Mittwoch, 1. Juni 2005

Pass mit biometrischen Merkmalen in Deutschland ab November 2005

Nach der VERORDNUNG (EG) Nr. 2252/2004 DES RATES vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten wird nach Mitteilung des Bundesinnenministeriums Deutschland als einer der ersten EU-Staaten den EU-Reisepass einführen.


.

Der neue elektronische Reisepass wird mit einem Radio-Frequency (RF)-Chip ausgestattet sein. Bei diesem RF-Chip handelt es sich um einen zertifizierten Sicherheitschip mit kryptographischem Koprozessor, auf dem neben den bisher üblichen Passdaten auch biometrische Merkmale gespeichert werden. Die Integration von biometrischen Merkmalen dient dem Ziel, eine stärkere Bindung zwischen Person und Reisedokument herzustellen.

Weitere Erläuterungen hier.

Das BMI informiert weiter:

Zur Datensicherheit wurde der von Deutschland vorgeschlagene, optionale Mechanismus in die Reisepass-Spezifikation aufgenommen, der für den Zugriff auf die im RF-Chip abgelegten Daten genau die Eigenschaften des bisherigen Reisepasses nachbilden soll: Um auf die im RF-Chip gespeicherten Daten zugreifen zu können, muss das Lesegerät auch tatsächlich optischen Zugriff auf die Datenseite des Reisepasses haben. Technisch wird das dadurch umgesetzt, dass sich das Lesegerät gegenüber dem RF-Chip authentisieren muss.

Dafür benötigt das Lesegerät einen geheimen Zugriffsschlüssel, der sich aus der maschinenlesbaren Zone des Reisepasses berechnet. Das Lesegerät muss also die maschinenlesbare Zone erst optisch lesen, daraus den Zugriffsschlüssel berechnen und kann sich dann erst gegenüber dem RF-Chip authentisieren. Genauer gesagt handelt es sich dabei sogar um eine gegenseitige Authentisierung zwischen Lesegerät und RF-Chip. Dazu sendet der RF-Chip zunächst eine Zufallszahl an das Lesegerät. Anschließend tauschen Lesegerät und RF-Chip zwei Chiffrate aus, die jeweils mit dem Zugriffsschlüssel verschlüsselt wurden. Das vom Lesegerät an den RF-Chip gesendete Chiffrat enthält seine eigene Zufallszahl, die Zufallszahl des RF-Chips sowie seine Hälfte des späteren Sitzungsschlüssels. Der RF-Chip entschlüsselt das Chiffrat und überprüft, ob seine Zufallszahl korrekt enthalten ist. In diesem Fall bildet der RF-Chip ein Chiffrat aus seiner eigenen Zufallszahl, der Zufallszahl des Lesegeräts und seiner Hälfte des späteren Sitzungsschlüssels. Das Lesegerät entschlüsselt das Chiffrat und überprüft ebenfalls seine bzw. beide Zufallszahlen. Schließlich wird aus den beiden Schlüsselhälften der Sitzungsschlüssel abgeleitet, mit dem die weitere Kommunikation verschlüsselt und die Integrität der Daten gesichert wird. Auf diese Weise wird verhindert, dass die Kommunikation abgehört oder verändert werden kann.

Die Sicherheit dieser Authentisierung und der nachfolgenden Verschlüsselung liegt im Wesent-lichen in der Stärke des Zugriffsschlüssels. Obwohl der Zugriffsschlüssel formal ein 112-Bit-Triple-DES-Schlüssel ist, liegt die Sicherheit des Verfahrens eher auf dem Niveau von normalem DES. Der Grund dafür liegt in der Art und Weise, wie der Zugriffsschlüssel aus der MRZ gebildet wird. Vereinfacht gesagt, berechnet sich dieser als Hash aus der Passnummer, dem Geburtsdatum des Inhabers und dem Ablaufdatum des Reisepasses. Geht man vom derzeitigen Reisepass aus, ist die Passnummer eine neunstellige Zahl, das heißt, es gibt 109 Möglichkeiten. Für das Geburtsdatum gibt es näherungsweise 365 x 102 Möglichkeiten und für das Ablaufdatum gibt es – bei einer Gültigkeit des Reisepasses von zehn Jahren – 365 x 10 Möglichkeiten. Insgesamt ist die Stärke des Zugriffsschlüssels daher maximal 56 Bit (3652 x 1012) und entspricht somit der Stärke eines normalen DES-Schlüssels.

Um das unberechtigte Auslesen des Reisepasses zu verhindern, ist die Stärke des Mechanismus sicher ausreichend, da das Ausprobieren aller 256 Schlüssel in kurzer Zeit unmöglich ist – selbst wenn der Angreifer Zusatzinformationen wie Zusammenhänge zwischen Passnummer und Ablaufdatum hat.

Problematisch könnte jedoch das mögliche Abhören und Aufzeichnen einer verschlüsselten Kommunikation sein, da diese nachträglich entschlüsselt werden kann. Um eine abgehörte Kommunikation zu entschlüsseln, muss zunächst der Zugriffsschlüssel gebrochen werden, denn mit diesem werden die zwei Hälften des wesentlich stärkeren Sitzungsschlüssels verschlüsselt übertragen. Selbst wenn man die effektive Stärke des Zugriffsschlüssels mit nur 40 Bit bewertet, benötigt ein Brute-Force-Angriff (Ausprobieren aller möglichen Schlüssel) auf einem modernen PC immer noch etwa 100 Jahre, um ihn zu brechen. Theoretisch kann ein DES-Schlüssel auch schneller gebrochen werden – das haben die DES-Challenges gezeigt. Bei der DES-Challenge III von 1999 wurde beispielsweise ein DES-Schlüssel in rund 22 Stunden gebrochen. Nötig waren dazu allerdings neben dem rund 250.000 US-Dollar teuren „DES-Cracker“ etwa 100.000 weitere Rechner des distributed.net.

Obwohl die Stärke des Zugriffschutzes für die Absicherung des Gesichtsbildes mehr als ausreichend ist, stellt sich natürlich die Frage, warum nicht die gesamte MRZ zur Generierung eines stärkeren Zugriffsschlüssels verwendet wird. Die Antwort darauf ist relativ einfach: Das Problem ist, dass das optische Lesen der MRZ fehleranfällig ist. Bereits ein einziger Lesefehler wird die Authentisierung des Lesegeräts fehlschlagen lassen und der RF-Chip wird den Zugriff auf die biometrischen Daten verweigern. In diesem Falle muss die MRZ manuell korrigiert oder eingegeben werden. Einige Felder innerhalb der MRZ, insbesondere der Name des Inhabers, sind aber nicht durch Prüfziffern abgesichert. Dadurch wird es besonders schwer, Lesefehler innerhalb dieser Felder überhaupt zu erkennen. Aus diesem Grund hat man sich in der „ICAO New Technologies Working Group“ darauf geeinigt, nur die durch Prüfziffern abgesicherten Felder zu verwenden, das heißt, die Passnummer, das Geburtsdatum und das Ablaufdatum.

Es dürfte kein Zweifel daran bestehen, dass heikle Daten, insbesondere Fingerabdrücke, eines besonders starken Schutzes und vor allem der Vorgabe einer engen Zweckbindung bedürfen. Die ICAO erkennt den besonderen Schutzbedarf bei der Verwendung von Fingerabdrücken zwar an, konkrete Schutzmechanismen hat sie jedoch nicht spezifiziert, da diese Daten für die globalen Grenzkontrollen zunächst nicht relevant sind. Mit dem Beschluss der EU-Innenminister, Fingerabdrücke als zusätzliches biometrisches Merkmal verpflichtend in den EU-Reisepass aufzunehmen, werden jedoch genau diese Schutzmechanismen dringend benötigt. Innerhalb der Arbeitsgruppe zur technischen Standardisierung des EU-Reisepasses findet daher zurzeit die Spezifikation eines erweiterten Zugriffsschutzes statt. Dabei sind von Deutschland zwei Mechanismen vorgeschlagen worden.

Zum einen handelt es sich dabei um eine Art „Add-on“ zum ICAO-Zugriffsschutz, mit dem über Public-Key-Kryptographie anschließend ein starker Sitzungsschlüssel ausgehandelt wird (Diffie-Hellman-Schlüsseleinigung). Zum anderen wird ein zusätzlicher Public-Key-Authentisierungsmechanismus für das Lesegerät spezifiziert. Diese beiden Mechanismen sind in etwa vergleichbar mit den SSL/TLSInternet-Protokollen, wobei die Authentisierung des Lesegeräts dabei der optionalen und bislang praktisch kaum verwendeten Client-Authentisierung entspricht. Um zum Beispiel im Rahmen einer EU-Grenzkontrolle auf die im RF-Chip gespeicherten Fingerabdrücke zuzugreifen, muss das Lesegerät also zunächst den ICAO-Zugriffschutz (optisches Lesen der MRZ) überwinden, anschließend eine starke Verschlüsselung aufbauen und sich dann gegenüber dem RF-Chip als zum Lesen der Fingerabdrücke berechtigt ausweisen. Dazu muss das Lesegerät mit einem eigenen Schlüsselpaar und einem vom RF-Chip verifizierbarem Zertifikat ausgestattet werden. In diesem Zertifikat sind dann die Rechte des Lesegeräts exakt festgelegt. Die Vergabe der Rechte ist nicht ganz trivial. Ohne auf die Details einzugehen, bestimmt immer das Land, das den Reisepass herausgegeben hat, auf welche Daten ein (ausländisches) Lesegerät zugreifen kann.

Durch dieses Vorgehen ist sichergestellt, dass Lesegeräte nur auf die Daten zugreifen können, für die sie auch legitimiert wurden und dass die übertragenen Daten auch mit großem Aufwand nicht abhörbar sind. Selbst diese Lesegeräte sind nicht in der Lage, die Daten aus einem geschlossenen Reisepass auszulesen, da der ICAO-Zugriffsschutz weiterhin vom RF-Chip erzwungen wird.

Von Dr. Dennis Kügler

Inhalte dieses Artikels von Dr. Dennis Kügler, BSI, wurden bereits veröffentlicht im c’t Magazin 05/2005, Heise Verlag 2005.

Die andauernde umfassende Diskussion über Chancen und Risiken des Einsatzes von RFID-Chips fördert offensichtlich die Bemühungen, die Sicherheit derartig gespeicherter Daten nicht unerheblich zu erhöhen. Der eingeschlagene Weg scheint zu stimmen.

Keine Kommentare: