Kryptologieverfahren sichern Funkschnittstelle ab
Am 18. Dezember 2008 hat der Deutsche Bundestag die Einführung des elektronischen Personalausweises beschlossen. Dieser wird in Scheckkartengröße ab November 2010 ausgegeben. Die biografischen Daten und ein optionaler Fingerabdruck werden zusätzlich auf einem integrierten RFID-Chip gespeichert. Ausgeklügelte Sicherheitsmechanismen sollen die unerlaubte Auslesung der Daten verhindern. „Grundsätzlich gibt es beim neuen Personalausweis (nPA) keinen Unterschied im elektronischen Bereich zum ePass. Eingesetzt wird dieselbe Chiptechnologie und die gleichen Schutzmechanismen", erklärt Andreas Reisen, Leiter im Referat für Pass- und Ausweiswesen des BMI, gegenüber „RFID im Blick".
Schnittstellen erfolgen laut Reisen nach ISO 14443, welche eine RFID-Funkschnittstelle im NFC-Bereich beschreibt. Die Chips können also nur aus einer Entfernung von bis zu 20 Zentimetern angesprochen werden. Die Zugriffsmenchanismen im Vergleich zum ePass seien identisch bis auf eine Ausnahme: Beim ePass kann ein Kontrolleur, nachdem er die maschinenlesbare Zone (MRZ) optisch gescannt hat (beispielsweise im Rahmen einer Grenzkontrolle), Zugriff auf die Daten des Chips erhalten, allerdings mit Ausnahme der Fingerabdrücke. Das heißt der Kontrolleur hat, wenn er der Pass ausgehändigt bekommt, Zugang zum Lichtbild und den biografischen Daten. Für die Fingerabdrücke bräuchte er ein zusätzliches Berechtigungszertifikat. Beim Personalausweis sei das Auslesen aber selbst bei Kenntnis der MRZ nicht möglich. Hierfür müssten für alle Daten - also nicht nur für die Fingerabdrücke - ein solches Berechtigungszertifikat vorliegen.
Der Chip speichert alle Daten, die auf dem nPA sichtbar sind. Fingerabdrücke nur auf Wunsch, das Lichtbild aber ist verpflichtend. Der nPA werde in erster Linie durch die Zugriffskontrolle EAC (Extended Access Control) geschützt, das insbesondere die schon erwähnten Berechtigungszertifikate verlangt.
Einen zusätzlichen Schutz biete der Sicherheitsmechanismus PACE (Password Authenticated Connection Establishment), welcher zusätzlich die Funkschnittstelle verschlüsselt. Durch einen mathematischen Konstruktionsbeweis sei inzwischen bewiesen worden, dass dieses Verfahren krytografisch sicher sei. Die Algorithmen, die EAC und PACE Verwendung finden, wurden vom BSI konzipiert und evaluiert und werden weit über die Gültigkeit eines Personalausweises hinaus als sicher eingeschätzt.
RFID-Monitor zum Thema "Sicherheit in Kartensystemen"
Das Thema "Sicherheit in Kartensystemen" behandelt eine aktuelle Umfrage, die von „RFID im Blick" in Kooperation mit PAV initiiert wurde. Teilnehmen können Sie über den „RFID-Monitor".
Bild: Bundesministerium des Innern
Die RFID-Technologie ist ausgereift. Standards für die gängigen Systeme sind verfügbar. Und für alle Anwendungen unterschiedlichst...
