In einer öffentlichen Vorführung bei der Black Hat Sicherheitskonferenz, die am 3. August 2006 in Las Vegas stattfand, zeigte Lukas Grunwald, technischer Vorstand des deutschen Sicherheitsberatungsunternehmen DN-Systems Enterprise Internet Solutions, wie man einen elektronischen Pass klonen kann. Die Herstellungsindustrie der Pässe hat die Behauptungen abgestritten.
Der deutsche Referent demonstrierte, dass die Daten auf dem Chip im e-Pass leicht kopiert werden können. Er hat bewiesen, dass die Daten auf einen leeren Chip übertragen und anschließend in ein leeres Dokument eingefügt werden können, das für das elektronische Lesegerät wie der Originalpass aussieht.
Demnach könnte ein Terrorist einen Pass mit seinem/ihrem wirklichen Namen und Foto verwenden, der einen gefälschten Chip mit abweichender Information, die von einem fremden Pass kopiert worden ist, enthält, und der ein elektronisches Screeningsystem passieren kann. Grunwald verwendete bei seiner Demonstration einen neuen deutschen EU-Pass, die Methode kann jedoch bei jedem neuen elektronischen Pass angewendet werden. Er gab zu bedenken: „Aus meiner Sicht sind alle diese (biometrischen) Pässe eine riesige Geldverschwendung – sie verbessern die Sicherheit in keiner Weise.“
Dennoch gibt die Smart Card Alliance an, e-Pässe wären sicher und beinahe unmöglich zu fälschen, weil sie auf mehreren Sicherheitsschichten basieren. Obwohl die Daten auf dem Chip zurzeit nicht verschlüsselt sind, werden sie von den Behörden, die den Pass genehmigen, digital gekennzeichnet, was jede Änderung bei der Passkontrolle „sichtbar“ macht.
Grunwalds Fälschungstechnik setzt den Besitz des Originalpasses voraus, welcher nicht aus jemandes Tasche oder Koffer heraus geklont werden kann. Der e-Pass besitzt ein Merkmal namens Basic Access Control, der die Entriegelung des RFIDi Chips durch Beamte mit einem einzigartigen Schlüssel, der in die Seiten des Passes gedruckt ist, erfordert.
Frank Moss, stellvertretender Ministerialdirektor für Passangelegenheiten im Außenministerium sagte, das digitale Foto des Passinhabers und die personelle Passkontrolle würde den Gebrauch gefälschter Pässe unterbinden.
Bezugnehmend auf Lukas Grunewald sagte Moss: „Was dieser Mann getan hat kommt weder unerwartet noch war es besonders bemerkenswert. Der Chip ist an und für sich keine Wunderwaffe .... Er ist eine zusätzliche Maßnahme um zu überprüfen, ob die Person, die den Pass mit sich führt auch die Person ist, für den der Pass von der jeweilig zuständigen Regierung ausgestellt worden ist.“ Andererseits sagte er auch, dass es dennoch Länder gäbe, die in Erwägung zögen, die personelle Prüfung [der Pässe] zu vernachlässigen und nur mehr die elektronische automatisierte Kontrolle zu verwenden.
Eine weitere Sorge, der auf der Black Hat Konferenz Ausdruck verliehen wurde, steht in Verbindung mit der Tatsache dass ein e-Pass, obwohl durch einen Metallfaden geschützt, der im Schutzumschlag eingebettet ist, wenn er auch nur ein klein wenig geöffnet ist, von jedem Leser leicht eingesehen werden kann.
Industry group defends e-passports (11.08.06)
Hackers crack new biometric passports (07.08.06)
e-passport cloning risks exposed (04.08.06)
Hackers Clone E-Passports (03.08.06)
Trackback URL für diesen Eintrag:
http://www.unwatched.org/trackback/219
