E-Passport geklont, ePass-getriggerte Bombe vorgeführt

Nach einem Be­richt des Wired-Ma­ga­zi­nes wurde auf den ge­ra­de lau­fen­den Black­hat Brie­fings das Klo­nen des RFID-Chips eines E-Pas­ses vor­ge­führt. Ein wei­te­res Pro­jekt zeig­te, daß die Me­tall­schicht im De­ckel des Pas­ses, wel­che die ame­ri­ka­ni­schen E-Päs­se vor un­be­merk­tem Aus­le­sen schüt­zen soll, ihren Ef­fekt ver­fehlt, wenn der Paß nur einen Zen­ti­me­ter weit ge­öff­net ist; als An­wen­dungs­bei­spiel zeig­ten sie eine Dum­my-Bom­be (Video bei YouTube), die von einem be­stimm­ten Paß aus­ge­löst wurde. Nach dem "Smart Passport" die pas­sen­de "Smart Bomb"...

...​ein Sze­na­rio, das dem "Movie Plot Con­test" von Bruce Schnei­er zur Ehre ge­reicht hätte :-)
Was das Klo­nen des E-Pas­ses an­geht: Den spär­li­chen In­for­ma­tio­nen nach, die aus dem Ar­ti­kel her­aus­zu­le­sen sind, wur­den nur die Daten ge­klont, die durch die Basic Au­then­ti­ca­ti­on ge­schützt sind. Dies ist ein ein­fa­cher, un­ver­schlüs­sel­ter Da­ten­be­reich, der durch eine Art Si­gna­tur vor Ver­än­de­run­gen ge­schützt ist. Aus­le­sen ist also in der Tat pro­blem­los mög­lich (die Le­se­ter­mi­nals am Zoll ma­chen nichts an­de­res). Nicht wei­ter ver­wun­der­lich ist es, daß man eine blan­ke Smart­Card mit Daten in die­sem For­mat be­schrei­ben kann - und diese dann kor­rek­ter­wei­se ak­zep­tiert wird. Eine Än­de­rung der Daten wird hin­ge­gen durch die Si­gna­tur ver­hin­dert.
Eine echte Er­hö­hung der Fäl­schungs­si­cher­heit bie­tet erst die Ex­ten­ded Au­then­ti­ca­ti­on, bei der sich Le­se­ge­rät und Chip ge­gen­sei­tig mit Hilfe eines Pu­blic-Key-Ver­fah­rens au­then­ti­sie­ren. Hier steht und fällt die Si­cher­heit mit der Smart­Card: Der Se­cret Key des Pas­ses ist in einem iso­lier­ten, nicht aus­les­ba­ren Be­reich des Chips un­ter­ge­bracht. Erst die­ses Fea­ture er­höht die Fäl­schungs­si­cher­heit; die Ba­sis­da­ten die­nen le­dig­lich dem ein­fa­che­ren elek­tro­ni­schen Aus­le­sen der Pa­ßda­ten.

Die Pres­se scheint die­sen fei­nen Un­ter­schied nicht er­kannt zu haben, als di­ver­se rei­ße­risch klin­gen­de Schlag­zei­len ver­fa­ßt wur­den... und es ist zu be­fürch­ten, daß die Po­li­zis­ten und Zoll­be­am­ten ihn eben­falls nicht ken­nen.