E-Passport geklont, ePass-getriggerte Bombe vorgeführt

Nach einem Bericht des Wired-Magazines wurde auf den gerade laufenden Blackhat Briefings das Klonen des RFID-Chips eines E-Passes vorgeführt. Ein weiteres Projekt zeigte, daß die Metallschicht im Deckel des Passes, welche die amerikanischen E-Pässe vor unbemerktem Auslesen schützen soll, ihren Effekt verfehlt, wenn der Paß nur einen Zentimeter weit geöffnet ist; als Anwendungsbeispiel zeigten sie eine Dummy-Bombe (Video bei YouTube), die von einem bestimmten Paß ausgelöst wurde. Nach dem "Smart Passport" die passende "Smart Bomb"...

...ein Szenario, das dem "Movie Plot Contest" von Bruce Schneier zur Ehre gereicht hätte :-)
Was das Klonen des E-Passes angeht: Den spärlichen Informationen nach, die aus dem Artikel herauszulesen sind, wurden nur die Daten geklont, die durch die Basic Authentication geschützt sind. Dies ist ein einfacher, unverschlüsselter Datenbereich, der durch eine Art Signatur vor Veränderungen geschützt ist. Auslesen ist also in der Tat problemlos möglich (die Leseterminals am Zoll machen nichts anderes). Nicht weiter verwunderlich ist es, daß man eine blanke SmartCard mit Daten in diesem Format beschreiben kann - und diese dann korrekterweise akzeptiert wird. Eine Änderung der Daten wird hingegen durch die Signatur verhindert.
Eine echte Erhöhung der Fälschungssicherheit bietet erst die Extended Authentication, bei der sich Lesegerät und Chip gegenseitig mit Hilfe eines Public-Key-Verfahrens authentisieren. Hier steht und fällt die Sicherheit mit der SmartCard: Der Secret Key des Passes ist in einem isolierten, nicht auslesbaren Bereich des Chips untergebracht. Erst dieses Feature erhöht die Fälschungssicherheit; die Basisdaten dienen lediglich dem einfacheren elektronischen Auslesen der Paßdaten.

Die Presse scheint diesen feinen Unterschied nicht erkannt zu haben, als diverse reißerisch klingende Schlagzeilen verfaßt wurden... und es ist zu befürchten, daß die Polizisten und Zollbeamten ihn ebenfalls nicht kennen.

comments powered by Disqus