Das RFID was tolles ist, braucht man wohl niemandem mehr zu erklären. Aber viele Leute brauchen wohl etwas Nachhilfe in Sachen Sicherheit, Datenschutz und den Gefahren, die Techniken wie RFID mit sich bringen ... Wie Netzzeitung [1] und Heise [2] heute berichten, gibt es in den Niederlanden Probleme mit den neuen Reisepässen, die auf RFID-Chips biometrische Daten wie z. B. Fingerabdruck, Foto und Geburtsdatum gespeichert haben. Bei Passkontrollen können diese Daten aus einer Entfernung von bis zu 10 Metern berührungslos abgefragt werden. Natürlich sind die Daten verschlüsselt, aber genau da liegt das Problem.
Der Schlüssel hat eigentlich 50 Bit, setzt sich aber unter anderem aus Zahlen wie Passnummer, Ablaufdatum, Geburtsdatum zusammen. Aus den 50 Bit Schlüsselstärke werden somit (laut einigen Experten) noch 35 Bit effektive Schlüsselstärke. Das sind etwa 35 Milliarden Möglichkeiten. Wenn ein Computer etwa nur 15.000 Knack-Versuche pro Sekunde macht, dann ist der Schlüssel im Durchschnitt nach 13 Tagen geknackt.
Die 15.000 Versuche stammen allerdings von einem Passwort-Cracker für eine ganz andere Anwendung (John the Ripper auf einem Darwin 7.1 Power Mac G4 Dual 1.42GHz) und laut den Hackern die die niederländischen Reisepässe angegriffen haben, dauerte es bei den Reisepässen nur etwa 2 Stunden (4,7 Millionen Versuche pro Sekunde) ...
Wie kann sowas passieren? Immerhin die Verbindung in jedem Webshop schon mit Schlüsseln von mindestens 128 Bit verschlüsselt. Und da geht es "nur" um Kreditkartennummern oder Anschriften und man muss erstmal die Leitung anzapfen, um überhaupt etwas mitlesen zu können. Und auf die 128 Bit beschränken sich die meisten auch nur deshalb, weil "sicherere" Schlüssel schlichtweg teurer sind, wenn man über eine kommerzielle CA geht und nicht die kostenlosen Dienste von z. B. CAcert [3] benutzt.
Und wo wird das hinführen? Jeder kann mit einem RFID-Lesegerät fremde Reisepässe auslesen und die Daten einfach sammeln. Dann hat er beliebig viel Zeit den Code zu knacken und die gesammelten Daten zu verarbeiten. Was man mit den gewonnenen Daten alles anstellen kann ist natürlich die Frage. Angeblich kann man damit Reisepässe fälschen. Aber selbst wenn man nur Foto, Fingerabdruck, Name und Geburtsdatum eines Menschen auslesen kann, finde ich das nicht wirklich lustig ...
Ach ja - im deutschen ePass ist die Schlüsssellänge 56 Bit und wenn man die 2 Stunden für 35 Bit hochrechnet, dann dauert das knacken eines Deutschen Passes knapp 500 Jahre. Aber Sicherheitsexperten vermuten auch in anderen Ländern Schlüssellängen, die in Wirklichkeit gar nicht so lang sind wie behauptet wird ... Wir können also gespannt sein, was in Zukunft auf diesem Gebiet noch alles passieren wird.
[1] http://www.netzeitung.de/internet/380265.html
[2] http://www.heise.de/tp/r4/artikel/21/21907/1.html
[3] http://www.CAcert.org
