OpenMRTD - Projekt für eine Opensource-Implementierung zum Lesen der elektronischen Reisepässe

Ha­rald Welte, be­kannt als Ent­wick­ler des Net­fil­ter-Pro­jekts, hat die Web­platt­form OpenMRTD.​org er­öff­net. Hier soll eine Open­Sour­ce-Im­ple­men­tie­rung zum Lesen der neuen elek­tro­ni­schen Pässe ent­ste­hen.

Die Stan­dards sind zwar ver­füg­bar, je­doch keine freie Im­ple­men­tie­rung. Mit Hilfe sol­cher Soft­ware (und einem ge­eig­ne­ten Le­se­ge­rät) könn­te jeder ve­ri­fi­zie­ren, was tat­säch­lich auf sei­nem Paß ge­spei­chert ist - so­lan­ge hier­für die Basic Au­then­ti­ca­ti­on aus­reicht.
Das Aus­le­sen der rest­li­chen Daten (ge­plant auf den deut­schen Päs­sen für 2007) er­for­dert die Ex­ten­ded Au­then­ti­ca­ti­on, bei der sich auch das Le­se­ge­rät als le­gi­ti­mes, zer­ti­fi­zier­tes Gerät aus­wei­sen muß. Nach dem mo­men­ta­nen Stan­dard ist also hier für eine freie Im­ple­men­tie­rung Schluß - das Pro­to­koll sieht kei­nen "Ne­ben­ein­gang" für den Be­sit­zer des Pas­ses vor.

Up­date: Beim gest­ri­gen Be­such auf der Sys­tems hatte ich die Chan­ce, mit Mit­ar­bei­tern des BSI auf das Pro­jekt an­zu­spre­chen. Den Stand­be­treu­ern war das Pro­jekt noch un­be­kannt, je­doch war ich wohl nicht der erste, der das Thema zur Spra­che brach­te. Die Mei­nung dar­über war zwei­ge­teilt: Zu­nächst ein­mal hätte man nichts gegen eine Open­Sour­ce-Im­ple­men­tie­rung. Es sei gut zu sehen, daß sich Leute mit der Tech­nik aktiv aus­ein­an­der­set­zen. Für die Zer­ti­fi­zie­rung für den prak­ti­schen of­fi­zi­el­len Ein­satz würde man auch nicht dif­fe­ren­zie­ren, ob das Pro­dukt open sour­ce oder clo­sed sour­ce sei. Die ein­zi­gen Be­den­ken, die ge­äu­ßert wur­den, bezog sich auf den "un­kon­trol­lier­ten" Ein­satz: Man habe beim De­sign gro­ßen Wert auf die Pri­vat­sphä­re der Paß­be­sit­zer ge­legt. Bei den Au­to­ma­ten an der Grenz­kon­trol­le würde bei der Zer­ti­fi­zie­rung pein­lich genau ge­prüft, daß die ein­ge­le­se­nen Daten nicht ge­spei­chert wür­den. Dies könn­te na­tür­lich jeder an­de­re Be­trei­ber der open sour­ce Soft­ware an­ders hal­ten. Ein ge­nann­tes Sze­na­rio wäre das "Be­zah­len mit dem guten Namen" (dies­mal wort­wört­lich) - und an­schlie­ßen­des Sam­meln, Zu­sam­men­füh­ren, Ab­glei­chen, ... der Pa­ßin­for­ma­tio­nen. Aber das, so die Aus­sa­ge am Stand, müsse man halt in Kauf neh­men, wenn man Stan­dards of­fen­le­ge. Der Si­cher­heits- und Ver­trau­ens­ge­winn durch die Of­fen­le­gung würde über­wie­gen.