Kritik am             neuen Personalausweis                                Sebastian BeschkeDiskussionsbeitrag für die Sit...
Übersicht●   Angriffsszenario●   Das Problem●   Gegenmaßnahmen●   Vermischtes●   Fazit
Angriffsszenario   Verwenden der eID-Funktion: Online-Identitätsnachweis                               Daten              ...
Angriffsszenario                                                       Identität OK!                         Daten        ...
Angriffsszenario                                                      Identität OK!                      Daten            ...
Angriffsszenario               (Zusammenfassung)●   Bedingungen:    ●   Rechner des Opfers ist infiziert    ●   Basisleseg...
Das ProblemEs gelten dieselben Sorgfaltspflichten, die bereits  heute bei Internetanwendungen - etwa beim  Online-Banking ...
Das Problem●   Der Angriff hat gezeigt:    ●   Die Ausweisung per eID darf nicht als sichere        Ausweisung betrachtet ...
Gegenmaßnahmen●   Heutiges Online-Banking:    ●   mTAN: Einmalige Transaktionsnummer aufs Handy    ●   Paypal: Gerät, dass...
Vermischtes●   Speicherung biometrischer Daten    ●   Einsetzbarkeit und Sicherheitsgewinn: fraglich●   AusweisApp    ●   ...
Fazit●   Nutzung der elektronischen Funktionen des    nPA kann nicht empfohlen werden●   Sie sind nicht sicherer als bishe...
Fragen?
Quellen●   Zitierte Quellen:     ●   [1] Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID u...
Nächste SlideShare
Wird geladen in …5
×

Kritik am neuen Personalausweis

759 Aufrufe

Veröffentlicht am

Präsentation für die Sitzung der Jusos Tübingen am 2.12.2010

Veröffentlicht in: News & Politik
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
759
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
7
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Kritik am neuen Personalausweis

  1. 1. Kritik am neuen Personalausweis Sebastian BeschkeDiskussionsbeitrag für die Sitzungder Jusos Tübingen am 2.12.2010
  2. 2. Übersicht● Angriffsszenario● Das Problem● Gegenmaßnahmen● Vermischtes● Fazit
  3. 3. Angriffsszenario Verwenden der eID-Funktion: Online-Identitätsnachweis Daten (verschlüsselt352318 Identität OK! für Anbieter) Internet PIN Daten Anbieter Bürger Näheres zum Angriff: Siehe [1], [2]
  4. 4. Angriffsszenario Identität OK! Daten (verschlüsselt)352318 Internet PIN PIN Daten Anbieter 352318 Angreifer Bürger
  5. 5. Angriffsszenario Identität OK! Daten (verschlüsselt) Internet AnbieterPIN Daten PIN 352318 Angreifer Bürger
  6. 6. Angriffsszenario (Zusammenfassung)● Bedingungen: ● Rechner des Opfers ist infiziert ● Basislesegerät ohne Tastatur wird eingesetzt ● Ausweis liegt auf dem Lesegerät● Angreifer spioniert die PIN des Opfers aus● Angreifer steuert Rechner des Opfers fern ● Macht Anfrage (z.B. an Bank: Konto eröffnen) ● Benutzt Lesegerät und Ausweis des Opfers, um sich als es auszugeben
  7. 7. Das ProblemEs gelten dieselben Sorgfaltspflichten, die bereits heute bei Internetanwendungen - etwa beim Online-Banking - zum Tragen kommen. Dazu gehört eine sichere Computerumgebung. Cornelia Rogall-Grothe, IT-Beauftragte der Bundesregierung [3] Zur Zeit ist die Haftung sehr unzureichendgeregelt. Sie ist im Wesentlichen zu Ungunstendes Verbrauchers geregelt. Das heißt, wenn esMissbräuche gibt […], hat der Verbraucher nichtnur den Schaden, sondern er muss im Zweifel auch noch beweisen, dass er es nicht war. Michael Bobrowski, Verbraucherzentrale Bundesverband [2]
  8. 8. Das Problem● Der Angriff hat gezeigt: ● Die Ausweisung per eID darf nicht als sichere Ausweisung betrachtet werden ● Jedoch ist genau dies vorgesehen● Die Verantwortung wird auf den Verbraucher abgewälzt ● Dieser ist jedoch i.d.R. nicht in der Lage, angemessene Sicherheitsvorkehrungen zu treffen
  9. 9. Gegenmaßnahmen● Heutiges Online-Banking: ● mTAN: Einmalige Transaktionsnummer aufs Handy ● Paypal: Gerät, dass einmalige Transaktionsnummern generiert● Allgemein: Transaktionsverifizierung durch Verwendung eines unabhängigen Kanals● Beim nPA nicht vorgesehen
  10. 10. Vermischtes● Speicherung biometrischer Daten ● Einsetzbarkeit und Sicherheitsgewinn: fraglich● AusweisApp ● Sicherheitslücke innerhalb von 2 Tagen nach Veröffentlichung● Noch nicht verfügbar: Signaturfunktion ● Erhebliche Mängel bei ähnlicher Funktion der Schweizer SuisseID● Man darf gespannt sein
  11. 11. Fazit● Nutzung der elektronischen Funktionen des nPA kann nicht empfohlen werden● Sie sind nicht sicherer als bisherige Verfahren, da diese bei Bedarf zusätzliche Verifikationswege einsetzen „Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert.“ Dirk Engling, CCC-Sprecher [1]
  12. 12. Fragen?
  13. 13. Quellen● Zitierte Quellen: ● [1] Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis https://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa ● [2] plusminus vom 24.08.2010: Neuer Personalausweis: Höhere Gebühr – mehr Sicherheit? https://mediathek.daserste.de/daserste/servlet/content/5249848 ● [3] „Sicherste Technik, die es gibt“ – Interview mit Cornelia Rogall-Grothe https://www.faz.net/-01jfes● Weitere Informationen: ● [4] Zu den Aussagen von Frau Rogall-Grothe: Wer hat eigentlich eine Juristin zur "Bundes-CIO" gemacht? https://blog.andreas.org/display?id=8 ● [5] Zu Biometrie: ePass und ePA – Fingerzeig auf Unsicherheiten in Prozeß und Hardware https://media.ccc.de/browse/conferences/sigint09/SIGINT09_3139_de_epass_und_epa.html ● [6] Zur AusweisApp: AusweisApp gehackt (Malware über Autoupdate) https://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/

×