Neuer Personalausweis

mistermint · 01.09.2010, 22:12

Hallo,

habe gerad wieder so ne Werbung für den neuen Perso gesehen.

Auf den Perso sind die Daten auf nem Chip gespeichert die mittels Lesegerät an den Pc übermittelt werden können, aber wie realisiere ich dann z.b, eine Anmeldung, wenn ich die Daten des Persos nutzen will??

Manko10 · 01.09.2010, 22:23

Per Lesegerät und entsprechender Software. Jedenfalls das Basislesegerät ist jedoch hochgradig unsicher und ich empfehle dir, das Angebot wahrzunehmen, dir bis 1. November noch einen alten Perso ausstellen zu lassen. Zumindest hier bei uns geht das, auch ohne dass man ihn verloren hat.
Unserer rückständige Regierung und unser ach so computeraffiner Innenminister schwören zwar auf die Sicherheit des neuen Persos und fänden es ganz toll, wenn du alle deine Daten auf dem Chip speichern ließest, aber ein eingeschlichener Keylogger auf deinem PC reicht aus, um deine gesamte amtliche Identität zu stehlen. Diese Bedenken haben Ministeriumssprecher zwar zu „zerstreuen“ versucht, indem sie auf die schützende Funktionalität von Virenscannern und Softwarefirewalls hingewiesen haben, aber jeder einigermaßen computererfahrene Nutzer weiß, dass bei einem gezielten Angriff wie auch bei ungezielten Bedrohungen neuer Art ein Virenschutz und eine Firewall herzlich wenig Schutz bieten, das sieht die Politik jedoch nicht ein und dir wird der neue Perso somit vorsätzlich unter Vorspielung falscher Tatsachen untergeschoben, meiner Meinung nach höchst illegal.
Mit der Einführung des neuen Perso hat die Politik auch einen lukrativen Markt für Identitätenhandel eröffnet, durch den Schäden in Milliardenhöhe sowie eine erhebliche Schädigung des Ansehens betroffener Personen entstehen könnten.

Flor1an · 01.09.2010, 22:29

Ansich musst du dich erstmal von einer offiziellen Stelle zertifizieren lassen, heißt du musst Datenschutzbestimmungen unterschreiben und ähnliches tun. Der User braucht dann ein Lesegerät an seinem PC damit er den Ausweis eben lesen kann. Zu lesen hier: Der neue Personalausweis - Anbieter

Bei der technischen Seite sieht es so aus das auf dem Client PC eine Software läuft die eben über das Lesegerät mit dem Chip auf dem Ausweis kommuniziert und du auf dem Server eine Software hast die dann entsprechend mit der Clientsoftware kommuniziert. Der Server kann dann so Dinge wie Sperrlisten abgleichen oder neue Rootzertifikate zu aktualisieren.

Ganz einfach ist das nicht und für eine private Homepage sicherlich auch nichts.

@Manko10: Wenn du aber nen Keylogger oder ähnliches auf deinem PC hast, dann wirst du sicherlich aber auch andere sehr sensible Daten verlieren! Name/Adresse/Geburtsdatum etc. sind wahrscheinlich auf den meisten PCs vorhanden.

Der Ausweis selber ist eigentlich schon sicher. Wenn natürlich auf dem Übertragungsweg nen MitM sitzt dann kann man da nichts machen, das hat aber dann nichts mit dem Perso selbst zutun.

Manko10 · 01.09.2010, 22:40

Weitere Informationen:
CCC deckt Sicherheitslücken beim neuen Personalausweis auf | Nachrichten - Der Nachrichten Channel
PlusMinus erklärt den ePerso : netzpolitik.org

Und zu guter Letzt: heise online - De Maizière hält Personalausweis für sicher
By the way:

Zitat:

De Maizière sagte dazu, es sei möglich, aber unwahrscheinlich, dass Hacker mit hoher krimineller Energie bei einfachen Lesegeräten den PIN-Code ausspähen. "Damit ist aber das Rechtsgeschäft im Internet noch nicht gefährdet und die eigene Identität nicht missbrauchbar, denn der Angreifer benötigt immer noch den Ausweis selbst", sagte der Innenminister. Außerdem könne jeder Besitzer des neuen Personalausweises eine neue PIN anfordern oder den Ausweis für die Online-Anwendung über eine Hotline sofort sperren lassen.

Dass das Blödsinn ist, ist offensichtlich. a) wenn die offizielle Software den Ausweis lesen kann lässt sich auch auf anderem Wege nicht nur die PIN sondern je nach Architektur evtl. auch ein Datenstream vom Perso auslesen, spätestens sobald die Lesesoftware selbst geknackt ist, somit hat man bereits eine virtuelle Kopie b) ist der potentielle Aufenthaltsort des physikalischen Persos ebenso bekannt und c) ist niemand mit krimineller Energie und etwas Verstand so blöd, dem Nutzer ein Popup-Fesnter zu servieren mit dem Inhalt „Hey, ich habe gerade deinen Perso geklaut!“.

Wolla · 01.09.2010, 22:42

Die Gefahr ist einfach beschrieben.

Der Personalausweis ist so gestaltet, dass man authentifizierte Daten über das Web übertragen kann und die Gegenstelle sicher ist, mit wem sie es zu tun hat. So kann man z.B. Kaufverträge abschließen und Bankgeschäfte erledigen.

Soweit die Theorie.

Nun zur Praxis. Es gibt Lesegeräte mit Tastatur, die im Preissegment von 50-80 Euro erwartet werden, und es gibt solche ohne eigene Tastatur, die sehr viel preiswerter sein werden (man spricht sogar davon, dass 1 Million solcher Billiggeräte gratis verteilt werden sollen).
Wenn nun eine Authentifizierung mit dem Perso durchgeführt werden soll, dann überträgt das Lesegerät die auf dem Chip gespeicherten Daten nur dann, wenn das richtige Passwort eingegeben wurde. Sofern das Passwort auf der Tastatur des Lesegeräts eingegeben wird, ist ein Loggen nicht möglich. Wird das Passwort aber auf dem PC eingegeben und zum Lesegerät übertragen, dann kann ein vorhandener Wurm/Keylogger dies Passwort mithören und zunächst in einer Crackerdatenbank speichern. Diese Daten könnten auf dem schwarzen markt dann vertrieben werden.
Gibt ein Betroffener nun seinen Perso irgendwann später einmal aus der hand, z.B. als Pfand bei einem Bootsverleih, und hat der Verleiher sich das Passwort besorgt, so könnte er mit dem fremden Perso Geschäfte abwickeln.

Wie groß die Gefahr wirklich ist, dass das so kommen wird, das muss jeder für sich entscheiden.

Manko10 · 01.09.2010, 22:51

Und jetzt bleibt noch die Frage offen, wie lange es dauert, bis das Lesegerät selbst entschlüsselt ist. Ich weiß nicht, wie stark die Kryptographie ist, aber ich weiß, wie die Politik mit ihren Daten umgeht und da auch öffentliche Stellen den Perso lesen können, wird es wohl nicht lange dauern, bis in irgendwelchen Zügen wieder eine CD mit Master-PKs rumliegt.

Beitrag editiert:
[…] BTW

Zitat:

Gibt ein Betroffener nun seinen Perso irgendwann später einmal aus der hand, z.B. als Pfand bei einem Bootsverleih

Das wird so wohl nicht passieren, da hierfür das Gesetzt geändert werden soll, sodass ein Bußgeld droht, wenn der neue Perso als Pfand verlangt wird, aber das ist ja auch gar nicht nötig, da niemand seinen Perso 24/7 bei sich trägt.

Flor1an · 01.09.2010, 23:21

Wenn die Master-PKs öffentlich werden nutzt das ganze System natürlich gar nichts. Das ganze ist aber das selbe Spiel mit SSL/TLS.

Aber diese ganzen Sicherheitslücken sind alle nicht Probleme des ePa sondern allgemeine Probleme die immer anzutreffen werden sein! Von daher finde ich die Behauptung der ePa selbst wäre unsicher nicht passend.

Manko10 · 01.09.2010, 23:38

Hauptsächlich unsicher sind die Basislesegeräte und unsicher ist es auch, eine Technologie zu nutzen, die für diesen Staatsapparat anscheinend nicht geeignet ist.
Ich halte solcherlei Technik sowieso generell für ungeeignet, wenn mindestens an einem Ende der Faktor „unbedarfter Benutzer“ sitzt. Das lukrative geschäft des Phishings beim Online-Banking ist ja mittlerweile bekannt, aber hier gleich auch noch Identitäten stehlen zu können, ist ungleich interessanter (zumal man damit evtl. auch zusätzlich noch Zugriff auf diverse Konten hat).

nikosch · 01.09.2010, 23:41

Die Krypto soll angeblich ganz gut sein. Aber die Problematik mit den Lesegeräten ist wirklich gegeben. Ganz zu schweigen von unfähigem Personal in den Amtsstuben (Hand hoch, wer die nicht kennt).

Ich kann nur jedem raten, Mankos Ratschlag zu folgen. Auch wegen des biometrischen Bildes. Das habe ich zu Zeiten der Einführung des neuen Passes übrigens auch getan.
Oder wie es unlängst jemand formuliert hat: Kaufe nie die erste Version.

Wolla · 02.09.2010, 11:16

Nun gibt es ja schon seit zig Jahren solche PC-lesbaren Krankenversicherungskarten mit extrem wertvollen Informationen. Auf die kann man ohne jedwede Sicherheitshürden zugreifen und Adresse sowie Name des Versicherers auslesen.
Mir ist nicht bekannt, dass es jemals einen Angriff auf diese Lesegeräte gegeben hat, obwohl der durchschnittliche Durchlauf in einer mittelgroßen Praxis pro Monat doch Daten mit einem Wert in fünfstelliger Höhe produziert.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

LinkBacks (?) LinkBack to this Thread: http://www.php.de/off-topic-diskussionen/71386-neuer-personalausweis.html
Erstellt von	For	Type	Datum
Das Imperium schlägt zurück: Ziercke fordert Internetsperren : netzpolitik.org	This thread	Refback	01.09.2010 23:37

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Sockets -&gt; Prüfen, ob ein neuer Client verbindet?	Duesi	PHP Tipps 2009	3	07.07.2009 22:25
[Erledigt] Bei Aktualisierung der meiner Seite wird immer neuer Datensatz eingetragen	Kamazur	PHP Tipps 2008	5	14.10.2008 13:55
Daten in neuer Seite ausgeben		PHP Tipps 2006	5	20.02.2006 21:47
Neuer PC	test022	Off-Topic Diskussionen	12	22.11.2005 08:11
neuer Laptop	faultier	Off-Topic Diskussionen	13	15.09.2005 15:58
Neuer server anbieter		PHP Tipps 2005-2	5	07.09.2005 21:35
neuer ordner in anderem verzeichnis	lindner	PHP Tipps 2005-2	1	05.09.2005 10:11
[Erledigt] Neuer GB fehler..!!!		PHP Tipps 2005-2	30	13.08.2005 10:37
Neuer Computer	Buhmann	Off-Topic Diskussionen	31	18.06.2005 17:41
Neuer Strato Server apache 2 Mod Rewrite & htaccess Prob	Stemmi	Server, Hosting und Workstations	4	02.05.2005 00:29
(Kein) neuer Beitrag-Anzeige in einem Forum		PHP Tipps 2004-2	3	15.12.2004 12:33
[Erledigt] Frage - JS ausführen -&amp;amp;amp;gt; neuer Eintrag in MySQL vorhanden.		HTML, Usability und Barrierefreiheit	2	27.11.2004 22:11
Warenkorb - neuer Session Datensatz!	Broadcast	PHP Tipps 2004	7	29.10.2004 18:05

01.09.2010, 22:12
mistermint Erfahrener Benutzer Registriert seit: 19.01.2009 Beiträge: 247	Neuer Personalausweis Hallo, habe gerad wieder so ne Werbung für den neuen Perso gesehen. Auf den Perso sind die Daten auf nem Chip gespeichert die mittels Lesegerät an den Pc übermittelt werden können, aber wie realisiere ich dann z.b, eine Anmeldung, wenn ich die Daten des Persos nutzen will??


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

01.09.2010, 22:23
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Per Lesegerät und entsprechender Software. Jedenfalls das Basislesegerät ist jedoch hochgradig unsicher und ich empfehle dir, das Angebot wahrzunehmen, dir bis 1. November noch einen alten Perso ausstellen zu lassen. Zumindest hier bei uns geht das, auch ohne dass man ihn verloren hat. Unserer rückständige Regierung und unser ach so computeraffiner Innenminister schwören zwar auf die Sicherheit des neuen Persos und fänden es ganz toll, wenn du alle deine Daten auf dem Chip speichern ließest, aber ein eingeschlichener Keylogger auf deinem PC reicht aus, um deine gesamte amtliche Identität zu stehlen. Diese Bedenken haben Ministeriumssprecher zwar zu „zerstreuen“ versucht, indem sie auf die schützende Funktionalität von Virenscannern und Softwarefirewalls hingewiesen haben, aber jeder einigermaßen computererfahrene Nutzer weiß, dass bei einem gezielten Angriff wie auch bei ungezielten Bedrohungen neuer Art ein Virenschutz und eine Firewall herzlich wenig Schutz bieten, das sieht die Politik jedoch nicht ein und dir wird der neue Perso somit vorsätzlich unter Vorspielung falscher Tatsachen untergeschoben, meiner Meinung nach höchst illegal. Mit der Einführung des neuen Perso hat die Politik auch einen lukrativen Markt für Identitätenhandel eröffnet, durch den Schäden in Milliardenhöhe sowie eine erhebliche Schädigung des Ansehens betroffener Personen entstehen könnten. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems” Geändert von Manko10 (01.09.2010 um 22:27 Uhr).

01.09.2010, 22:29
Flor1an ¯\_(ツ)_/¯ Registriert seit: 18.06.2008 Beiträge: 8.814 PHP-Kenntnisse: Fortgeschritten	Ansich musst du dich erstmal von einer offiziellen Stelle zertifizieren lassen, heißt du musst Datenschutzbestimmungen unterschreiben und ähnliches tun. Der User braucht dann ein Lesegerät an seinem PC damit er den Ausweis eben lesen kann. Zu lesen hier: Der neue Personalausweis - Anbieter Bei der technischen Seite sieht es so aus das auf dem Client PC eine Software läuft die eben über das Lesegerät mit dem Chip auf dem Ausweis kommuniziert und du auf dem Server eine Software hast die dann entsprechend mit der Clientsoftware kommuniziert. Der Server kann dann so Dinge wie Sperrlisten abgleichen oder neue Rootzertifikate zu aktualisieren. Ganz einfach ist das nicht und für eine private Homepage sicherlich auch nichts. @Manko10: Wenn du aber nen Keylogger oder ähnliches auf deinem PC hast, dann wirst du sicherlich aber auch andere sehr sensible Daten verlieren! Name/Adresse/Geburtsdatum etc. sind wahrscheinlich auf den meisten PCs vorhanden. Der Ausweis selber ist eigentlich schon sicher. Wenn natürlich auf dem Übertragungsweg nen MitM sitzt dann kann man da nichts machen, das hat aber dann nichts mit dem Perso selbst zutun. __________________ ▇█▓▒░◕‿‿◕░▒▓█▇ Geändert von Flor1an (01.09.2010 um 22:35 Uhr).

01.09.2010, 22:42
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.849 PHP-Kenntnisse: Fortgeschritten	Die Gefahr ist einfach beschrieben. Der Personalausweis ist so gestaltet, dass man authentifizierte Daten über das Web übertragen kann und die Gegenstelle sicher ist, mit wem sie es zu tun hat. So kann man z.B. Kaufverträge abschließen und Bankgeschäfte erledigen. Soweit die Theorie. Nun zur Praxis. Es gibt Lesegeräte mit Tastatur, die im Preissegment von 50-80 Euro erwartet werden, und es gibt solche ohne eigene Tastatur, die sehr viel preiswerter sein werden (man spricht sogar davon, dass 1 Million solcher Billiggeräte gratis verteilt werden sollen). Wenn nun eine Authentifizierung mit dem Perso durchgeführt werden soll, dann überträgt das Lesegerät die auf dem Chip gespeicherten Daten nur dann, wenn das richtige Passwort eingegeben wurde. Sofern das Passwort auf der Tastatur des Lesegeräts eingegeben wird, ist ein Loggen nicht möglich. Wird das Passwort aber auf dem PC eingegeben und zum Lesegerät übertragen, dann kann ein vorhandener Wurm/Keylogger dies Passwort mithören und zunächst in einer Crackerdatenbank speichern. Diese Daten könnten auf dem schwarzen markt dann vertrieben werden. Gibt ein Betroffener nun seinen Perso irgendwann später einmal aus der hand, z.B. als Pfand bei einem Bootsverleih, und hat der Verleiher sich das Passwort besorgt, so könnte er mit dem fremden Perso Geschäfte abwickeln. Wie groß die Gefahr wirklich ist, dass das so kommen wird, das muss jeder für sich entscheiden. __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

01.09.2010, 23:21
Flor1an ¯\_(ツ)_/¯ Registriert seit: 18.06.2008 Beiträge: 8.814 PHP-Kenntnisse: Fortgeschritten	Wenn die Master-PKs öffentlich werden nutzt das ganze System natürlich gar nichts. Das ganze ist aber das selbe Spiel mit SSL/TLS. Aber diese ganzen Sicherheitslücken sind alle nicht Probleme des ePa sondern allgemeine Probleme die immer anzutreffen werden sein! Von daher finde ich die Behauptung der ePa selbst wäre unsicher nicht passend. __________________ ▇█▓▒░◕‿‿◕░▒▓█▇

01.09.2010, 23:38
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Hauptsächlich unsicher sind die Basislesegeräte und unsicher ist es auch, eine Technologie zu nutzen, die für diesen Staatsapparat anscheinend nicht geeignet ist. Ich halte solcherlei Technik sowieso generell für ungeeignet, wenn mindestens an einem Ende der Faktor „unbedarfter Benutzer“ sitzt. Das lukrative geschäft des Phishings beim Online-Banking ist ja mittlerweile bekannt, aber hier gleich auch noch Identitäten stehlen zu können, ist ungleich interessanter (zumal man damit evtl. auch zusätzlich noch Zugriff auf diverse Konten hat). __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems” Geändert von Manko10 (01.09.2010 um 23:42 Uhr).

01.09.2010, 23:41
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.241 PHP-Kenntnisse: Fortgeschritten	Die Krypto soll angeblich ganz gut sein. Aber die Problematik mit den Lesegeräten ist wirklich gegeben. Ganz zu schweigen von unfähigem Personal in den Amtsstuben (Hand hoch, wer die nicht kennt). Ich kann nur jedem raten, Mankos Ratschlag zu folgen. Auch wegen des biometrischen Bildes. Das habe ich zu Zeiten der Einführung des neuen Passes übrigens auch getan. Oder wie es unlängst jemand formuliert hat: Kaufe nie die erste Version. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

02.09.2010, 11:16
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.849 PHP-Kenntnisse: Fortgeschritten	Nun gibt es ja schon seit zig Jahren solche PC-lesbaren Krankenversicherungskarten mit extrem wertvollen Informationen. Auf die kann man ohne jedwede Sicherheitshürden zugreifen und Adresse sowie Name des Versicherers auslesen. Mir ist nicht bekannt, dass es jemals einen Angriff auf diese Lesegeräte gegeben hat, obwohl der durchschnittliche Durchlauf in einer mittelgroßen Praxis pro Monat doch Daten mit einem Wert in fünfstelliger Höhe produziert. __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?