Elektronischer Personalausweis
Diese Seite beschäftigt sich mit dem elektronischen Personalausweis (ePA), auch genannt "neuer Personalausweis" (nPA). Die Nutzung der Online-Ausweisfunktion (eID) soll dabei im Mittelpunkt stehen, wobei ich mich auf Linux in Form von openSUSE als Betriebssystem beschränke.
Bewertung des ePA
Der ePA ist aus meiner Sicht und aus Expertensicht aus folgenden Gründen umstritten (Stand 2015):
- Er kann über RFID (Funkschnittstelle) ausgelesen werden, was potentiell (bei entsprechenden bisher unbekannten Sicherheitslücken) das Auslesen erlaubt, ohne dass ich es merke.
- Er speichert neben einem biometrischen Passfoto zusätzlich,
jedoch freiwilligseit August 2021 verpflichtend, auch die Fingerabdrücke des Bürgers. Die biometrische Erfassung der Bürger bringt jedoch keine Sicherheit, eher im Gegenteil, da biometrische Eigenschaften kopiert werden können und daher digitale Identitäten vorgetäuscht werden können. Die Beweislast liegt dann eher beim Bürger (analog zu den Anfängen bei der "sicheren" EC-Karte). - Man hat die hoheitliche Ausweisfunktion (Identifizierung einer Person) mit den Online-Funktionen vermischt. Eine separate Bürgerkarte für die Online-Funktionen wäre m.E. besser gewesen.
- Daher besteht auch online die potentielle Gefahr, dass die eigene "digitale Identität" in falsche Hände gerät (Identitätsdiebstahl).
- Die Gefahren der Online-Nutzung werden vor allem durch die zulässige Nutzung von Basis-Lesegeräten begründet, bei denen die Eingabe der PIN nicht am Lesegerät, sondern am PC stattfindet. [1]
- Die Quellen der offizielle AusweisApp sind immer noch nicht offen gelegt, so dass man als Bürger dem Ausgeber voll vertrauen muss - in der Hoffnung, sich keinen Bundestrojaner einzufangen. Die Software ist 100 MB groß und enthält erwiesenermaßen unsichere und veraltete Software (Java). Das ist besonders unter Windows eine Gefahr, auf dem 99% aller PC-Schädlinge beheimatet sind.
- Politik und Behörden reden bewusst die "Sicherheit" und Notwendigkeit des ePA schön. [2]
Man muss jedoch zugeben, dass bisher abgesehen von den Sicherheitslücken bei Basis-Lesegeräten und der potentiellen Unsicherheit der AusweisApp keine echten Sicherheitslücken beim eigentlichen ePA bekannt sind. Allerdings ist Sicherheit immer Ende-zu-Ende zu sehen, also einschließlich der zur Nutzung nötigen Hard- und Software, die beim Bürger eingesetzt wird. Das schließt das Betriebssystem der PCs mit ein. [3]
Nichtsdestotrotz war ich auf die Funktionsweise und Nutzung der eID gespannt, zumal ich als Linux-Anwender und IT-Kenner weniger Gefahren bei der Nutzung ausgesetzt bin bzw. die Gefahren besser einschätzen und minimieren kann. Warum also nicht wenigstens ausprobieren, damit man weiß, wovon man spricht?
Beantragung
Der ePA ist schnell beantragt. Man muss lediglich zur zuständigen Personalausweisbehörde (Bürgerbüro) gehen und seinen alten Ausweis mitbringen. Das obligatorische Passbild kann man - zumindest hier in Mettmann - recht preiswert direkt im Bürgerbüro anfertigen lassen [4], wobei vier Stück ausgedruckt werden. Eins davon wird zur Bundesdruckerei geschickt, man bekommt es aber bei der Aushändigung des ePA zurück.
Ich empfehle dringend, die Erfassung und Speicherung von biometrischen Fingerabdrücken auf dem ePA NICHT vornehmen zu lassen. Das ist freiwillig! Die eID wird übrigens erst bei der Ausgabe gemäß Wunsch des Bürgers ein- oder ausgeschaltet.
Ergänzung/Korrektur: Der Gesetzgeber hat die Schrauben zur biometrischen Vollerfassung weiter angezogen, wie von Kritikern von Anfang an befürchtet. Seit August 2021 ist die Abgabe der Fingerabdrücke verpflichtend. Aus scheinheiligen Gründen übrigens.
Die Anfertigung des ePA dauert etwa zwei Wochen und wird postalisch angekündigt. Man bekommt einen Brief mit der temporären Transport-PIN, der PUK und einem Sperrkennwort für die telefonische Sperrung der Online-Ausweisfunktion. Diese Angaben bekommt man also auch, wenn man die eID bei der Ausgabe deaktivieren möchte, da Aktivieren und Deaktivieren der Online-Ausweisfunktion jederzeit (beliebig oft?) reversibel möglich sind.
Ich empfehle übrigens, die Transport-PIN nicht in der Ausweisbehörde zu ändern. Zumindest in Mettmann kann man das nur an den PCs der Mitarbeiter machen, die allesamt unter Windows XP zu laufen schienen. Die Beantragung ist damit schon ein Risiko, aber die Änderung meiner PIN möchte ich dann doch lieber in einer sicheren Umgebung machen.
Daten auf dem Ausweis
- https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/der-personalausweis/daten-auf-dem-ausweis/daten-auf-dem-ausweis-node.html
- https://www.personalausweisportal.de/SharedDocs/faqs/Webs/PA/DE/Haeufige-Fragen/4_daten_auf_PAusweis_Chip/daten-auf-dem-chip-liste.html
Online-Ausweisfunktion
Die Online-Ausweisfunktion (eID) kann im Internet genutzt werden, um sich gegenüber einem Dritten auszuweisen (Name, Anschrift, Geburtsdatum). Dabei sind auch Auskünfte wie "ich bin mindestens 18 Jahre alt" möglich. Funktionsweise und Möglichkeiten sind in der Broschüre beschrieben, die man im Bürgerbüro bei der Beantragung ausgehändigt bekommt. Diese Broschüre ist auch online verfügbar.
Aktivierung
Die Online-Ausweisfunktion wird standardmäßig bei der Ausgabe des ePA aktiviert, es sei denn, man entscheidet sich bewusst dagegen. Nach einer Sperrung (s.u.) kann die erneute Aktivierung (nur) in der Personalausweisbehörde erfolgen.
NEU: Eine Aktivierung funktioniert ohne Behördengang über den PIN-Rücksetzbrief, siehe Meldung auf Heise.
Sperrung
Eine Sperrung der eID - nach Verlust des ePA oder wenn man die Online-Ausweisfunktion nicht mehr nutzen möchte - kann in der Personalausweisbehörde oder telefonisch erfolgen.
Telefonischer Sperrnotruf:
- 116116 (kostenfrei)
- +49116116 (gebührenpflichtig aus dem Ausland)
- +49-30-40504050
Zumindest telefonisch ist zwingend das im Brief genannte Sperrkennwort (das ist NICHT die PUK!) nötig.
PUK
Die PUK ist zum Entsperren der PIN des ePA nötig, wenn man die PIN drei Mal falsch eingegeben hat. Sie kann insgesamt zehn Mal verwendet werden. Die PUK dient NICHT zum Sperren der Online-Ausweisfunktion.
Zugangsnummer (CAN)
- Im Bild oben die 6-stellige Zahl 938568
- Mit der CAN hat man nach 2x Falscheingabe der PIN einen dritten Versuch. Nach dieser dritten Falscheingabe benötigt man die PUK.
- https://www.ausweisapp.bund.de/ausweisapp2/handbuch/1.14/de/Windows/whattodo-can.html
Kartenleser
In der Broschüre findet man eine Übersicht verschiedener Arten von Kartenlesegeräten. Ich empfehle dringend, mindestens einen Standardleser zu verwenden. Basisleser sind in der Gesamtbetrachtung unsicher.
Ich habe mich für den cyberJack® RFID komfort von REINER SCT entschieden, da er eine gute Linux-Unterstützung bietet und gegenüber dem Standardleser vom gleichen Hersteller auch die qualifizierte digitale Signatur unterstützt, welche freilich derzeit mangels Anbieter brach liegt.
Treiber installieren
Die Treiber des cyberJack® RFID komfort sind in allen gängigen Linux-Distributionen enthalten. Unter openSUSE 13.1 musste ich folgende Pakete installieren:
pcsc-cyberjack-3.99.5final.SP03 pcsc-lite-1.8.8 libpcsclite1-1.8.8
Nach den Einstecken des USB-Kabels am PC wird das Display erleuchtet. Der Linux-Kernel meldet dann folgendes:
usb 5-1: new full-speed USB device number 4 using ohci-pci usb 5-1: New USB device found, idVendor=0c4b, idProduct=0501 usb 5-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3 usb 5-1: Product: cyberJack RFID komfort usb 5-1: Manufacturer: REINER SCT usb 5-1: SerialNumber: xxxx Starting Smart Card. Reached target Smart Card.
Prüfen der Funktionalität:
cyberjack
Ausgabe:
EGIN: ermittle Distribution (0/5) END : ermittle Distribution (1/5) [OK] BEGIN: ermittle Systeminformationen (1/5) END : ermittle Systeminformationen (2/5) [OK] BEGIN: ermittle Gruppeninformation (2/5) END : ermittle Gruppeninformation (3/5) [ERROR] BEGIN: ermittle laufende Dienste (3/5) END : ermittle laufende Dienste (4/5) [OK] BEGIN: ermittle und teste angeschlossene Leser (4/5) END : ermittle und teste angeschlossene Leser (5/5) [OK]
Hinweise:
- Bei eingesteckter Karte sollte die grüne (Karten mit elektr. Kontakten) oder blaue (RFID-Karten) LED (kurz) leuchten oder blinken.
- Der Fehler bei der Gruppeninformation kann unter openSUSE vernachlässigt werden.
Zum automatischen Start beim Booten sollte der PCSC-Lite Deamon aktiviert werden:
systemctl enable pcscd
Support
Software
AusweisApp
Open eCard
Als brauchbare und bevorzugte Alternative zur AusweisApp steht eine App von Open eCard zur Verfügung, welche schlank ist, im Quellcode offen liegt, mit jedem gängigen Browser läuft und keine eigene Java-Umgebung mitbringt [5][6][7]. Zur Installation muss man einfach das Paket als "root" installieren
rpm -Uhv open-ecard-app-1.4.5-1.x86_64.rpm
und ausführen
/opt/open-ecard-app/bin/open-ecard-app
Oder man startet die Anwendung per JNLP:
http://jnlp.openecard.org/openecard.jnlp
bzw. lokal:
cd /opt/OpeneCardApp/ wget -4 http://jnlp.openecard.org/openecard.jnlp javaws /opt/OpeneCardApp/openecard.jnlp
Die App horcht unter http://127.0.0.1:24727 auf eingehende Anfragen. Unter KDE erscheint ein Icon in der Systemleiste.
Logdateien und Konfiguration:
~/.openecard
PersoApp
- https://www.persoapp.de
- App ist proprietär
- Bibliothek ist Open Source
AusweisIDent
- Einbindung in eigene Webapplikation ohne eigene eID-Infrastruktur
- Bundesdruckerei
- https://www.ausweisident.de/
- https://www.heise.de/meldung/PostIdent-Alternative-mit-Personalausweis-4226111.html
Digitale Signatur
Nutzungsmöglichkeiten
- Anwendungen
- Überblick der Anwendungsmöglichkeiten siehe c't 04/20 S.50, http://ct.de/yft6
Was schon funktionierte:
- Eine Anmeldung bei der Allianz hat tadellos funktioniert mit Hilfe der Open eCard App.
Thema "Ausweis kopieren"
- Kommentar: Unerlaubte Ausweiskopien – niemanden kümmert's (heise.de)
- Personalausweis kopieren: Verboten oder erlaubt?
- Personalausweise im Rechtsverkehr zu kopieren oder einzuscannen als DSGVO-Verstoß
- personalausweisportal.de
- Was Sie beachten sollten, bevor Sie eine Perso-Kopie weitergeben (Heise), c't 04/23 S.174
Biometrische Vollerfassung
- Aktion "Perso ohne Finger"
- Verwaltungsgericht: Bürger hat Anspruch auf Personalausweis ohne Fingerabdrücke | heise online
Weblinks
- Der neue Personalausweis (personalausweisportal.de)
- Bundesdruckerei
- Wikipedia
- cyberJack-Kartenleser und Anwendungen (shredzone.de)
- Common-eID-Projekt
- eID: So funktioniert der elektronische Personalausweis
Referenzen
- ↑ http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa
- ↑ https://netzpolitik.org/2013/wie-das-bundesinnenministerium-den-e-perso-mit-einer-pr-strategie-schoenredet-und-dabei-netzpolitik-org-und-den-ccc-fuerchtet/
- ↑ http://www.ccc.de/de/updates/2013/epa-mit-virenschutzprogramm
- ↑ http://www.mettmann.de/rathaus/fb1/fb1_2/fb1_2_4/infos/passfotos.php
- ↑ http://www.heise.de/newsticker/meldung/Nikolaus-bringt-halbe-App-fuer-Personalausweis-und-Gesundheitskarte-1763581.html
- ↑ http://www.heise.de/artikel-archiv/ix/2013/04/146_Sicher-und-unabhaengig
- ↑ https://www.openecard.org/aktuelles/detailansicht/datum/2014/11/06/plattformunabhaengige-und-erweiterbare-open-ecard-app-veroeffentlicht/