Sicherheitsexperte führt Klonen von RFID-Reisepässen vor

Dieses Thema im Forum "Netzwelt" wurde erstellt von eFighter, 4. August 2006 .

Schlagworte:
  1. 4. August 2006
    Auf der Black Hat Sicherheitskonferenz in Las Vegas zeigt ein deutscher Sicherheitsexperte derzeit, wie auf RFID-Chips gespeicherte Daten kopiert und in ein anderes elektronisches Ausweisdokument eingelesen werden können.

    Folgt man den Ausführungen von Unternehmen und Behörden, sind die neuen elektronischen Reisepässe, bei denen Daten auf RFID-Chips gespeichert werden, sicher. Offensichtlich ist dies aber nicht der Fall: Nachdem bereits Anfang des Jahres Mitarbeiter einer niederländischen Sicherheitsfirma im Fernsehen gezeigt hatten, wie sich die zwischen Ausweisdokument und RFID-Lesegerät übertragenen Daten abhören und innerhalb weniger Stunden entschlüsseln lassen, führt ein deutscher Sicherheitsexperte derzeit auf der "Black Hat Briefings and Training USA 2006" in Las Vegas vor, wie die auf den RFID-Chips hinterlegten Daten kopiert und in ein anderes elektronisches Ausweisdokument eingelesen werden können.

    "Die derzeitige ePass-Architektur ist ein einziger Hirnschaden", echauffiert sich Lukas Grunwald gegenüber dem Online-Magazin Wired News. "Aus meiner Sicht sind RFID-Pässe eine riesige Geldverschwendung, da sie in keinerlei Hinsicht die Sicherheit erhöhen", erklärt der Geschäftsführer der Hildesheimer DN-Systems, ein auf IT-Sicherheitsprodukte und- Dienstleistungen spezialisiertes Beratungsunternehmen. Grunwald benötigte eigenen Angaben zufolge lediglich zwei Wochen, um herauszufinden, wie sich die elektronischen Daten eines RFID-Passes auslesen, klonen und auf einen anderen Chip übertragen lassen – auch auf Smartcards, die dann für Zutrittsberechtigungen genutzt werden könnten.

    Grunwald bediente sich bei seinen Recherchen vor allem aus offiziellen Dokumenten der internationalen Luftfahrtbehörde ICAO, in denen die Systemstandards für ePässe beschrieben sind. Als Lese- und Schreibgerät nutzt der Sicherheitsexperte einen für Grenzkontrollen offiziell zugelassenen RFID-Reader der deutschen ACG Identification Technologies. Als Software kommt das "Golden Reader Tool" (GRT) zum Einsatz, das den Anforderungen der ICAO entspricht. Nachdem Grunwald die Daten eines RFID-Passes mittels dieser Hard- und Software ausgelesen hat, brennt er zunächst das ICAO-Layout auf einen neuen RFID-Tag, sodass die Basisstruktur des Chips den offiziellen Anforderungen entspricht. In einem nächsten Schritt wird der Chip dann über das selbst entwickelte Programm RFDump mit den kopierten Daten gefüttert.

    Laut Grunwald erhält man so ein Dokument, das elektronische Pass-Lesegeräte nicht vom Original unterscheiden können. Lediglich Änderungen der Daten (etwa Name oder Geburtsdatum) fallen auf, da diese über Kryptoschlüssel zusätzlich gesichert sind. Straftäter könnten derart manipulierte Pässe aber durchaus nutzen, um an automatisierten Grenzkontrollen eine elektronische Fahndungsabfrage zur eigenen Person zu umgehen. Auffallen würde der Eingriff allerdings, wenn ein Grenzbeamter das Lichtbild und die gedruckten Passdaten mit den auf dem Chip abgelegten digitalen Daten vergleicht. Ziel der Einführung von elektronischen Reisepässen ist aber nicht zuletzt, den Personalaufwand für Kontrollen im Grenzverkehr künftig deutlich einzuschränken.

    QUELLE
     
    + Multi-Zitat Zitieren
  3. 4. August 2006
    Deutscher kopiert Daten des fälschungssicheren biometrischen Reisepasses

    Link:

    Die neuen biometrischen Reisepässe können kopiert werden. Ein deutscher Forscher hat die Technik in nur zwei Wochen überlistet.

    Der deutsche IT-Sicherheitsfachmann Lukas Grünwald hat auf der US-Fachmesse «Black Hat Conference» in Las Vegas demonstriert, wie leicht die neuen Pässe geklont werden können.

    Grünwald zeigte, wie die auf RFID-Chips hinterlegten Daten kopiert und in ein anderes elektronisches Ausweisdokument ausgelesen werden können. RFID-Chips sind in die Pässen integriert. Zwar könne man die so erhaltenen Daten aufgrund einer digitalen Signatur nicht verändern, so der Experte. Doch reichen sie aus, um gegenüber elektronischen Lesegeräten eine falsche Identität vorzutäuschen.

    Ein Hirnschaden

    Der IT-Experte nannte die derzeitige E-Pass-Technik im Fachmagazin «Wired» einen «Hirnschaden». Es habe ihn nur zwei Wochen gekostet, die angeblich fälschungssicheren Ausweise zu hacken, die Daten auszulesen und auf einen anderen Chip zu übertragen.

    Schon Anfang 2006 war es Mitarbeitern einer holländischen Sicherheitsfirma gelungen, die Verschlüsselung des holländischen elektronischen Passes mit einem gewöhnlichen Computer zu hacken.

    Die biometrischen Reisepässe wurden November 2005 aufgrund einer EU-Verordnung in Deutschland eingeführt. Der Chip im E-Pass enthält die üblichen Passdaten und das Lichtbild. Ab März 2007 sollen zusätzlich zwei Fingerabdrücke digital gespeichert werden. (nz)
     
    + Multi-Zitat Zitieren
  4. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten