1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Elektronischer Personalausweis…

Warum... hmmm...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Warum... hmmm...

    Autor: SuiCid 26.04.17 - 14:15

    Zum einen habe ich kein Lesegerät, weil das schon ein teures sein müsste, damit eben nicht der PC/das Smartphone (und jedes Programm darauf) alles mitliest.
    Ist auch so ein Teufelskreis. Wann nutze ich das mal? Eigentlich nie. ... Jetzt bestellen ist zu spät. Vielleicht beim nächsten Mal. ... 100¤ ausgeben? Beim letzten Mal hättest du es gebrauchen können, aber das war einmal.

    Zum anderen traue ich der Signatur nicht.
    Der Staat könnte für einen sonstwas unterschreiben.
    z.B "Ich stehe auf kleine Kinder. Unterschrift Herr X"
    Das würde vieles so leicht machen. Unliebsame Konkurrenz? Lass doch den Staat unterschreiben. Die Bevölkerung unternimmt den Rest mit Protesten etc. gegen Herrn X und seine Firma. Er hat ja gestanden!?
    Und erst die Polizeiarbeit danach...
    "Ich habe Herrn X getötet. Unterschrift Frau Y."
    Kein Verbrechen wird unaufgeklärt bleiben. Vielleicht wird nicht der richtige Täter bestraft... naja, kann man dann auch nichts machen...

    Dann wäre noch die Kleinigkeit mit dem Tracking des Persos und Reisepasses. 10.000 mögliche Pins sind schnell getestet und bei irgendwem wird man schon die richtige Pin erraten.
    Ansonsten kann man vielleicht noch den Datenaustausch nach Freischaltung durch den Besitzer mitlesen. (z.B. am Flughafen)
    Alles ein Grund zur Sorge, denn so weiß im Zweifel der Falsche, dass man nicht zu Hause ist?!

    Und außerdem ist mein Perso wohl kaputt seit ich mit Spulen und Elektro-Magneten gearbeitet habe. Was soll's? Der nächste ist ja in ein paar Jahren fällig.

  2. Re: Warum... hmmm...

    Autor: My1 26.04.17 - 14:34

    SuiCid schrieb:
    --------------------------------------------------------------------------------
    > Zum anderen traue ich der Signatur nicht.
    > Der Staat könnte für einen sonstwas unterschreiben.

    Wenn die Schlüssel direkt aufm Ausweis generiert werden (hoffe ich mal) dann kann nicht mal der Staat signieren.

    > Dann wäre noch die Kleinigkeit mit dem Tracking des Persos und Reisepasses.
    > 10.000 mögliche Pins sind schnell getestet und bei irgendwem wird man schon
    > die richtige Pin erraten.

    Erstens ist die PIN 6stellig also 1 Mio mögliche kombis. 2. kann man die PIN nur 2 Mal eingeben, danach wird zusätzlich zur PIN die Zugangsnummer die aufm Ausweis steht gefordert.

    > Ansonsten kann man vielleicht noch den Datenaustausch nach Freischaltung
    > durch den Besitzer mitlesen. (z.B. am Flughafen)
    > Alles ein Grund zur Sorge, denn so weiß im Zweifel der Falsche, dass man
    > nicht zu Hause ist?!

    Der Datenaustausch ist iirc grundsätzlich verschlüsselt.

    Asperger inside(tm)

  3. Re: Warum... hmmm...

    Autor: SuiCid 26.04.17 - 16:05

    1. Selbst wenn die das behaupten, kannst du es nicht überprüfen. Und damit auch keine Forderungen/Behauptungen widerlegen. Was die mit ihrem Zertifikat aus der Karte rausholen können weißt du auch nicht.

    2. Macht nicht den Unterschied. Stellt man sich an den Bahnhof/Flughafen und guckt was man so abgreifen kann.
    Dann fällt die Beute kleiner aus, aber man kommt an ca. 1/500.000 (statt 1 von 5000) der Daten - oder mehr weil die Leute ihre Pin selber aussuchen konnten. Die Frage ist nur wann das auffällt. Schließlich muss man für 500.000 Leute ein gutes Stück laufen bei ca. 2m Maximalabstand. Außerdem nerven dann viele Persos, dass es mindestens 2 Fehleingaben gab.

    Es hilft also gegen Hollywood-Filmmythen (wie den Klau von Kreditkartendaten (oder halt Name, Adresse, Geburtsdatum, ...) im Vorbeigehen) - aber nur im Schnitt in maximal nicht ganz 499.999 von 500.000 Fällen. Und nur solange die Angreifer kein Zertifikat einer Behörde erstellen/klauen/kaufen/... oder eine Schwachstelle finden können.


    3. Verschlüsselung ist kein Hindernis, das sofort vor Ort beseitigt werden muss. Aufzeichnen, warten bis es Fortschritte gibt, dann knacken. (Bei den Verschlüsselungen schweben die offiziellen Quellen gefühlte 2 Meter über dem Boden - so oberflächlich sind die mit ihrem "sicher verschlüsselt" usw. Schön rekursiv gehalten. Diese Datei/Seite dazu lesen. Da steht dann ein Verweis auf eine Norm - was keine Garantie für eine korrekte Umsetzung ist. usw.)
    Das Knacken kostet dann Zeit und Geld... wenn ein Ziel sich nicht lohnt, dann wäre es "sicher".
    Aber Hardware wird billiger, Schwachstellen werden untersucht, ... und Behörden schätzen ihre Arbeit zu gut ein.
    (Das BSI glaubte, dass man den Chip nicht grillen kann - ohne den Perso zu zerstören. Den Leuten wird weißgemacht, dass ihr Fingerabdruck den Perso vor Missbrauch schützt. Der schweizer Perso wird inzwischen innerhalb von 4 Stunden oder weniger geknackt. Klar, die Pin hilft ein wenig beim deutschen Perso - solange der Angreifer den Perso nicht sehen kann.)

    Also maximal ein "vorläufig besser als erwartet"...

  4. Re: Warum... hmmm...

    Autor: My1 26.04.17 - 17:07

    SuiCid schrieb:
    --------------------------------------------------------------------------------
    > 1. Selbst wenn die das behaupten, kannst du es nicht überprüfen. Und damit
    > auch keine Forderungen/Behauptungen widerlegen. Was die mit ihrem
    > Zertifikat aus der Karte rausholen können weißt du auch nicht.

    ja klar, deswegen, das (hoffe ich) in klammern

    > 2. Macht nicht den Unterschied. Stellt man sich an den Bahnhof/Flughafen
    > und guckt was man so abgreifen kann.
    > Dann fällt die Beute kleiner aus, aber man kommt an ca. 1/500.000 (statt 1
    > von 5000) der Daten - oder mehr weil die Leute ihre Pin selber aussuchen
    > konnten. Die Frage ist nur wann das auffällt. Schließlich muss man für
    > 500.000 Leute ein gutes Stück laufen bei ca. 2m Maximalabstand. Außerdem
    > nerven dann viele Persos, dass es mindestens 2 Fehleingaben gab.

    man braucht aber trotzdem ein Berechtigungs-cert zum auslesen, musste auch erstmal beschaffen und das ist fern von einfach.

    > Es hilft also gegen Hollywood-Filmmythen (wie den Klau von
    > Kreditkartendaten (oder halt Name, Adresse, Geburtsdatum, ...) im
    > Vorbeigehen) - aber nur im Schnitt in maximal nicht ganz 499.999 von
    > 500.000 Fällen. Und nur solange die Angreifer kein Zertifikat einer Behörde
    > erstellen/klauen/kaufen/... oder eine Schwachstelle finden können.

    Ja, Behörden Certs sind da schon sanft lästig, als backdoor, aber wenn es mit der Zugangskennung abgesichert ist, hilft nicht mal ein Behörden-cert so einfach weiter.

    > 3. Verschlüsselung ist kein Hindernis, das sofort vor Ort beseitigt werden
    > muss. Aufzeichnen, warten bis es Fortschritte gibt, dann knacken. (Bei den
    > Verschlüsselungen schweben die offiziellen Quellen gefühlte 2 Meter über
    > dem Boden - so oberflächlich sind die mit ihrem "sicher verschlüsselt" usw.
    > Schön rekursiv gehalten. Diese Datei/Seite dazu lesen. Da steht dann ein
    > Verweis auf eine Norm - was keine Garantie für eine korrekte Umsetzung ist.
    > usw.)
    > Das Knacken kostet dann Zeit und Geld... wenn ein Ziel sich nicht lohnt,
    > dann wäre es "sicher".
    > Aber Hardware wird billiger, Schwachstellen werden untersucht, ... und
    > Behörden schätzen ihre Arbeit zu gut ein.

    naja es gibt bessere Ziele als den Perso. Wenn man von nem Onlineanbieter wie Amazon die Kundendatenbank ranbekommt hat man auf einen Schlag alle daten, ohne auf chancen zu hoffen.
    > (Das BSI glaubte, dass man den Chip nicht grillen kann - ohne den Perso zu
    > zerstören.

    das ist Naiv.

    > Den Leuten wird weißgemacht, dass ihr Fingerabdruck den Perso
    > vor Missbrauch schützt.

    RIchtig eingesetzt hat er das Potenzial Dazu. Denn so können 2 Ähnliche Personen nicht gegenseitig die ausweise Tauschen, wenn der abdruck geprüft wird.

    und dazu kommt kann er nur von behörden ausgelesen werden, also nicht jeder Heinz einfach daran kommt, wobei die frage ist ob er überhaupt ausgelesen wird, oder stattdessen der Ausweis den Prüfabdruck bekommt und diesen mit dem gespeicherten abgleicht und nur ja/nein ausgibt.

    > Der schweizer Perso wird inzwischen innerhalb von 4
    > Stunden oder weniger geknackt. Klar, die Pin hilft ein wenig beim deutschen
    > Perso - solange der Angreifer den Perso nicht sehen kann.)
    >
    > Also maximal ein "vorläufig besser als erwartet"...

    gut ich weiß net was beim Schweizer Perso los ist, daher kann ich dazu nix sagen

    Asperger inside(tm)

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Systemadministrator (m/w/d) Projekte
    Bayerischer Jugendring, München
  2. (Junior) IT Business Partner / Demand Manager - Sales Units (m/w/d)
    Jungheinrich AG, Hamburg
  3. Software Consultant/IT Project Manager (m/w/d)
    ecovium GmbH, Neustadt, Düsseldorf, Pforzheim (Home-Office möglich)
  4. IT-Administrator (m/w/d) mit Schwerpunkt VMware
    Bayerische Versorgungskammer, München (Home-Office möglich)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 399,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de