Ankündigung

Einklappen
Keine Ankündigung bisher.

Neuer Personalausweis

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Neuer Personalausweis

    Hallo,

    habe gerad wieder so ne Werbung für den neuen Perso gesehen.

    Auf den Perso sind die Daten auf nem Chip gespeichert die mittels Lesegerät an den Pc übermittelt werden können, aber wie realisiere ich dann z.b, eine Anmeldung, wenn ich die Daten des Persos nutzen will??


  • #2
    Per Lesegerät und entsprechender Software. Jedenfalls das Basislesegerät ist jedoch hochgradig unsicher und ich empfehle dir, das Angebot wahrzunehmen, dir bis 1. November noch einen alten Perso ausstellen zu lassen. Zumindest hier bei uns geht das, auch ohne dass man ihn verloren hat.
    Unserer rückständige Regierung und unser ach so computeraffiner Innenminister schwören zwar auf die Sicherheit des neuen Persos und fänden es ganz toll, wenn du alle deine Daten auf dem Chip speichern ließest, aber ein eingeschlichener Keylogger auf deinem PC reicht aus, um deine gesamte amtliche Identität zu stehlen. Diese Bedenken haben Ministeriumssprecher zwar zu „zerstreuen“ versucht, indem sie auf die schützende Funktionalität von Virenscannern und Softwarefirewalls hingewiesen haben, aber jeder einigermaßen computererfahrene Nutzer weiß, dass bei einem gezielten Angriff wie auch bei ungezielten Bedrohungen neuer Art ein Virenschutz und eine Firewall herzlich wenig Schutz bieten, das sieht die Politik jedoch nicht ein und dir wird der neue Perso somit vorsätzlich unter Vorspielung falscher Tatsachen untergeschoben, meiner Meinung nach höchst illegal.
    Mit der Einführung des neuen Perso hat die Politik auch einen lukrativen Markt für Identitätenhandel eröffnet, durch den Schäden in Milliardenhöhe sowie eine erhebliche Schädigung des Ansehens betroffener Personen entstehen könnten.
    Refining Linux: “Performing Push Backups – Part 1: rdiff-backup

    Kommentar


    • #3
      Ansich musst du dich erstmal von einer offiziellen Stelle zertifizieren lassen, heißt du musst Datenschutzbestimmungen unterschreiben und ähnliches tun. Der User braucht dann ein Lesegerät an seinem PC damit er den Ausweis eben lesen kann. Zu lesen hier: Der neue Personalausweis - Anbieter

      Bei der technischen Seite sieht es so aus das auf dem Client PC eine Software läuft die eben über das Lesegerät mit dem Chip auf dem Ausweis kommuniziert und du auf dem Server eine Software hast die dann entsprechend mit der Clientsoftware kommuniziert. Der Server kann dann so Dinge wie Sperrlisten abgleichen oder neue Rootzertifikate zu aktualisieren.

      Ganz einfach ist das nicht und für eine private Homepage sicherlich auch nichts.

      @Manko10: Wenn du aber nen Keylogger oder ähnliches auf deinem PC hast, dann wirst du sicherlich aber auch andere sehr sensible Daten verlieren! Name/Adresse/Geburtsdatum etc. sind wahrscheinlich auf den meisten PCs vorhanden.

      Der Ausweis selber ist eigentlich schon sicher. Wenn natürlich auf dem Übertragungsweg nen MitM sitzt dann kann man da nichts machen, das hat aber dann nichts mit dem Perso selbst zutun.

      Kommentar


      • #4
        Weitere Informationen:
        CCC deckt Sicherheitslücken beim neuen Personalausweis auf | Nachrichten - Der Nachrichten Channel
        PlusMinus erklärt den ePerso : netzpolitik.org

        Und zu guter Letzt: heise online - De Maizière hält Personalausweis für sicher
        By the way:
        De Maizière sagte dazu, es sei möglich, aber unwahrscheinlich, dass Hacker mit hoher krimineller Energie bei einfachen Lesegeräten den PIN-Code ausspähen. "Damit ist aber das Rechtsgeschäft im Internet noch nicht gefährdet und die eigene Identität nicht missbrauchbar, denn der Angreifer benötigt immer noch den Ausweis selbst", sagte der Innenminister. Außerdem könne jeder Besitzer des neuen Personalausweises eine neue PIN anfordern oder den Ausweis für die Online-Anwendung über eine Hotline sofort sperren lassen.
        Dass das Blödsinn ist, ist offensichtlich. a) wenn die offizielle Software den Ausweis lesen kann lässt sich auch auf anderem Wege nicht nur die PIN sondern je nach Architektur evtl. auch ein Datenstream vom Perso auslesen, spätestens sobald die Lesesoftware selbst geknackt ist, somit hat man bereits eine virtuelle Kopie b) ist der potentielle Aufenthaltsort des physikalischen Persos ebenso bekannt und c) ist niemand mit krimineller Energie und etwas Verstand so blöd, dem Nutzer ein Popup-Fesnter zu servieren mit dem Inhalt „Hey, ich habe gerade deinen Perso geklaut!“.
        Refining Linux: “Performing Push Backups – Part 1: rdiff-backup

        Kommentar


        • #5
          Die Gefahr ist einfach beschrieben.

          Der Personalausweis ist so gestaltet, dass man authentifizierte Daten über das Web übertragen kann und die Gegenstelle sicher ist, mit wem sie es zu tun hat. So kann man z.B. Kaufverträge abschließen und Bankgeschäfte erledigen.

          Soweit die Theorie.

          Nun zur Praxis. Es gibt Lesegeräte mit Tastatur, die im Preissegment von 50-80 Euro erwartet werden, und es gibt solche ohne eigene Tastatur, die sehr viel preiswerter sein werden (man spricht sogar davon, dass 1 Million solcher Billiggeräte gratis verteilt werden sollen).
          Wenn nun eine Authentifizierung mit dem Perso durchgeführt werden soll, dann überträgt das Lesegerät die auf dem Chip gespeicherten Daten nur dann, wenn das richtige Passwort eingegeben wurde. Sofern das Passwort auf der Tastatur des Lesegeräts eingegeben wird, ist ein Loggen nicht möglich. Wird das Passwort aber auf dem PC eingegeben und zum Lesegerät übertragen, dann kann ein vorhandener Wurm/Keylogger dies Passwort mithören und zunächst in einer Crackerdatenbank speichern. Diese Daten könnten auf dem schwarzen markt dann vertrieben werden.
          Gibt ein Betroffener nun seinen Perso irgendwann später einmal aus der hand, z.B. als Pfand bei einem Bootsverleih, und hat der Verleiher sich das Passwort besorgt, so könnte er mit dem fremden Perso Geschäfte abwickeln.

          Wie groß die Gefahr wirklich ist, dass das so kommen wird, das muss jeder für sich entscheiden.
          PHP-Code:
          if ($var != 0) {
            
          $var 0;

          Kommentar


          • #6
            Und jetzt bleibt noch die Frage offen, wie lange es dauert, bis das Lesegerät selbst entschlüsselt ist. Ich weiß nicht, wie stark die Kryptographie ist, aber ich weiß, wie die Politik mit ihren Daten umgeht und da auch öffentliche Stellen den Perso lesen können, wird es wohl nicht lange dauern, bis in irgendwelchen Zügen wieder eine CD mit Master-PKs rumliegt.

            Beitrag editiert:
            […] BTW
            Gibt ein Betroffener nun seinen Perso irgendwann später einmal aus der hand, z.B. als Pfand bei einem Bootsverleih
            Das wird so wohl nicht passieren, da hierfür das Gesetzt geändert werden soll, sodass ein Bußgeld droht, wenn der neue Perso als Pfand verlangt wird, aber das ist ja auch gar nicht nötig, da niemand seinen Perso 24/7 bei sich trägt.
            Refining Linux: “Performing Push Backups – Part 1: rdiff-backup

            Kommentar


            • #7
              Wenn die Master-PKs öffentlich werden nutzt das ganze System natürlich gar nichts. Das ganze ist aber das selbe Spiel mit SSL/TLS.

              Aber diese ganzen Sicherheitslücken sind alle nicht Probleme des ePa sondern allgemeine Probleme die immer anzutreffen werden sein! Von daher finde ich die Behauptung der ePa selbst wäre unsicher nicht passend.

              Kommentar


              • #8
                Hauptsächlich unsicher sind die Basislesegeräte und unsicher ist es auch, eine Technologie zu nutzen, die für diesen Staatsapparat anscheinend nicht geeignet ist.
                Ich halte solcherlei Technik sowieso generell für ungeeignet, wenn mindestens an einem Ende der Faktor „unbedarfter Benutzer“ sitzt. Das lukrative geschäft des Phishings beim Online-Banking ist ja mittlerweile bekannt, aber hier gleich auch noch Identitäten stehlen zu können, ist ungleich interessanter (zumal man damit evtl. auch zusätzlich noch Zugriff auf diverse Konten hat).
                Refining Linux: “Performing Push Backups – Part 1: rdiff-backup

                Kommentar


                • #9
                  Die Krypto soll angeblich ganz gut sein. Aber die Problematik mit den Lesegeräten ist wirklich gegeben. Ganz zu schweigen von unfähigem Personal in den Amtsstuben (Hand hoch, wer die nicht kennt).

                  Ich kann nur jedem raten, Mankos Ratschlag zu folgen. Auch wegen des biometrischen Bildes. Das habe ich zu Zeiten der Einführung des neuen Passes übrigens auch getan.
                  Oder wie es unlängst jemand formuliert hat: Kaufe nie die erste Version.
                  --

                  „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                  Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                  --

                  Kommentar


                  • #10
                    Nun gibt es ja schon seit zig Jahren solche PC-lesbaren Krankenversicherungskarten mit extrem wertvollen Informationen. Auf die kann man ohne jedwede Sicherheitshürden zugreifen und Adresse sowie Name des Versicherers auslesen.
                    Mir ist nicht bekannt, dass es jemals einen Angriff auf diese Lesegeräte gegeben hat, obwohl der durchschnittliche Durchlauf in einer mittelgroßen Praxis pro Monat doch Daten mit einem Wert in fünfstelliger Höhe produziert.
                    PHP-Code:
                    if ($var != 0) {
                      
                    $var 0;

                    Kommentar


                    • #11
                      Mal abgesehen davon hat mir noch niemand erklärt, wieso ich mit dem neuen Perso unbedingt im Web aktiv werden soll.
                      Das SMS-Verfahren meiner Bank ist an Sicherheit nicht zu toppen, und Einkäufe bei Ebay oder anderen Shops sind bisher nicht daran gescheitert, weil der Verkäufer unsicher war, ob ich ein Fake bin.
                      PHP-Code:
                      if ($var != 0) {
                        
                      $var 0;

                      Kommentar


                      • #12
                        Vor allem, wenn der Angreifer neben der PIN eben den Ausweis noch "in echt" braucht, dann hat er sowieso schon Anschrift, Bild und Geburtsdatum ... dafür muss er dann nicht extra den ePa auslesen. Und an Fingerabdruck und die für später geplanten Informationen die möglicherweise kommen, kann man über die normalen Lesegeräte eh nicht ran kommen soweit ich weiß.

                        Kommentar


                        • #13
                          Mal abgesehen davon hat mir noch niemand erklärt, wieso ich mit dem neuen Perso unbedingt im Web aktiv werden soll.
                          Das SMS-Verfahren meiner Bank ist an Sicherheit nicht zu toppen, und Einkäufe bei Ebay oder anderen Shops sind bisher nicht daran gescheitert, weil der Verkäufer unsicher war, ob ich ein Fake bin.
                          Aber genau das will dir die Politik weismachen. Dass die Zahlungsmöglichkeiten im Web sicher sind, ist erwiesen und ich sehe auch keinen Grund darin, eine über die aktuell bestehenden Authentifizierungsmechanismen hinausgehende Technologie anzubieten, für schriftliche Dokumente gibt es immer noch den analogen Weg und die Authetizität von Nachrichten lässt sich auch heute bereits durch digitale Signaturen belegen, dafür braucht es keinen ePerso. Ich sehe hier eher die Gefahr, dass dadurch Begehrlichkeiten entstehen und ich mich künftig bei Onlineeinkäufen authentifizieren muss, auch wenn dies für die sichere Abhandlung der Transaktion gar nicht notwendig wäre. Die Anonymität und somit den Schutz, den das Internet bietet, wäre damit unterwandert. Dass Regierungen Angst vor Anonymität haben, ist ja mittlerweile keine unbestätigte Vermutung mehr.

                          Und an Fingerabdruck und die für später geplanten Informationen die möglicherweise kommen, kann man über die normalen Lesegeräte eh nicht ran kommen soweit ich weiß.
                          Es wird andere Methoden geben. Einfachstes Beispiel: Verkauf gefälschter Lesegeräte oder eine Sicherheitslücke, durch die sich die Sandboxlinie durchbrechen lässt.

                          Beitrag editiert:
                          […] Um es noch einmal klar auszudrücken: wenn ich meinen ePerso benutzte, um im Internet sicher einzukaufen, dann wäre das so, als wenn ich der Kassiererin im Laden immer erst einmal meinen Personalausweis vorlegen würde, damit diese dessen Nummer im Computer einspeichern kann, bevor sie den Zahlungsvorgang abwickelt. Würde dies eingeführt, wäre sofort Protest da, übertragen auf das Internet bleibt die Masse aber stumm.
                          Refining Linux: “Performing Push Backups – Part 1: rdiff-backup

                          Kommentar


                          • #14
                            Naja im Laden lässt du dir die Ware aber auch nicht nach Hause liefern sondern nimmst sie gleich mit. Im Internet ist die Anschrift einfach nötig. Wenn du dir irgendwo nen Auto oder ne Küche oder sonst was kaufst musst du auch deine kompletten Daten da lassen damit geliefert werden kann etc. ich sehe da keinen Unterschied!

                            Und natürlich gibt es bereits Techniken für verschiedene Probleme, der ePa soll diese nur für den normalen User vereinfachen damit es eben jeder machen kann und eine digitale Signatur nicht nur den Cracks vorbehalten bleibt.

                            Kommentar


                            • #15
                              Naja, der eigentliche Anwendungszweck dürfte der Kauf von immateriellen Gütern sein. Denn im realen Leben kann ich mir auch was auf einen fremden Namen bei Otto bestellen. Nur muss das ja auch irgendwohin geliefert werden. Und das bietet Anhaltspunkte in Betrugsfällen.
                              --

                              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                              Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                              --

                              Kommentar

                              Lädt...
                              X