Elektronischer Personalausweis: Unterschied zwischen den Versionen

aus www.kruedewagen.de, Homepage von Ralf und Judith Krüdewagen (Kruedewagen)
Zur Navigation springen Zur Suche springen
Zeile 36: Zeile 36:
*+49-30-40504050
*+49-30-40504050


Zumindest telefonisch ist zwingend das im Brief genannte Sperrkennwort (das ist NICHT die PUK!) nötig.
Zumindest telefonisch ist zwingend das im Brief genannte '''Sperrkennwort''' (das ist NICHT die PUK!) nötig.


=== PUK ===
=== PUK ===

Version vom 26. Januar 2014, 13:51 Uhr

Diese Seite beschäftigt sich mit dem elektronischen Personalausweis (ePA), auch genannt "neuer Personalausweis" (nPA). Die Nutzung der Online-Ausweisfunktion (eID) soll dabei im Mittelpunkt stehen, wobei ich mich auf Linux in Form von openSUSE als Betriebssystem beschränke.

Kritik am ePA

Der ePA ist aus meiner Sicht und aus Expertensicht aus folgenden Gründen umstritten:

  • Er kann über RFID (Funkschnittstelle) ausgelesen werden, was potentiell (bei entsprechenden bisher unbekannten Sicherheitslücken) das Auslesen erlaubt, ohne dass ich es merke.
  • Er speichert neben einem biometrischen Passfoto zusätzlich, jedoch freiwillig, auch die Fingerabdrücke des Bürgers. Die biometrische Erfassung der Bürger bringt jedoch keine Sicherheit, eher im Gegenteil, da biometrische Eigenschaften kopiert werden können und daher digitale Identitäten vorgetäuscht werden können. Die Beweislast liegt dann eher beim Bürger (analog zu den Anfängen bei der "sicheren" EC-Karte).
  • Man hat die hoheitliche Ausweisfunktion (Identifizierung einer Person) mit den Online-Funktionen vermischt. Eine separate Bürgerkarte für die Online-Funktionen wäre m.E. besser gewesen.
  • Daher besteht auch online die potentielle Gefahr, dass die eigene "digitale Identität" in falsche Hände gerät.
  • Die Gefahren der Online-Nutzung werden vor allem durch die erlaubte Nutzung von Basis-Lesegeräten begründet, bei denen die Eingabe der PIN nicht am Lesegerät, sondern am PC stattfindet. [1]
  • Die Quellen der offizielle AusweisApp sind immer nicht nicht offen gelegt, so dass man als Bürger dem Ausgeber voll vertrauen muss - in der Hoffnung , sich keinen Bundestrojaner einzufangen. Die Software ist 100 MB groß und enthält erwiesenermaßen unsichere und veraltete Software (Java). Das ist besonders unter Windows eine Gefahr, auf dem 99% aller PC-Schädlinge beheimatet sind.
  • Politik und Behörden bewusst die "Sicherheit" und Notwendigkeit des ePA schönreden. [2]

Man muss jedoch zugeben, dass bisher abgesehen von den Sicherheitslücken bei Basis-Lesegeräten und der potentiellen Unsicherheit der AusweisApp keine echten Sicherheitslücken beim ePA bekannt sind. Allerdings ist Sicherheit immer Ende-zu-Ende zu sehen, also einschließlich der zur Nutzung nötigen Hard- und Software, die beim Bürger eingesetzt wird. Das schließt das Betriebssystem der PCs mit ein. [3]

Nichtsdestotrotz war ich auf die Funktionsweise und Nutzung der eID gespannt, zumal ich als Linux-Anwender weniger Gefahren bei der Nutzung ausgesetzt bin. Warum also nicht wenigstens ausprobieren, damit man weiß, wovon man spricht?

Beantragung

Der ePA ist schnell beantragt. Man muss lediglich zur zuständigen Personalausweisbehörde (Bürgerbüro) gehen und seinen alten Ausweis mitbringen. Das obligatorische Passbild kann man - zumindest hier in Mettmann - recht preiswert direkt im Bürgerbüro anfertigen lassen [4], wobei vier Stück ausgedruckt werden. Eins davon wird zur Bundesdruckerei geschickt, man bekommt es aber bei der Aushändigung des ePA zurück.

Ich empfehle dringend, die Erfassung und Speicherung von biometrischen Fingerabdrücken auf dem ePA NICHT vornehmen zu lassen. Das ist freiwillig! Die eID wird übrigens erst bei der Ausgabe gemäß Wunsch des Bürgers ein- oder ausgeschaltet.

Die Anfertigung des ePA dauert etwa zwei Wochen und wird postalisch angekündigt. Man bekommt einen Brief mit der temporären Transport-PIN, der PUK und einem Sperrkennwort für die telefonische Sperrung der Online-Ausweisfunktion. Diese Angaben bekommt man also auch, wenn man die eID bei der Ausgabe deaktivieren möchte, da Aktivieren und Deaktivieren der Online-Ausweisfunktion jederzeit (beliebig oft?) reversibel möglich sind.

Online-Ausweisfunktion

Die Online-Ausweisfunktion (eID) kann im Internet genutzt werden, um sich gegenüber einem Dritten auszuweisen. Dabei sind auch Auskünfte wie "ich bin mindestens 18 Jahre alt" möglich. Funktionsweise und Möglichkeiten sind in der Broschüre beschrieben, die man im Bürgerbüro bei der Beantragung ausgehändigt bekommt. Diese Broschüre ist auch online verfügbar.

Aktivierung

Die Online-Ausweisfunktion wird standardmäßig bei der Ausgabe des ePA aktiviert, es sei denn, man entscheidet sich bewusst dagegen. Nach einer Sperrung (s.u.) kann die erneute Aktivierung (nur) in der Personalausweisbehörde erfolgen.

Sperrung

Eine Sperrung der eID - nach Verlust des ePA oder wenn man die Online-Ausweisfunktion nicht mehr nutzen möchte - kann in der Personalausweisbehörde oder telefonisch erfolgen.

Telefonischer Sperrnotruf:

  • 116116 (kostenfrei)
  • +49116116 (gebührenpflichtig aus dem Ausland)
  • +49-30-40504050

Zumindest telefonisch ist zwingend das im Brief genannte Sperrkennwort (das ist NICHT die PUK!) nötig.

PUK

Die PUK ist zum Entsperren des ePA nötig, wenn man die PIN drei Mal falsch eingegeben hat. Sie kann insgesamt zehn Mal verwendet werden.

Kartenleser

In der Broschüre findet man eine Übersicht drei verschiedener Arten von Kartenlesegeräten. Ich empfehle dringend, mindestens einen Standardleser zu verwenden. Basisleser sind in der Gesamtbetrachtung unsicher.

Ich habe mich für den cyberJack® RFID komfort von REINER SCT entschieden, da er eine gute Linux-Unterstützung bietet und gegenüber dem Standardleser vom gleichen Hersteller auch die qualifizierte digitale Signatur unterstützt, welche freilich derzeit mangels Anbieter brach liegt.

Software

Ich beschränke mich auf die Nutzung des ePA mit dem cyberJack® RFID komfort Kartenleser unter openSUSE. Meines Erachtens muss man von der Nutzung der Online-Ausweisfunktion unter Windows abraten, es sei denn, man weiß genau, wie man ein halbwegs "sicheres" Windows hinbekommt.

AusweisApp

Die AusweisApp ist ein Software-Monstrum, vor dem man warnen muss (siehe oben). Außerdem wird nur eine sehr alte Firefox-Version unterstützt. Totaler Mist also. Leider bietet die AusweisApp meines Wissens derzeit die einzige Möglichkeit, die PIN zu ändern, so dass man sie zumindest einmalig zum Ändern der Transport-PIN nutzen muss.

Die Installation unter openSUSE verlief problemlos. Man muss allerdings zuvor (auch) die 32Bit-Version der pcsc-Bibliotheken installieren (libpcsclite1-32bit).

openECard

Als brauchbare und bevorzugte Alternative zur AusweiApp steht eine App von Open eCard zur Verfügung, welche schlank ist, im Quellcode offen liegt, mit jedem gängigen Browser läuft und keine eigene Java-Umgebung mitbringt [5][6]. Zur Installation muss man einfach die jar-Datei herunterladen, die man anschließend vor der Nutzung der eID in einer Webapplikation starten muss:

java -jar ~/Downloads/OpeneCardApp-1.0.4.jar

Die App horcht unter http://127.0.0.1:24727 auf eingehende Anfragen.

Nutzungsmöglichkeiten

Siehe

Weblinks

Referenzen