Archiv für den Monat: August 2010

Demo „Freiheit statt Angst“ 2010

Am 11. September findet in Berlin wieder eine Demo „Freiheit statt Angst“ statt. Die Demonstration richtet sich wie auch in 2009 gegen ausufernde Überwachung und Kontrolle der Bürger. Wer nicht hingeht, kann auch für die Durchführung spenden.

Passend dazu war die Demo zuletzt Thema beim Chaosradio CR160.

Und hier noch der Trailer zur Demo auf YouTube:

Elektronischer Personalausweis kommt mit unsicheren Lesegeräten

In der letzten Plusminus-Sendung wurde in Zusammenarbeit mit dem CCC gezeigt, dass der im November kommende neue elektronische Personalausweis (ePA) in Zusammenhang mit den dann kostenlos verteilten Lesegeräten unsicher ist. Nun, das ist insofern keine Überraschung, als dass jede Anwendung, die auf dem PC läuft (hier betrifft es mindestens das Eingeben der PIN über die PC-Tastatur), prinzipiell nie zu 100% sicher ist. Das gilt vermehrt für die vielen Lemminge mit Windows-Rechnern, von denen das Bundesinnenministerium verlangt, dass sie für die Sicherheit der PC-Umgebung sorgen müssen. Aber hat das jemals geklappt?

Hier das Video zur Sendung:

Quelle: ARD, über YouTube

Da es immer eine Unsicherheitskomponente gibt, und sei es der Mensch selbst, hätte man meines Erachtens den ePA als hoheitliches Dokument nicht so mit neuen Funktionen überladen dürfen. Die beiden Kardinalfehler beim ePA sind aus meiner Sicht:

1) RFID/NFC-Schnittstelle

Damit können Daten über Funk (im Nahbereich) ausgelesen werden. Falls jemand diese Schnittstelle knackt oder bei authentifizierten Übertragungen mitlesen kann, ist die Sicherheit des Gesamtsystems am Ende. Derzeit ist das Auslesen der verschlüsselten Daten zwar nur nach Authentifizierung der Lesegeräte und PIN-Eingabe möglich, aber wie beim Online-Banking, bei dem die eigentlichen Kryptoverfahren auch sicher sind, wird es über kurz oder lang wahrscheinlich Möglichkeiten geben, diese ePA-Sicherheit zu umgehen (Pishing, Skimming, Man-in-the-middle, etc.).

Und ganz wichtig: Ich selbst habe keine unmittelbare physische Gewalt mehr über dieses Schnittstelle. Außer Schutz durch Alu-Hüllen.

2) Kopplung mit privatwirtschaftlichen Funktionen

Wieso wird der ePA mit Funktionen ausgestattet, die größtenteils der Privatwirtschaft nützen? Der ePA sollte ein rein hoheitliches Dokument bleiben. Alles andere (eID, digitale Zertifikate mit Signaturfunktion) gehört auf eine separate (Bürger-)Karte.

Diese beiden Punkte hätten jedem halbwegs kompetenten und lernwilligen Entscheider auffallen müssen. Denn ist so ein System erst mal gehackt, dann geht es uns wie bei den EC-Karten. Wehe dem, dessen Identität plötzlich missbraucht wird und in der Beweispflicht steht.

Weitere Infos:

Chaosradio CR159 – Digitale Postkarten

Die aktuelle Chaosradio Ausgabe CR159 steht unter dem Titel „Digitale Postkarten“ und berichtet „über die Versuche, elektronische Post staatlich zu organisieren und kostenpflichtig zu machen“. Damit sind die Dienste De-Mail und E-Postbrief gemeint.

Demnach sind weitere Nachteile der „Bezahlmail“-Dienste, die ich noch nicht genannt hatte:

  • Die digitalen Postkarten gelten spätestens 3 Tage nach Ablage der Nachricht in der Mailbox als zugestellt. Das ist in der analogen Welt, verglichen mit einem Einschreiben, nicht so. Dort wird darauf geachtet, dass ich persönlich das Einschreiben in den Händen halte. Erst dann beginnen Fristen. Bei den elektronischen Varianten liegt die Mailbox zudem bei einem privatwirtschaftlichen Anbieter und damit außerhalb meines Machtbereichs.
  • De-Mail & Co. sollen keine Dokumente ersetzen, die der Schriftform unterliegen. Die dafür nötige qualifizierte elektronische Signatur ist indes heute schon möglich, wird jedoch bei De-Mail & Co. nicht angewandt. Wozu also De-Mail ?

Eine schöne Zusammenfassung der Problematik mit De-Mail und E-Postbrief bietet Heise in der aktuellen c’t unter dem Titel „Elektronische Einschreiben„, wobei der Schlusssatz es auf den Punkt bringt:

Während Unternehmen und Behörden viel Porto sparen, bekommen Privatkunden mehr Pflichten aufgebürdet als bei der Zustellung der Papierpost und müssen einem System vertrauen, von dem noch nicht bekannt ist, ob es wirksam gegen Angriffe und Spam-Attacken geschützt ist und die Korrespondenz dort sicher aufgehoben ist.

Quelle CR159: Chaosradio