1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Elektronischer Personalausweis…

Warum... hmmm...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Warum... hmmm...

    Autor: SuiCid 26.04.17 - 14:15

    Zum einen habe ich kein Lesegerät, weil das schon ein teures sein müsste, damit eben nicht der PC/das Smartphone (und jedes Programm darauf) alles mitliest.
    Ist auch so ein Teufelskreis. Wann nutze ich das mal? Eigentlich nie. ... Jetzt bestellen ist zu spät. Vielleicht beim nächsten Mal. ... 100¤ ausgeben? Beim letzten Mal hättest du es gebrauchen können, aber das war einmal.

    Zum anderen traue ich der Signatur nicht.
    Der Staat könnte für einen sonstwas unterschreiben.
    z.B "Ich stehe auf kleine Kinder. Unterschrift Herr X"
    Das würde vieles so leicht machen. Unliebsame Konkurrenz? Lass doch den Staat unterschreiben. Die Bevölkerung unternimmt den Rest mit Protesten etc. gegen Herrn X und seine Firma. Er hat ja gestanden!?
    Und erst die Polizeiarbeit danach...
    "Ich habe Herrn X getötet. Unterschrift Frau Y."
    Kein Verbrechen wird unaufgeklärt bleiben. Vielleicht wird nicht der richtige Täter bestraft... naja, kann man dann auch nichts machen...

    Dann wäre noch die Kleinigkeit mit dem Tracking des Persos und Reisepasses. 10.000 mögliche Pins sind schnell getestet und bei irgendwem wird man schon die richtige Pin erraten.
    Ansonsten kann man vielleicht noch den Datenaustausch nach Freischaltung durch den Besitzer mitlesen. (z.B. am Flughafen)
    Alles ein Grund zur Sorge, denn so weiß im Zweifel der Falsche, dass man nicht zu Hause ist?!

    Und außerdem ist mein Perso wohl kaputt seit ich mit Spulen und Elektro-Magneten gearbeitet habe. Was soll's? Der nächste ist ja in ein paar Jahren fällig.

  2. Re: Warum... hmmm...

    Autor: My1 26.04.17 - 14:34

    SuiCid schrieb:
    --------------------------------------------------------------------------------
    > Zum anderen traue ich der Signatur nicht.
    > Der Staat könnte für einen sonstwas unterschreiben.

    Wenn die Schlüssel direkt aufm Ausweis generiert werden (hoffe ich mal) dann kann nicht mal der Staat signieren.

    > Dann wäre noch die Kleinigkeit mit dem Tracking des Persos und Reisepasses.
    > 10.000 mögliche Pins sind schnell getestet und bei irgendwem wird man schon
    > die richtige Pin erraten.

    Erstens ist die PIN 6stellig also 1 Mio mögliche kombis. 2. kann man die PIN nur 2 Mal eingeben, danach wird zusätzlich zur PIN die Zugangsnummer die aufm Ausweis steht gefordert.

    > Ansonsten kann man vielleicht noch den Datenaustausch nach Freischaltung
    > durch den Besitzer mitlesen. (z.B. am Flughafen)
    > Alles ein Grund zur Sorge, denn so weiß im Zweifel der Falsche, dass man
    > nicht zu Hause ist?!

    Der Datenaustausch ist iirc grundsätzlich verschlüsselt.

    Asperger inside(tm)

  3. Re: Warum... hmmm...

    Autor: SuiCid 26.04.17 - 16:05

    1. Selbst wenn die das behaupten, kannst du es nicht überprüfen. Und damit auch keine Forderungen/Behauptungen widerlegen. Was die mit ihrem Zertifikat aus der Karte rausholen können weißt du auch nicht.

    2. Macht nicht den Unterschied. Stellt man sich an den Bahnhof/Flughafen und guckt was man so abgreifen kann.
    Dann fällt die Beute kleiner aus, aber man kommt an ca. 1/500.000 (statt 1 von 5000) der Daten - oder mehr weil die Leute ihre Pin selber aussuchen konnten. Die Frage ist nur wann das auffällt. Schließlich muss man für 500.000 Leute ein gutes Stück laufen bei ca. 2m Maximalabstand. Außerdem nerven dann viele Persos, dass es mindestens 2 Fehleingaben gab.

    Es hilft also gegen Hollywood-Filmmythen (wie den Klau von Kreditkartendaten (oder halt Name, Adresse, Geburtsdatum, ...) im Vorbeigehen) - aber nur im Schnitt in maximal nicht ganz 499.999 von 500.000 Fällen. Und nur solange die Angreifer kein Zertifikat einer Behörde erstellen/klauen/kaufen/... oder eine Schwachstelle finden können.


    3. Verschlüsselung ist kein Hindernis, das sofort vor Ort beseitigt werden muss. Aufzeichnen, warten bis es Fortschritte gibt, dann knacken. (Bei den Verschlüsselungen schweben die offiziellen Quellen gefühlte 2 Meter über dem Boden - so oberflächlich sind die mit ihrem "sicher verschlüsselt" usw. Schön rekursiv gehalten. Diese Datei/Seite dazu lesen. Da steht dann ein Verweis auf eine Norm - was keine Garantie für eine korrekte Umsetzung ist. usw.)
    Das Knacken kostet dann Zeit und Geld... wenn ein Ziel sich nicht lohnt, dann wäre es "sicher".
    Aber Hardware wird billiger, Schwachstellen werden untersucht, ... und Behörden schätzen ihre Arbeit zu gut ein.
    (Das BSI glaubte, dass man den Chip nicht grillen kann - ohne den Perso zu zerstören. Den Leuten wird weißgemacht, dass ihr Fingerabdruck den Perso vor Missbrauch schützt. Der schweizer Perso wird inzwischen innerhalb von 4 Stunden oder weniger geknackt. Klar, die Pin hilft ein wenig beim deutschen Perso - solange der Angreifer den Perso nicht sehen kann.)

    Also maximal ein "vorläufig besser als erwartet"...

  4. Re: Warum... hmmm...

    Autor: My1 26.04.17 - 17:07

    SuiCid schrieb:
    --------------------------------------------------------------------------------
    > 1. Selbst wenn die das behaupten, kannst du es nicht überprüfen. Und damit
    > auch keine Forderungen/Behauptungen widerlegen. Was die mit ihrem
    > Zertifikat aus der Karte rausholen können weißt du auch nicht.

    ja klar, deswegen, das (hoffe ich) in klammern

    > 2. Macht nicht den Unterschied. Stellt man sich an den Bahnhof/Flughafen
    > und guckt was man so abgreifen kann.
    > Dann fällt die Beute kleiner aus, aber man kommt an ca. 1/500.000 (statt 1
    > von 5000) der Daten - oder mehr weil die Leute ihre Pin selber aussuchen
    > konnten. Die Frage ist nur wann das auffällt. Schließlich muss man für
    > 500.000 Leute ein gutes Stück laufen bei ca. 2m Maximalabstand. Außerdem
    > nerven dann viele Persos, dass es mindestens 2 Fehleingaben gab.

    man braucht aber trotzdem ein Berechtigungs-cert zum auslesen, musste auch erstmal beschaffen und das ist fern von einfach.

    > Es hilft also gegen Hollywood-Filmmythen (wie den Klau von
    > Kreditkartendaten (oder halt Name, Adresse, Geburtsdatum, ...) im
    > Vorbeigehen) - aber nur im Schnitt in maximal nicht ganz 499.999 von
    > 500.000 Fällen. Und nur solange die Angreifer kein Zertifikat einer Behörde
    > erstellen/klauen/kaufen/... oder eine Schwachstelle finden können.

    Ja, Behörden Certs sind da schon sanft lästig, als backdoor, aber wenn es mit der Zugangskennung abgesichert ist, hilft nicht mal ein Behörden-cert so einfach weiter.

    > 3. Verschlüsselung ist kein Hindernis, das sofort vor Ort beseitigt werden
    > muss. Aufzeichnen, warten bis es Fortschritte gibt, dann knacken. (Bei den
    > Verschlüsselungen schweben die offiziellen Quellen gefühlte 2 Meter über
    > dem Boden - so oberflächlich sind die mit ihrem "sicher verschlüsselt" usw.
    > Schön rekursiv gehalten. Diese Datei/Seite dazu lesen. Da steht dann ein
    > Verweis auf eine Norm - was keine Garantie für eine korrekte Umsetzung ist.
    > usw.)
    > Das Knacken kostet dann Zeit und Geld... wenn ein Ziel sich nicht lohnt,
    > dann wäre es "sicher".
    > Aber Hardware wird billiger, Schwachstellen werden untersucht, ... und
    > Behörden schätzen ihre Arbeit zu gut ein.

    naja es gibt bessere Ziele als den Perso. Wenn man von nem Onlineanbieter wie Amazon die Kundendatenbank ranbekommt hat man auf einen Schlag alle daten, ohne auf chancen zu hoffen.
    > (Das BSI glaubte, dass man den Chip nicht grillen kann - ohne den Perso zu
    > zerstören.

    das ist Naiv.

    > Den Leuten wird weißgemacht, dass ihr Fingerabdruck den Perso
    > vor Missbrauch schützt.

    RIchtig eingesetzt hat er das Potenzial Dazu. Denn so können 2 Ähnliche Personen nicht gegenseitig die ausweise Tauschen, wenn der abdruck geprüft wird.

    und dazu kommt kann er nur von behörden ausgelesen werden, also nicht jeder Heinz einfach daran kommt, wobei die frage ist ob er überhaupt ausgelesen wird, oder stattdessen der Ausweis den Prüfabdruck bekommt und diesen mit dem gespeicherten abgleicht und nur ja/nein ausgibt.

    > Der schweizer Perso wird inzwischen innerhalb von 4
    > Stunden oder weniger geknackt. Klar, die Pin hilft ein wenig beim deutschen
    > Perso - solange der Angreifer den Perso nicht sehen kann.)
    >
    > Also maximal ein "vorläufig besser als erwartet"...

    gut ich weiß net was beim Schweizer Perso los ist, daher kann ich dazu nix sagen

    Asperger inside(tm)

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Netzwerkadministrator (m/w/d)
    Körber Supply Chain Software GmbH, Bad Nauheim
  2. Projektmanager für Prozessstandards & Digitale Produktion (w/m/d)
    Pro Projekte-GmbH & Co. KG, Düsseldorf
  3. IT-Administrator (m/w/d)
    Wichmann GmbH, Lotte
  4. Senior Frontend Developer (m/w/d)
    Hays AG, Frankfurt am Main

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. (u. a. Ryzen 7 5800X für 469€)
  3. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bowers & Wilkins PX7 S2 im Test: Guter ANC-Kopfhörer für windstille Tage
Bowers & Wilkins PX7 S2 im Test
Guter ANC-Kopfhörer für windstille Tage

Der PX7 S2 von Bowers & Wilkins ist ein guter ANC-Kopfhörer, der sich im Test mit einer starken Konkurrenz von sechs ANC-Kopfhörern beweisen muss.
Ein Test von Ingo Pakalski

  1. Nuratrue Pro Nura bringt neue In-Ears mit 3D-Sound und Lossless-Audio
  2. Master & Dynamic MW75 ANC-Kopfhörer mit Knopfsteuerung kostet 600 Euro
  3. Dyson Zone ANC-Kopfhörer hat einen eingebauten Luftreiniger

Ferngesteuertes Auto ausprobiert: Wenn 4G für das Autofahren nicht ausreicht
Ferngesteuertes Auto ausprobiert
Wenn 4G für das Autofahren nicht ausreicht

Der Carsharing-Anbieter Elmo zeigt uns seine Lösung für ferngesteuertes Fahren in Städten und stößt dabei an die Grenzen der deutschen Mobilfunknetze.
Ein Bericht von Martin Wolf

  1. EU-Verkehrsminister Lkw-Ladepunkte an allen wichtigen Straßen bis 2030
  2. Bloomberg Die Revolution in der E-Mobilität auf zwei Rädern
  3. Elektromobilität Produktion von Elektroautos ist 2021 stark gestiegen

Technics EAH-A800 im Praxistest: Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer
Technics EAH-A800 im Praxistest
Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer

Technics' neuer ANC-Kopfhörer EAH-A800 ist eine der besten Alternativen zu Sonys Oberklasse-Kopfhörer WH-1000XM5. Im Bereich Akkulaufzeit liefert er sogar Spitzenleistung.
Ein Test von Ingo Pakalski