis“.