OpenMRTD - Projekt für eine Opensource-Implementierung zum Lesen der elektronischen Reisepässe

Harald Welte, bekannt als Entwickler des Netfilter-Projekts, hat die Webplattform OpenMRTD.org eröffnet. Hier soll eine OpenSource-Implementierung zum Lesen der neuen elektronischen Pässe entstehen.

Die Standards sind zwar verfügbar, jedoch keine freie Implementierung. Mit Hilfe solcher Software (und einem geeigneten Lesegerät) könnte jeder verifizieren, was tatsächlich auf seinem Paß gespeichert ist - solange hierfür die Basic Authentication ausreicht.
Das Auslesen der restlichen Daten (geplant auf den deutschen Pässen für 2007) erfordert die Extended Authentication, bei der sich auch das Lesegerät als legitimes, zertifiziertes Gerät ausweisen muß. Nach dem momentanen Standard ist also hier für eine freie Implementierung Schluß - das Protokoll sieht keinen "Nebeneingang" für den Besitzer des Passes vor.

Update: Beim gestrigen Besuch auf der Systems hatte ich die Chance, mit Mitarbeitern des BSI auf das Projekt anzusprechen. Den Standbetreuern war das Projekt noch unbekannt, jedoch war ich wohl nicht der erste, der das Thema zur Sprache brachte. Die Meinung darüber war zweigeteilt: Zunächst einmal hätte man nichts gegen eine OpenSource-Implementierung. Es sei gut zu sehen, daß sich Leute mit der Technik aktiv auseinandersetzen. Für die Zertifizierung für den praktischen offiziellen Einsatz würde man auch nicht differenzieren, ob das Produkt open source oder closed source sei. Die einzigen Bedenken, die geäußert wurden, bezog sich auf den "unkontrollierten" Einsatz: Man habe beim Design großen Wert auf die Privatsphäre der Paßbesitzer gelegt. Bei den Automaten an der Grenzkontrolle würde bei der Zertifizierung peinlich genau geprüft, daß die eingelesenen Daten nicht gespeichert würden. Dies könnte natürlich jeder andere Betreiber der open source Software anders halten. Ein genanntes Szenario wäre das "Bezahlen mit dem guten Namen" (diesmal wortwörtlich) - und anschließendes Sammeln, Zusammenführen, Abgleichen, ... der Paßinformationen. Aber das, so die Aussage am Stand, müsse man halt in Kauf nehmen, wenn man Standards offenlege. Der Sicherheits- und Vertrauensgewinn durch die Offenlegung würde überwiegen.