Elektronischer Personalausweis: Unterschied zwischen den Versionen

aus www.kruedewagen.de, Homepage von Ralf und Judith Krüdewagen (Kruedewagen)
Zur Navigation springen Zur Suche springen
KKeine Bearbeitungszusammenfassung
(27 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
[[Datei:NPA VS.jpg|rechts|400px]]
[[Datei:NPA VS.jpg|rechts|400px|thumb|Muster vom neuen Personalausweis]]
Diese Seite beschäftigt sich mit dem '''elektronischen Personalausweis''' ('''ePA'''), auch genannt "neuer Personalausweis" ('''nPA'''). Die Nutzung der Online-Ausweisfunktion (eID) soll dabei im Mittelpunkt stehen, wobei ich mich auf Linux in Form von [[openSUSE]] als Betriebssystem beschränke.
Diese Seite beschäftigt sich mit dem '''elektronischen Personalausweis''' ('''ePA'''), auch genannt "neuer Personalausweis" ('''nPA'''). Die Nutzung der Online-Ausweisfunktion (eID) soll dabei im Mittelpunkt stehen, wobei ich mich auf Linux in Form von [[openSUSE]] als Betriebssystem beschränke.


== Bewertung des ePA ==  
== Bewertung des ePA ==  
Der ePA ist aus meiner Sicht und aus Expertensicht aus folgenden Gründen umstritten:
Der ePA ist aus meiner Sicht und aus Expertensicht aus folgenden Gründen '''umstritten''':
*Er kann über RFID (Funkschnittstelle) ausgelesen werden, was potentiell (bei entsprechenden bisher unbekannten Sicherheitslücken) das Auslesen erlaubt, ohne dass ich es merke.
*Er kann über '''RFID''' (Funkschnittstelle) ausgelesen werden, was potentiell (bei entsprechenden bisher unbekannten Sicherheitslücken) das Auslesen erlaubt, ohne dass ich es merke.
*Er speichert neben einem biometrischen Passfoto zusätzlich, jedoch freiwillig, auch die Fingerabdrücke des Bürgers. Die biometrische Erfassung der Bürger bringt jedoch keine Sicherheit, eher im Gegenteil, da biometrische Eigenschaften kopiert werden können und daher digitale Identitäten vorgetäuscht werden können. Die Beweislast liegt dann eher beim Bürger (analog zu den Anfängen bei der "sicheren" EC-Karte).
*Er speichert neben einem biometrischen Passfoto zusätzlich, jedoch freiwillig, auch die '''Fingerabdrücke''' des Bürgers. Die biometrische Erfassung der Bürger bringt jedoch keine Sicherheit, eher im Gegenteil, da biometrische Eigenschaften kopiert werden können und daher digitale Identitäten vorgetäuscht werden können. Die Beweislast liegt dann eher beim Bürger (analog zu den Anfängen bei der "sicheren" EC-Karte).
*Man hat die hoheitliche Ausweisfunktion (Identifizierung einer Person) mit den Online-Funktionen vermischt. Eine separate Bürgerkarte für die Online-Funktionen wäre m.E. besser gewesen.
*Man hat die '''hoheitliche Ausweisfunktion''' (Identifizierung einer Person) mit den '''Online-Funktionen''' vermischt. Eine separate Bürgerkarte für die Online-Funktionen wäre m.E. besser gewesen.
*Daher besteht auch online die potentielle Gefahr, dass die eigene "digitale Identität" in falsche Hände gerät.
*Daher besteht auch online die potentielle Gefahr, dass die eigene "digitale Identität" in falsche Hände gerät ('''Identitätsdiebstahl''').
*Die Gefahren der Online-Nutzung werden vor allem durch die erlaubte Nutzung von Basis-Lesegeräten begründet, bei denen die Eingabe der PIN nicht am Lesegerät, sondern am PC stattfindet. <ref>http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa</ref>
*Die Gefahren der Online-Nutzung werden vor allem durch die zulässige Nutzung von '''Basis-Lesegeräten''' begründet, bei denen die Eingabe der PIN nicht am Lesegerät, sondern am PC stattfindet. <ref>http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa</ref>
*Die Quellen der offizielle AusweisApp sind immer nicht nicht offen gelegt, so dass man als Bürger dem Ausgeber voll vertrauen muss - in der Hoffnung , sich keinen Bundestrojaner einzufangen. Die Software ist 100 MB groß und enthält erwiesenermaßen unsichere und veraltete Software (Java). Das ist besonders unter Windows eine Gefahr, auf dem 99% aller PC-Schädlinge beheimatet sind.
*Die Quellen der offizielle '''AusweisApp''' sind immer noch nicht offen gelegt, so dass man als Bürger dem Ausgeber voll vertrauen muss - in der Hoffnung, sich keinen Bundestrojaner einzufangen. Die Software ist 100 MB groß und enthält erwiesenermaßen unsichere und veraltete Software (Java). Das ist besonders unter '''Windows''' eine Gefahr, auf dem 99% aller PC-Schädlinge beheimatet sind.
*Politik und Behörden bewusst die "Sicherheit" und Notwendigkeit des ePA schönreden. <ref>https://netzpolitik.org/2013/wie-das-bundesinnenministerium-den-e-perso-mit-einer-pr-strategie-schoenredet-und-dabei-netzpolitik-org-und-den-ccc-fuerchtet/</ref>
*Politik und Behörden reden bewusst die "Sicherheit" und Notwendigkeit des ePA schön. <ref>https://netzpolitik.org/2013/wie-das-bundesinnenministerium-den-e-perso-mit-einer-pr-strategie-schoenredet-und-dabei-netzpolitik-org-und-den-ccc-fuerchtet/</ref>


Man muss jedoch zugeben, dass bisher abgesehen von den Sicherheitslücken bei Basis-Lesegeräten und der potentiellen Unsicherheit der AusweisApp keine echten Sicherheitslücken beim ePA bekannt sind. Allerdings ist Sicherheit immer Ende-zu-Ende zu sehen, also einschließlich der zur Nutzung nötigen Hard- und Software, die beim Bürger eingesetzt wird. Das schließt das Betriebssystem der PCs mit ein. <ref>http://www.ccc.de/de/updates/2013/epa-mit-virenschutzprogramm</ref>
Man muss jedoch zugeben, dass bisher abgesehen von den Sicherheitslücken bei Basis-Lesegeräten und der potentiellen Unsicherheit der AusweisApp keine echten Sicherheitslücken beim eigentlichen ePA bekannt sind. Allerdings ist '''Sicherheit''' immer Ende-zu-Ende zu sehen, also einschließlich der zur Nutzung nötigen Hard- und Software, die beim Bürger eingesetzt wird. Das schließt das Betriebssystem der PCs mit ein. <ref>http://www.ccc.de/de/updates/2013/epa-mit-virenschutzprogramm</ref>


Nichtsdestotrotz war ich auf die Funktionsweise und Nutzung der eID gespannt, zumal ich als Linux-Anwender weniger Gefahren bei der Nutzung ausgesetzt bin. Warum also nicht wenigstens ausprobieren, damit man weiß, wovon man spricht?
Nichtsdestotrotz war ich auf die Funktionsweise und Nutzung der eID gespannt, zumal ich als Linux-Anwender und IT-Kenner weniger Gefahren bei der Nutzung ausgesetzt bin bzw. die Gefahren besser einschätzen und minimieren kann. Warum also nicht wenigstens ausprobieren, damit man weiß, wovon man spricht?


== Beantragung ==
== Beantragung ==
Der ePA ist schnell beantragt. Man muss lediglich zur zuständigen Personalausweisbehörde (Bürgerbüro) gehen und seinen '''alten Ausweis''' mitbringen. Das obligatorische '''Passbild''' kann man - zumindest hier in Mettmann - recht preiswert direkt im Bürgerbüro anfertigen lassen <ref>http://www.mettmann.de/rathaus/fb1/fb1_2/fb1_2_4/infos/passfotos.php</ref>, wobei vier Stück ausgedruckt werden. Eins davon wird zur Bundesdruckerei geschickt, man bekommt es aber bei der Aushändigung des ePA zurück.
Der ePA ist schnell beantragt. Man muss lediglich zur zuständigen '''Personalausweisbehörde''' (Bürgerbüro) gehen und seinen '''alten Ausweis''' mitbringen. Das obligatorische '''Passbild''' kann man - zumindest hier in Mettmann - recht preiswert direkt im Bürgerbüro anfertigen lassen <ref>http://www.mettmann.de/rathaus/fb1/fb1_2/fb1_2_4/infos/passfotos.php</ref>, wobei vier Stück ausgedruckt werden. Eins davon wird zur Bundesdruckerei geschickt, man bekommt es aber bei der Aushändigung des ePA zurück.


Ich empfehle dringend, die Erfassung und Speicherung von biometrischen Fingerabdrücken auf dem ePA NICHT vornehmen zu lassen. Das ist freiwillig! Die eID wird übrigens erst bei der Ausgabe gemäß Wunsch des Bürgers ein- oder ausgeschaltet.
Ich empfehle dringend, die Erfassung und Speicherung von biometrischen Fingerabdrücken auf dem ePA '''NICHT vornehmen''' zu lassen. Das ist freiwillig! Die eID wird übrigens erst bei der Ausgabe gemäß Wunsch des Bürgers ein- oder ausgeschaltet.


Die Anfertigung des ePA dauert etwa zwei Wochen und wird postalisch angekündigt. Man bekommt einen Brief mit der temporären Transport-PIN, der PUK und einem Sperrkennwort für die telefonische Sperrung der Online-Ausweisfunktion. Diese Angaben bekommt man also auch, wenn man die eID bei der Ausgabe deaktivieren möchte, da Aktivieren und Deaktivieren der Online-Ausweisfunktion jederzeit (beliebig oft?) reversibel möglich sind.
Die Anfertigung des ePA dauert etwa zwei Wochen und wird postalisch angekündigt. Man bekommt einen '''Brief''' mit der temporären Transport-PIN, der PUK und einem Sperrkennwort für die telefonische Sperrung der Online-Ausweisfunktion. Diese Angaben bekommt man also auch, wenn man die eID bei der Ausgabe deaktivieren möchte, da Aktivieren und Deaktivieren der Online-Ausweisfunktion jederzeit (beliebig oft?) reversibel möglich sind.
 
Ich empfehle übrigens, die Transport-PIN nicht in der Ausweisbehörde zu ändern. Zumindest in Mettmann kann man das nur an den PCs der Mitarbeiter machen, die allesamt unter Windows XP zu laufen schienen. Die Beantragung ist damit schon ein Risiko, aber die Änderung meiner PIN möchte ich dann doch lieber in einer sicheren Umgebung machen.


== Online-Ausweisfunktion ==
== Online-Ausweisfunktion ==
Die Online-Ausweisfunktion (eID) kann im Internet genutzt werden, um sich gegenüber einem Dritten auszuweisen. Dabei sind auch Auskünfte wie "ich bin mindestens 18 Jahre alt" möglich. Funktionsweise und Möglichkeiten sind in der Broschüre beschrieben, die man im Bürgerbüro bei der Beantragung ausgehändigt bekommt. Diese [http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Flyer-und-Broschueren/eID_Broschuere.html?nn=3043408 Broschüre] ist auch online verfügbar.
Die Online-Ausweisfunktion (eID) kann im Internet genutzt werden, um sich gegenüber einem Dritten auszuweisen (Name, Anschrift, Geburtsdatum). Dabei sind auch Auskünfte wie "ich bin mindestens 18 Jahre alt" möglich. Funktionsweise und Möglichkeiten sind in der Broschüre beschrieben, die man im Bürgerbüro bei der Beantragung ausgehändigt bekommt. Diese [http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Flyer-und-Broschueren/eID_Broschuere.html?nn=3043408 Broschüre] ist auch online verfügbar.


=== Aktivierung ===
=== Aktivierung ===
Zeile 40: Zeile 42:


=== PUK ===
=== PUK ===
Die PUK ist zum Entsperren des ePA nötig, wenn man die PIN drei Mal falsch eingegeben hat. Sie kann insgesamt zehn Mal verwendet werden.
Die PUK ist zum Entsperren der PIN des ePA nötig, wenn man die PIN drei Mal falsch eingegeben hat. Sie kann insgesamt zehn Mal verwendet werden. Die PUK dient NICHT zum Sperren der Online-Ausweisfunktion.


== Kartenleser ==
== Kartenleser ==
In der [http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Flyer-und-Broschueren/eID_Broschuere.html?nn=3043408 Broschüre] findet man eine Übersicht drei verschiedener Arten von Kartenlesegeräten. Ich empfehle dringend, mindestens einen Standardleser zu verwenden. Basisleser sind in der Gesamtbetrachtung unsicher.
In der [http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Flyer-und-Broschueren/eID_Broschuere.html?nn=3043408 Broschüre] findet man eine Übersicht verschiedener Arten von Kartenlesegeräten. Ich empfehle dringend, mindestens einen Standardleser zu verwenden. Basisleser sind in der Gesamtbetrachtung unsicher.


Ich habe mich für den [http://www.reiner-sct.com/produkte/chipkartenleser/cyberJack_RFID_komfort.html cyberJack® RFID komfort] von REINER SCT entschieden, da er eine gute Linux-Unterstützung bietet und gegenüber dem Standardleser vom gleichen Hersteller auch die qualifizierte digitale Signatur unterstützt, welche freilich derzeit mangels Anbieter brach liegt.
Ich habe mich für den [http://www.reiner-sct.com/produkte/chipkartenleser/cyberJack_RFID_komfort.html cyberJack® RFID komfort] von REINER SCT entschieden, da er eine gute Linux-Unterstützung bietet und gegenüber dem Standardleser vom gleichen Hersteller auch die qualifizierte digitale Signatur unterstützt, welche freilich derzeit mangels Anbieter brach liegt.
Zeile 55: Zeile 57:
</pre>
</pre>


Nach den Einstecken des USB-Kabels am PC, wird das Display erleuchtet. Der Linux-Kernel meldet dann folgendes:
Nach den Einstecken des USB-Kabels am PC wird das Display erleuchtet. Der Linux-Kernel meldet dann folgendes:
<pre>
<pre>
usb 5-1: new full-speed USB device number 4 using ohci-pci
usb 5-1: new full-speed USB device number 4 using ohci-pci
Zeile 84: Zeile 86:
</pre>
</pre>


Hinweis: Der Fehler bei der Gruppeninformation kann unter openSUSE vernachlässigt werden.
Hinweise:
*Bei eingesteckter Karte sollte die grüne (Karten mit elektr. Kontakten) oder blaue (RFID-Karten) LED (kurz) leuchten oder blinken.
*Der Fehler bei der Gruppeninformation kann unter openSUSE vernachlässigt werden.


Zum automatischen Start beim Booten sollte der PCSC-Lite Deamon aktiviert werden:
Zum automatischen Start beim Booten sollte der PCSC-Lite Deamon aktiviert werden:
  systemctl enable pcscd
  systemctl enable pcscd
=== Support ===
*[http://forum.reiner-sct.com REINER SCT Forum]


== Software ==
== Software ==
Ich beschränke mich auf die Nutzung des ePA mit dem ''cyberJack® RFID komfort'' Kartenleser unter [[openSUSE]]. Meines Erachtens muss man von der Nutzung der Online-Ausweisfunktion unter Windows abraten, es sei denn, man weiß genau, wie man ein halbwegs "sicheres" Windows hinbekommt.


=== AusweisApp ===
=== AusweisApp ===
Die [https://www.ausweisapp.bund.de AusweisApp] ist ein Software-Monstrum, vor dem man warnen muss (siehe oben). Außerdem wird nur eine sehr alte Firefox-Version unterstützt. Totaler Mist also. Leider bietet die AusweisApp meines Wissens derzeit die einzige Möglichkeit, die PIN zu ändern, so dass man sie zumindest einmalig zum Ändern der Transport-PIN nutzen muss.
==== Version 1 ====
Die [https://www.ausweisapp.bund.de AusweisApp] ist ein Software-Monstrum, vor dem man '''warnen''' muss (siehe oben). Außerdem wird nur eine sehr alte Firefox-Version unterstützt. Totaler Mist also. Leider bietet die AusweisApp meines Wissens derzeit die einzige Möglichkeit, die '''PIN zu ändern''', so dass man sie zumindest einmalig zum Ändern der Transport-PIN installieren und nutzen muss.


Die [https://www.ausweisapp.bund.de/pweb/filedownload/download_pre.do Installation] unter openSUSE verlief problemlos. Man muss allerdings zuvor (auch) die 32Bit-Version der pcsc-Bibliotheken installieren (''libpcsclite1-32bit'').
Die [https://www.ausweisapp.bund.de/pweb/filedownload/download_pre.do Installation] unter openSUSE verlief problemlos. Man muss allerdings zuvor (auch) die 32Bit-Version der ''pcsc''-Bibliotheken installieren (''libpcsclite1-32bit'').


Starten der AusweiApp:
'''Starten''' der AusweisApp:
  /opt/olsc/AusweisApp/bc.sh -splash
  /opt/olsc/AusweisApp/bc.sh -splash


=== openECard ===
==== Version 2 ====
Als brauchbare und bevorzugte Alternative zur AusweiApp steht eine App von [https://www.openecard.org Open eCard] zur Verfügung, welche schlank ist, im Quellcode offen liegt, mit jedem gängigen Browser läuft und keine eigene Java-Umgebung mitbringt <ref>http://www.heise.de/newsticker/meldung/Nikolaus-bringt-halbe-App-fuer-Personalausweis-und-Gesundheitskarte-1763581.html</ref><ref>http://www.heise.de/artikel-archiv/ix/2013/04/146_Sicher-und-unabhaengig</ref>. Zur [https://www.openecard.org/de/download/pc Installation] muss man einfach die jar-Datei herunterladen, die man anschließend vor der Nutzung der eID in einer Webapplikation starten muss:
Leider bietet Version 2 der AusweisApp keine Linux-Unterstützung mehr.
  java -jar ~/Downloads/OpeneCardApp-1.0.4.jar
 
Siehe:
*[http://www.heise.de/newsticker/meldung/Neuer-Personalausweis-Ausweisapp2-weg-vom-Browser-weg-von-Linux-2440826.html Neuer Personalausweis: Ausweisapp2 - weg vom Browser, weg von Linux]
 
=== Open eCard ===
Als brauchbare und bevorzugte Alternative zur AusweisApp steht eine App von [https://www.openecard.org Open eCard] zur Verfügung, welche schlank ist, im Quellcode offen liegt, mit jedem gängigen Browser läuft und keine eigene Java-Umgebung mitbringt <ref>http://www.heise.de/newsticker/meldung/Nikolaus-bringt-halbe-App-fuer-Personalausweis-und-Gesundheitskarte-1763581.html</ref><ref>http://www.heise.de/artikel-archiv/ix/2013/04/146_Sicher-und-unabhaengig</ref><ref>https://www.openecard.org/aktuelles/detailansicht/datum/2014/11/06/plattformunabhaengige-und-erweiterbare-open-ecard-app-veroeffentlicht/</ref>. Zur [https://www.openecard.org/download/pc Installation] muss man einfach die ''jar''-Datei herunterladen (ein fertiges jar-File wird wohl nicht mehr angeboten), die man anschließend jeweils vor der Nutzung der eID-Webapplikation starten muss:
  java -jar /opt/OpeneCardApp/OpeneCardApp-1.1.0-rc.jar


Die App horcht unter http://127.0.0.1:24727 auf eingehende Anfragen.
Oder man startet die Anwendung per JNLP:
http://jnlp.openecard.org/openecard.jnlp
bzw. lokal:
cd /opt/OpeneCardApp/
wget -4 http://jnlp.openecard.org/openecard.jnlp
javaws /opt/OpeneCardApp/openecard.jnlp
 
Die App horcht unter http://127.0.0.1:24727 auf eingehende Anfragen. Unter KDE erscheint ein Icon in der Systemleiste.


Logdateien und Konfiguration:
Logdateien und Konfiguration:
  ~/.openecard
  ~/.openecard
=== PersoApp ===
*https://www.persoapp.de
*App ist proprietär
*Bibliothek ist Open Source
=== AusweisIDent ===
*Einbindung in eigene Webapplikation ohne eigene eID-Infrastruktur
*Bundesdruckerei
*https://www.ausweisident.de/
*https://www.heise.de/meldung/PostIdent-Alternative-mit-Personalausweis-4226111.html
== Digitale Signatur ==
*[https://www.bundesdruckerei.de/de/199-sign-me Sign-me]


== Nutzungsmöglichkeiten ==
== Nutzungsmöglichkeiten ==
Siehe
Siehe
*[http://www.personalausweisportal.de/DE/Buergerinnen-und-Buerger/Anwendungen/Anwendungen_node.html Anwendungen]
*[http://www.personalausweisportal.de/DE/Buergerinnen-und-Buerger/Anwendungen/Anwendungen_node.html Anwendungen]
Was schon funktionierte:
*Eine Anmeldung bei der [https://meine.allianz.de Allianz] hat tadellos funktioniert mit Hilfe der Open eCard App.
== Thema "Ausweis kopieren" ==
*[https://www.heise.de/newsticker/meldung/Kommentar-Unerlaubte-Ausweiskopien-niemanden-kuemmert-s-3595520.html Kommentar: Unerlaubte Ausweiskopien – niemanden kümmert's] (heise.de)


== Weblinks ==
== Weblinks ==
*[http://www.personalausweisportal.de Der neue Personalausweis] (personalausweisportal.de)
*[http://www.personalausweisportal.de Der neue Personalausweis] (personalausweisportal.de)
*[http://www.bundesdruckerei.de/de/1548-neuer-personalausweis Bundesdruckerei]
*[http://www.bundesdruckerei.de/de/1548-neuer-personalausweis Bundesdruckerei]
*[http://de.wikipedia.org/wiki/Elektronischer_Personalausweis#Der_elektronische_Personalausweis_.28nPA.29 Wikipedia]
*[http://www.shredzone.de/cilla/page/347/fedora-15-cyberjack-kartenleser-in-betrieb-nehmen.html cyberJack-Kartenleser und Anwendungen] (shredzone.de)
*[http://www.common-eid.org Common-eID]-Projekt


== Referenzen ==
== Referenzen ==
<references />
<references />

Version vom 25. November 2018, 10:43 Uhr

Muster vom neuen Personalausweis

Diese Seite beschäftigt sich mit dem elektronischen Personalausweis (ePA), auch genannt "neuer Personalausweis" (nPA). Die Nutzung der Online-Ausweisfunktion (eID) soll dabei im Mittelpunkt stehen, wobei ich mich auf Linux in Form von openSUSE als Betriebssystem beschränke.

Bewertung des ePA

Der ePA ist aus meiner Sicht und aus Expertensicht aus folgenden Gründen umstritten:

  • Er kann über RFID (Funkschnittstelle) ausgelesen werden, was potentiell (bei entsprechenden bisher unbekannten Sicherheitslücken) das Auslesen erlaubt, ohne dass ich es merke.
  • Er speichert neben einem biometrischen Passfoto zusätzlich, jedoch freiwillig, auch die Fingerabdrücke des Bürgers. Die biometrische Erfassung der Bürger bringt jedoch keine Sicherheit, eher im Gegenteil, da biometrische Eigenschaften kopiert werden können und daher digitale Identitäten vorgetäuscht werden können. Die Beweislast liegt dann eher beim Bürger (analog zu den Anfängen bei der "sicheren" EC-Karte).
  • Man hat die hoheitliche Ausweisfunktion (Identifizierung einer Person) mit den Online-Funktionen vermischt. Eine separate Bürgerkarte für die Online-Funktionen wäre m.E. besser gewesen.
  • Daher besteht auch online die potentielle Gefahr, dass die eigene "digitale Identität" in falsche Hände gerät (Identitätsdiebstahl).
  • Die Gefahren der Online-Nutzung werden vor allem durch die zulässige Nutzung von Basis-Lesegeräten begründet, bei denen die Eingabe der PIN nicht am Lesegerät, sondern am PC stattfindet. [1]
  • Die Quellen der offizielle AusweisApp sind immer noch nicht offen gelegt, so dass man als Bürger dem Ausgeber voll vertrauen muss - in der Hoffnung, sich keinen Bundestrojaner einzufangen. Die Software ist 100 MB groß und enthält erwiesenermaßen unsichere und veraltete Software (Java). Das ist besonders unter Windows eine Gefahr, auf dem 99% aller PC-Schädlinge beheimatet sind.
  • Politik und Behörden reden bewusst die "Sicherheit" und Notwendigkeit des ePA schön. [2]

Man muss jedoch zugeben, dass bisher abgesehen von den Sicherheitslücken bei Basis-Lesegeräten und der potentiellen Unsicherheit der AusweisApp keine echten Sicherheitslücken beim eigentlichen ePA bekannt sind. Allerdings ist Sicherheit immer Ende-zu-Ende zu sehen, also einschließlich der zur Nutzung nötigen Hard- und Software, die beim Bürger eingesetzt wird. Das schließt das Betriebssystem der PCs mit ein. [3]

Nichtsdestotrotz war ich auf die Funktionsweise und Nutzung der eID gespannt, zumal ich als Linux-Anwender und IT-Kenner weniger Gefahren bei der Nutzung ausgesetzt bin bzw. die Gefahren besser einschätzen und minimieren kann. Warum also nicht wenigstens ausprobieren, damit man weiß, wovon man spricht?

Beantragung

Der ePA ist schnell beantragt. Man muss lediglich zur zuständigen Personalausweisbehörde (Bürgerbüro) gehen und seinen alten Ausweis mitbringen. Das obligatorische Passbild kann man - zumindest hier in Mettmann - recht preiswert direkt im Bürgerbüro anfertigen lassen [4], wobei vier Stück ausgedruckt werden. Eins davon wird zur Bundesdruckerei geschickt, man bekommt es aber bei der Aushändigung des ePA zurück.

Ich empfehle dringend, die Erfassung und Speicherung von biometrischen Fingerabdrücken auf dem ePA NICHT vornehmen zu lassen. Das ist freiwillig! Die eID wird übrigens erst bei der Ausgabe gemäß Wunsch des Bürgers ein- oder ausgeschaltet.

Die Anfertigung des ePA dauert etwa zwei Wochen und wird postalisch angekündigt. Man bekommt einen Brief mit der temporären Transport-PIN, der PUK und einem Sperrkennwort für die telefonische Sperrung der Online-Ausweisfunktion. Diese Angaben bekommt man also auch, wenn man die eID bei der Ausgabe deaktivieren möchte, da Aktivieren und Deaktivieren der Online-Ausweisfunktion jederzeit (beliebig oft?) reversibel möglich sind.

Ich empfehle übrigens, die Transport-PIN nicht in der Ausweisbehörde zu ändern. Zumindest in Mettmann kann man das nur an den PCs der Mitarbeiter machen, die allesamt unter Windows XP zu laufen schienen. Die Beantragung ist damit schon ein Risiko, aber die Änderung meiner PIN möchte ich dann doch lieber in einer sicheren Umgebung machen.

Online-Ausweisfunktion

Die Online-Ausweisfunktion (eID) kann im Internet genutzt werden, um sich gegenüber einem Dritten auszuweisen (Name, Anschrift, Geburtsdatum). Dabei sind auch Auskünfte wie "ich bin mindestens 18 Jahre alt" möglich. Funktionsweise und Möglichkeiten sind in der Broschüre beschrieben, die man im Bürgerbüro bei der Beantragung ausgehändigt bekommt. Diese Broschüre ist auch online verfügbar.

Aktivierung

Die Online-Ausweisfunktion wird standardmäßig bei der Ausgabe des ePA aktiviert, es sei denn, man entscheidet sich bewusst dagegen. Nach einer Sperrung (s.u.) kann die erneute Aktivierung (nur) in der Personalausweisbehörde erfolgen.

Sperrung

Eine Sperrung der eID - nach Verlust des ePA oder wenn man die Online-Ausweisfunktion nicht mehr nutzen möchte - kann in der Personalausweisbehörde oder telefonisch erfolgen.

Telefonischer Sperrnotruf:

  • 116116 (kostenfrei)
  • +49116116 (gebührenpflichtig aus dem Ausland)
  • +49-30-40504050

Zumindest telefonisch ist zwingend das im Brief genannte Sperrkennwort (das ist NICHT die PUK!) nötig.

PUK

Die PUK ist zum Entsperren der PIN des ePA nötig, wenn man die PIN drei Mal falsch eingegeben hat. Sie kann insgesamt zehn Mal verwendet werden. Die PUK dient NICHT zum Sperren der Online-Ausweisfunktion.

Kartenleser

In der Broschüre findet man eine Übersicht verschiedener Arten von Kartenlesegeräten. Ich empfehle dringend, mindestens einen Standardleser zu verwenden. Basisleser sind in der Gesamtbetrachtung unsicher.

Ich habe mich für den cyberJack® RFID komfort von REINER SCT entschieden, da er eine gute Linux-Unterstützung bietet und gegenüber dem Standardleser vom gleichen Hersteller auch die qualifizierte digitale Signatur unterstützt, welche freilich derzeit mangels Anbieter brach liegt.

Treiber installieren

Die Treiber des cyberJack® RFID komfort sind in allen gängigen Linux-Distributionen enthalten. Unter openSUSE 13.1 musste ich folgende Pakete installieren:

pcsc-cyberjack-3.99.5final.SP03
pcsc-lite-1.8.8
libpcsclite1-1.8.8

Nach den Einstecken des USB-Kabels am PC wird das Display erleuchtet. Der Linux-Kernel meldet dann folgendes:

usb 5-1: new full-speed USB device number 4 using ohci-pci
usb 5-1: New USB device found, idVendor=0c4b, idProduct=0501
usb 5-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
usb 5-1: Product: cyberJack RFID komfort
usb 5-1: Manufacturer: REINER SCT
usb 5-1: SerialNumber: xxxx
Starting Smart Card.
Reached target Smart Card.

Prüfen der Funktionalität:

cyberjack

Ausgabe:

EGIN: ermittle Distribution (0/5)
END  : ermittle Distribution (1/5) [OK]
BEGIN: ermittle Systeminformationen (1/5)
END  : ermittle Systeminformationen (2/5) [OK]
BEGIN: ermittle Gruppeninformation (2/5)
END  : ermittle Gruppeninformation (3/5) [ERROR]
BEGIN: ermittle laufende Dienste (3/5)
END  : ermittle laufende Dienste (4/5) [OK]
BEGIN: ermittle und teste angeschlossene Leser (4/5)
END  : ermittle und teste angeschlossene Leser (5/5) [OK]

Hinweise:

  • Bei eingesteckter Karte sollte die grüne (Karten mit elektr. Kontakten) oder blaue (RFID-Karten) LED (kurz) leuchten oder blinken.
  • Der Fehler bei der Gruppeninformation kann unter openSUSE vernachlässigt werden.

Zum automatischen Start beim Booten sollte der PCSC-Lite Deamon aktiviert werden:

systemctl enable pcscd

Support

Software

AusweisApp

Version 1

Die AusweisApp ist ein Software-Monstrum, vor dem man warnen muss (siehe oben). Außerdem wird nur eine sehr alte Firefox-Version unterstützt. Totaler Mist also. Leider bietet die AusweisApp meines Wissens derzeit die einzige Möglichkeit, die PIN zu ändern, so dass man sie zumindest einmalig zum Ändern der Transport-PIN installieren und nutzen muss.

Die Installation unter openSUSE verlief problemlos. Man muss allerdings zuvor (auch) die 32Bit-Version der pcsc-Bibliotheken installieren (libpcsclite1-32bit).

Starten der AusweisApp:

/opt/olsc/AusweisApp/bc.sh -splash

Version 2

Leider bietet Version 2 der AusweisApp keine Linux-Unterstützung mehr.

Siehe:

Open eCard

Als brauchbare und bevorzugte Alternative zur AusweisApp steht eine App von Open eCard zur Verfügung, welche schlank ist, im Quellcode offen liegt, mit jedem gängigen Browser läuft und keine eigene Java-Umgebung mitbringt [5][6][7]. Zur Installation muss man einfach die jar-Datei herunterladen (ein fertiges jar-File wird wohl nicht mehr angeboten), die man anschließend jeweils vor der Nutzung der eID-Webapplikation starten muss:

java -jar /opt/OpeneCardApp/OpeneCardApp-1.1.0-rc.jar

Oder man startet die Anwendung per JNLP:

http://jnlp.openecard.org/openecard.jnlp

bzw. lokal:

cd /opt/OpeneCardApp/
wget -4 http://jnlp.openecard.org/openecard.jnlp
javaws /opt/OpeneCardApp/openecard.jnlp

Die App horcht unter http://127.0.0.1:24727 auf eingehende Anfragen. Unter KDE erscheint ein Icon in der Systemleiste.

Logdateien und Konfiguration:

~/.openecard

PersoApp

AusweisIDent

Digitale Signatur

Nutzungsmöglichkeiten

Siehe

Was schon funktionierte:

  • Eine Anmeldung bei der Allianz hat tadellos funktioniert mit Hilfe der Open eCard App.

Thema "Ausweis kopieren"

Weblinks

Referenzen