Elektronischer Personalausweis: Unterschied zwischen den Versionen

aus www.kruedewagen.de, Homepage von Ralf und Judith Krüdewagen (Kruedewagen)
Zur Navigation springen Zur Suche springen
 
(10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:
Diese Seite beschäftigt sich mit dem '''elektronischen Personalausweis''' ('''ePA'''), auch genannt "neuer Personalausweis" ('''nPA'''). Die Nutzung der Online-Ausweisfunktion (eID) soll dabei im Mittelpunkt stehen, wobei ich mich auf Linux in Form von [[openSUSE]] als Betriebssystem beschränke.
Diese Seite beschäftigt sich mit dem '''elektronischen Personalausweis''' ('''ePA'''), auch genannt "neuer Personalausweis" ('''nPA'''). Die Nutzung der Online-Ausweisfunktion (eID) soll dabei im Mittelpunkt stehen, wobei ich mich auf Linux in Form von [[openSUSE]] als Betriebssystem beschränke.


== Bewertung des ePA ==  
== Bewertung des ePA ==
Der ePA ist aus meiner Sicht und aus Expertensicht aus folgenden Gründen '''umstritten''':
Der ePA ist aus meiner Sicht und aus Expertensicht aus folgenden Gründen '''umstritten''' (Stand 2015):
*Er kann über '''RFID''' (Funkschnittstelle) ausgelesen werden, was potentiell (bei entsprechenden bisher unbekannten Sicherheitslücken) das Auslesen erlaubt, ohne dass ich es merke.
*Er kann über '''RFID''' (Funkschnittstelle) ausgelesen werden, was potentiell (bei entsprechenden bisher unbekannten Sicherheitslücken) das Auslesen erlaubt, ohne dass ich es merke.
*Er speichert neben einem biometrischen Passfoto zusätzlich, jedoch freiwillig, auch die '''Fingerabdrücke''' des Bürgers. Die biometrische Erfassung der Bürger bringt jedoch keine Sicherheit, eher im Gegenteil, da biometrische Eigenschaften kopiert werden können und daher digitale Identitäten vorgetäuscht werden können. Die Beweislast liegt dann eher beim Bürger (analog zu den Anfängen bei der "sicheren" EC-Karte).
*Er speichert neben einem biometrischen Passfoto zusätzlich, <del>jedoch freiwillig</del> seit August 2021 verpflichtend, auch die '''Fingerabdrücke''' des Bürgers. Die biometrische Erfassung der Bürger bringt jedoch keine Sicherheit, eher im Gegenteil, da biometrische Eigenschaften kopiert werden können und daher digitale Identitäten vorgetäuscht werden können. Die Beweislast liegt dann eher beim Bürger (analog zu den Anfängen bei der "sicheren" EC-Karte).
*Man hat die '''hoheitliche Ausweisfunktion''' (Identifizierung einer Person) mit den '''Online-Funktionen''' vermischt. Eine separate Bürgerkarte für die Online-Funktionen wäre m.E. besser gewesen.
*Man hat die '''hoheitliche Ausweisfunktion''' (Identifizierung einer Person) mit den '''Online-Funktionen''' vermischt. Eine separate Bürgerkarte für die Online-Funktionen wäre m.E. besser gewesen.
*Daher besteht auch online die potentielle Gefahr, dass die eigene "digitale Identität" in falsche Hände gerät ('''Identitätsdiebstahl''').
*Daher besteht auch online die potentielle Gefahr, dass die eigene "digitale Identität" in falsche Hände gerät ('''Identitätsdiebstahl''').
Zeile 19: Zeile 19:
Der ePA ist schnell beantragt. Man muss lediglich zur zuständigen '''Personalausweisbehörde''' (Bürgerbüro) gehen und seinen '''alten Ausweis''' mitbringen. Das obligatorische '''Passbild''' kann man - zumindest hier in Mettmann - recht preiswert direkt im Bürgerbüro anfertigen lassen <ref>http://www.mettmann.de/rathaus/fb1/fb1_2/fb1_2_4/infos/passfotos.php</ref>, wobei vier Stück ausgedruckt werden. Eins davon wird zur Bundesdruckerei geschickt, man bekommt es aber bei der Aushändigung des ePA zurück.
Der ePA ist schnell beantragt. Man muss lediglich zur zuständigen '''Personalausweisbehörde''' (Bürgerbüro) gehen und seinen '''alten Ausweis''' mitbringen. Das obligatorische '''Passbild''' kann man - zumindest hier in Mettmann - recht preiswert direkt im Bürgerbüro anfertigen lassen <ref>http://www.mettmann.de/rathaus/fb1/fb1_2/fb1_2_4/infos/passfotos.php</ref>, wobei vier Stück ausgedruckt werden. Eins davon wird zur Bundesdruckerei geschickt, man bekommt es aber bei der Aushändigung des ePA zurück.


Ich empfehle dringend, die Erfassung und Speicherung von biometrischen Fingerabdrücken auf dem ePA '''NICHT vornehmen''' zu lassen. Das ist freiwillig! Die eID wird übrigens erst bei der Ausgabe gemäß Wunsch des Bürgers ein- oder ausgeschaltet.
<del>Ich empfehle dringend, die Erfassung und Speicherung von biometrischen Fingerabdrücken auf dem ePA '''NICHT vornehmen''' zu lassen. Das ist freiwillig! Die eID wird übrigens erst bei der Ausgabe gemäß Wunsch des Bürgers ein- oder ausgeschaltet.</del>
Ergänzung/Korrektur: Der Gesetzgeber hat die Schrauben zur biometrischen Vollerfassung weiter angezogen, wie von Kritikern von Anfang an befürchtet. Seit August 2021 ist die Abgabe der Fingerabdrücke verpflichtend. Aus scheinheiligen Gründen übrigens.


Die Anfertigung des ePA dauert etwa zwei Wochen und wird postalisch angekündigt. Man bekommt einen '''Brief''' mit der temporären Transport-PIN, der PUK und einem Sperrkennwort für die telefonische Sperrung der Online-Ausweisfunktion. Diese Angaben bekommt man also auch, wenn man die eID bei der Ausgabe deaktivieren möchte, da Aktivieren und Deaktivieren der Online-Ausweisfunktion jederzeit (beliebig oft?) reversibel möglich sind.
Die Anfertigung des ePA dauert etwa zwei Wochen und wird postalisch angekündigt. Man bekommt einen '''Brief''' mit der temporären Transport-PIN, der PUK und einem Sperrkennwort für die telefonische Sperrung der Online-Ausweisfunktion. Diese Angaben bekommt man also auch, wenn man die eID bei der Ausgabe deaktivieren möchte, da Aktivieren und Deaktivieren der Online-Ausweisfunktion jederzeit (beliebig oft?) reversibel möglich sind.


Ich empfehle übrigens, die Transport-PIN nicht in der Ausweisbehörde zu ändern. Zumindest in Mettmann kann man das nur an den PCs der Mitarbeiter machen, die allesamt unter Windows XP zu laufen schienen. Die Beantragung ist damit schon ein Risiko, aber die Änderung meiner PIN möchte ich dann doch lieber in einer sicheren Umgebung machen.
Ich empfehle übrigens, die Transport-PIN nicht in der Ausweisbehörde zu ändern. Zumindest in Mettmann kann man das nur an den PCs der Mitarbeiter machen, die allesamt unter Windows XP zu laufen schienen. Die Beantragung ist damit schon ein Risiko, aber die Änderung meiner PIN möchte ich dann doch lieber in einer sicheren Umgebung machen.
== Daten auf dem Ausweis ==
*https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/der-personalausweis/daten-auf-dem-ausweis/daten-auf-dem-ausweis-node.html
*https://www.personalausweisportal.de/SharedDocs/faqs/Webs/PA/DE/Haeufige-Fragen/4_daten_auf_PAusweis_Chip/daten-auf-dem-chip-liste.html


== Online-Ausweisfunktion ==
== Online-Ausweisfunktion ==
Zeile 43: Zeile 48:
=== PUK ===
=== PUK ===
Die PUK ist zum Entsperren der PIN des ePA nötig, wenn man die PIN drei Mal falsch eingegeben hat. Sie kann insgesamt zehn Mal verwendet werden. Die PUK dient NICHT zum Sperren der Online-Ausweisfunktion.
Die PUK ist zum Entsperren der PIN des ePA nötig, wenn man die PIN drei Mal falsch eingegeben hat. Sie kann insgesamt zehn Mal verwendet werden. Die PUK dient NICHT zum Sperren der Online-Ausweisfunktion.
=== Zugangsnummer (CAN) ===
*Im Bild oben die 6-stellige Zahl 938568
*Mit der CAN hat man nach 2x Falscheingabe der PIN einen dritten Versuch. Nach dieser dritten Falscheingabe benötigt man die PUK.
*https://www.ausweisapp.bund.de/ausweisapp2/handbuch/1.14/de/Windows/whattodo-can.html


== Kartenleser ==
== Kartenleser ==
Zeile 114: Zeile 124:


=== Open eCard ===
=== Open eCard ===
Als brauchbare und bevorzugte Alternative zur AusweisApp steht eine App von [https://www.openecard.org Open eCard] zur Verfügung, welche schlank ist, im Quellcode offen liegt, mit jedem gängigen Browser läuft und keine eigene Java-Umgebung mitbringt <ref>http://www.heise.de/newsticker/meldung/Nikolaus-bringt-halbe-App-fuer-Personalausweis-und-Gesundheitskarte-1763581.html</ref><ref>http://www.heise.de/artikel-archiv/ix/2013/04/146_Sicher-und-unabhaengig</ref><ref>https://www.openecard.org/aktuelles/detailansicht/datum/2014/11/06/plattformunabhaengige-und-erweiterbare-open-ecard-app-veroeffentlicht/</ref>. Zur [https://www.openecard.org/download/pc Installation] muss man einfach die ''jar''-Datei herunterladen (ein fertiges jar-File wird wohl nicht mehr angeboten), die man anschließend jeweils vor der Nutzung der eID-Webapplikation starten muss:
Als brauchbare und bevorzugte Alternative zur AusweisApp steht eine App von [https://www.openecard.org Open eCard] zur Verfügung, welche schlank ist, im Quellcode offen liegt, mit jedem gängigen Browser läuft und keine eigene Java-Umgebung mitbringt <ref>http://www.heise.de/newsticker/meldung/Nikolaus-bringt-halbe-App-fuer-Personalausweis-und-Gesundheitskarte-1763581.html</ref><ref>http://www.heise.de/artikel-archiv/ix/2013/04/146_Sicher-und-unabhaengig</ref><ref>https://www.openecard.org/aktuelles/detailansicht/datum/2014/11/06/plattformunabhaengige-und-erweiterbare-open-ecard-app-veroeffentlicht/</ref>. Zur [https://www.openecard.org/download/pc Installation] muss man einfach das Paket als "root" installieren
  java -jar /opt/OpeneCardApp/OpeneCardApp-1.1.0-rc.jar
 
rpm -Uhv open-ecard-app-1.4.5-1.x86_64.rpm
und ausführen
 
  /opt/open-ecard-app/bin/open-ecard-app


Oder man startet die Anwendung per JNLP:
Oder man startet die Anwendung per JNLP:
Zeile 152: Zeile 167:
== Thema "Ausweis kopieren" ==
== Thema "Ausweis kopieren" ==
*[https://www.heise.de/newsticker/meldung/Kommentar-Unerlaubte-Ausweiskopien-niemanden-kuemmert-s-3595520.html Kommentar: Unerlaubte Ausweiskopien – niemanden kümmert's] (heise.de)
*[https://www.heise.de/newsticker/meldung/Kommentar-Unerlaubte-Ausweiskopien-niemanden-kuemmert-s-3595520.html Kommentar: Unerlaubte Ausweiskopien – niemanden kümmert's] (heise.de)
*[https://www.advocard.de/streitlotse/internet-und-konsum/personalausweis-kopieren-verboten-oder-erlaubt/ Per­so­nal­aus­weis kopieren: Verboten oder erlaubt?]
*[https://www.haufe.de/compliance/recht-politik/personalausweis-darf-nicht-gescannt-und-gespeichert-werden_230132_210974.html Personalausweise im Rechtsverkehr zu kopieren oder einzuscannen als DSGVO-Verstoß]
*[https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/der-personalausweis/ausweiskopien/ausweiskopien-node.html personalausweisportal.de]
== Biometrische Vollerfassung ==
*[https://aktion.digitalcourage.de/perso-ohne-finger Aktion "Perso ohne Finger"]


== Weblinks ==
== Weblinks ==

Aktuelle Version vom 27. August 2021, 14:58 Uhr

Muster vom neuen Personalausweis

Diese Seite beschäftigt sich mit dem elektronischen Personalausweis (ePA), auch genannt "neuer Personalausweis" (nPA). Die Nutzung der Online-Ausweisfunktion (eID) soll dabei im Mittelpunkt stehen, wobei ich mich auf Linux in Form von openSUSE als Betriebssystem beschränke.

Bewertung des ePA

Der ePA ist aus meiner Sicht und aus Expertensicht aus folgenden Gründen umstritten (Stand 2015):

  • Er kann über RFID (Funkschnittstelle) ausgelesen werden, was potentiell (bei entsprechenden bisher unbekannten Sicherheitslücken) das Auslesen erlaubt, ohne dass ich es merke.
  • Er speichert neben einem biometrischen Passfoto zusätzlich, jedoch freiwillig seit August 2021 verpflichtend, auch die Fingerabdrücke des Bürgers. Die biometrische Erfassung der Bürger bringt jedoch keine Sicherheit, eher im Gegenteil, da biometrische Eigenschaften kopiert werden können und daher digitale Identitäten vorgetäuscht werden können. Die Beweislast liegt dann eher beim Bürger (analog zu den Anfängen bei der "sicheren" EC-Karte).
  • Man hat die hoheitliche Ausweisfunktion (Identifizierung einer Person) mit den Online-Funktionen vermischt. Eine separate Bürgerkarte für die Online-Funktionen wäre m.E. besser gewesen.
  • Daher besteht auch online die potentielle Gefahr, dass die eigene "digitale Identität" in falsche Hände gerät (Identitätsdiebstahl).
  • Die Gefahren der Online-Nutzung werden vor allem durch die zulässige Nutzung von Basis-Lesegeräten begründet, bei denen die Eingabe der PIN nicht am Lesegerät, sondern am PC stattfindet. [1]
  • Die Quellen der offizielle AusweisApp sind immer noch nicht offen gelegt, so dass man als Bürger dem Ausgeber voll vertrauen muss - in der Hoffnung, sich keinen Bundestrojaner einzufangen. Die Software ist 100 MB groß und enthält erwiesenermaßen unsichere und veraltete Software (Java). Das ist besonders unter Windows eine Gefahr, auf dem 99% aller PC-Schädlinge beheimatet sind.
  • Politik und Behörden reden bewusst die "Sicherheit" und Notwendigkeit des ePA schön. [2]

Man muss jedoch zugeben, dass bisher abgesehen von den Sicherheitslücken bei Basis-Lesegeräten und der potentiellen Unsicherheit der AusweisApp keine echten Sicherheitslücken beim eigentlichen ePA bekannt sind. Allerdings ist Sicherheit immer Ende-zu-Ende zu sehen, also einschließlich der zur Nutzung nötigen Hard- und Software, die beim Bürger eingesetzt wird. Das schließt das Betriebssystem der PCs mit ein. [3]

Nichtsdestotrotz war ich auf die Funktionsweise und Nutzung der eID gespannt, zumal ich als Linux-Anwender und IT-Kenner weniger Gefahren bei der Nutzung ausgesetzt bin bzw. die Gefahren besser einschätzen und minimieren kann. Warum also nicht wenigstens ausprobieren, damit man weiß, wovon man spricht?

Beantragung

Der ePA ist schnell beantragt. Man muss lediglich zur zuständigen Personalausweisbehörde (Bürgerbüro) gehen und seinen alten Ausweis mitbringen. Das obligatorische Passbild kann man - zumindest hier in Mettmann - recht preiswert direkt im Bürgerbüro anfertigen lassen [4], wobei vier Stück ausgedruckt werden. Eins davon wird zur Bundesdruckerei geschickt, man bekommt es aber bei der Aushändigung des ePA zurück.

Ich empfehle dringend, die Erfassung und Speicherung von biometrischen Fingerabdrücken auf dem ePA NICHT vornehmen zu lassen. Das ist freiwillig! Die eID wird übrigens erst bei der Ausgabe gemäß Wunsch des Bürgers ein- oder ausgeschaltet. Ergänzung/Korrektur: Der Gesetzgeber hat die Schrauben zur biometrischen Vollerfassung weiter angezogen, wie von Kritikern von Anfang an befürchtet. Seit August 2021 ist die Abgabe der Fingerabdrücke verpflichtend. Aus scheinheiligen Gründen übrigens.

Die Anfertigung des ePA dauert etwa zwei Wochen und wird postalisch angekündigt. Man bekommt einen Brief mit der temporären Transport-PIN, der PUK und einem Sperrkennwort für die telefonische Sperrung der Online-Ausweisfunktion. Diese Angaben bekommt man also auch, wenn man die eID bei der Ausgabe deaktivieren möchte, da Aktivieren und Deaktivieren der Online-Ausweisfunktion jederzeit (beliebig oft?) reversibel möglich sind.

Ich empfehle übrigens, die Transport-PIN nicht in der Ausweisbehörde zu ändern. Zumindest in Mettmann kann man das nur an den PCs der Mitarbeiter machen, die allesamt unter Windows XP zu laufen schienen. Die Beantragung ist damit schon ein Risiko, aber die Änderung meiner PIN möchte ich dann doch lieber in einer sicheren Umgebung machen.

Daten auf dem Ausweis

Online-Ausweisfunktion

Die Online-Ausweisfunktion (eID) kann im Internet genutzt werden, um sich gegenüber einem Dritten auszuweisen (Name, Anschrift, Geburtsdatum). Dabei sind auch Auskünfte wie "ich bin mindestens 18 Jahre alt" möglich. Funktionsweise und Möglichkeiten sind in der Broschüre beschrieben, die man im Bürgerbüro bei der Beantragung ausgehändigt bekommt. Diese Broschüre ist auch online verfügbar.

Aktivierung

Die Online-Ausweisfunktion wird standardmäßig bei der Ausgabe des ePA aktiviert, es sei denn, man entscheidet sich bewusst dagegen. Nach einer Sperrung (s.u.) kann die erneute Aktivierung (nur) in der Personalausweisbehörde erfolgen.

Sperrung

Eine Sperrung der eID - nach Verlust des ePA oder wenn man die Online-Ausweisfunktion nicht mehr nutzen möchte - kann in der Personalausweisbehörde oder telefonisch erfolgen.

Telefonischer Sperrnotruf:

  • 116116 (kostenfrei)
  • +49116116 (gebührenpflichtig aus dem Ausland)
  • +49-30-40504050

Zumindest telefonisch ist zwingend das im Brief genannte Sperrkennwort (das ist NICHT die PUK!) nötig.

PUK

Die PUK ist zum Entsperren der PIN des ePA nötig, wenn man die PIN drei Mal falsch eingegeben hat. Sie kann insgesamt zehn Mal verwendet werden. Die PUK dient NICHT zum Sperren der Online-Ausweisfunktion.

Zugangsnummer (CAN)

Kartenleser

In der Broschüre findet man eine Übersicht verschiedener Arten von Kartenlesegeräten. Ich empfehle dringend, mindestens einen Standardleser zu verwenden. Basisleser sind in der Gesamtbetrachtung unsicher.

Ich habe mich für den cyberJack® RFID komfort von REINER SCT entschieden, da er eine gute Linux-Unterstützung bietet und gegenüber dem Standardleser vom gleichen Hersteller auch die qualifizierte digitale Signatur unterstützt, welche freilich derzeit mangels Anbieter brach liegt.

Treiber installieren

Die Treiber des cyberJack® RFID komfort sind in allen gängigen Linux-Distributionen enthalten. Unter openSUSE 13.1 musste ich folgende Pakete installieren:

pcsc-cyberjack-3.99.5final.SP03
pcsc-lite-1.8.8
libpcsclite1-1.8.8

Nach den Einstecken des USB-Kabels am PC wird das Display erleuchtet. Der Linux-Kernel meldet dann folgendes:

usb 5-1: new full-speed USB device number 4 using ohci-pci
usb 5-1: New USB device found, idVendor=0c4b, idProduct=0501
usb 5-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
usb 5-1: Product: cyberJack RFID komfort
usb 5-1: Manufacturer: REINER SCT
usb 5-1: SerialNumber: xxxx
Starting Smart Card.
Reached target Smart Card.

Prüfen der Funktionalität:

cyberjack

Ausgabe:

EGIN: ermittle Distribution (0/5)
END  : ermittle Distribution (1/5) [OK]
BEGIN: ermittle Systeminformationen (1/5)
END  : ermittle Systeminformationen (2/5) [OK]
BEGIN: ermittle Gruppeninformation (2/5)
END  : ermittle Gruppeninformation (3/5) [ERROR]
BEGIN: ermittle laufende Dienste (3/5)
END  : ermittle laufende Dienste (4/5) [OK]
BEGIN: ermittle und teste angeschlossene Leser (4/5)
END  : ermittle und teste angeschlossene Leser (5/5) [OK]

Hinweise:

  • Bei eingesteckter Karte sollte die grüne (Karten mit elektr. Kontakten) oder blaue (RFID-Karten) LED (kurz) leuchten oder blinken.
  • Der Fehler bei der Gruppeninformation kann unter openSUSE vernachlässigt werden.

Zum automatischen Start beim Booten sollte der PCSC-Lite Deamon aktiviert werden:

systemctl enable pcscd

Support

Software

AusweisApp

Version 1

Die AusweisApp ist ein Software-Monstrum, vor dem man warnen muss (siehe oben). Außerdem wird nur eine sehr alte Firefox-Version unterstützt. Totaler Mist also. Leider bietet die AusweisApp meines Wissens derzeit die einzige Möglichkeit, die PIN zu ändern, so dass man sie zumindest einmalig zum Ändern der Transport-PIN installieren und nutzen muss.

Die Installation unter openSUSE verlief problemlos. Man muss allerdings zuvor (auch) die 32Bit-Version der pcsc-Bibliotheken installieren (libpcsclite1-32bit).

Starten der AusweisApp:

/opt/olsc/AusweisApp/bc.sh -splash

Version 2

Leider bietet Version 2 der AusweisApp keine Linux-Unterstützung mehr.

Siehe:

Open eCard

Als brauchbare und bevorzugte Alternative zur AusweisApp steht eine App von Open eCard zur Verfügung, welche schlank ist, im Quellcode offen liegt, mit jedem gängigen Browser läuft und keine eigene Java-Umgebung mitbringt [5][6][7]. Zur Installation muss man einfach das Paket als "root" installieren

rpm -Uhv open-ecard-app-1.4.5-1.x86_64.rpm

und ausführen

/opt/open-ecard-app/bin/open-ecard-app

Oder man startet die Anwendung per JNLP:

http://jnlp.openecard.org/openecard.jnlp

bzw. lokal:

cd /opt/OpeneCardApp/
wget -4 http://jnlp.openecard.org/openecard.jnlp
javaws /opt/OpeneCardApp/openecard.jnlp

Die App horcht unter http://127.0.0.1:24727 auf eingehende Anfragen. Unter KDE erscheint ein Icon in der Systemleiste.

Logdateien und Konfiguration:

~/.openecard

PersoApp

AusweisIDent

Digitale Signatur

Nutzungsmöglichkeiten

Was schon funktionierte:

  • Eine Anmeldung bei der Allianz hat tadellos funktioniert mit Hilfe der Open eCard App.

Thema "Ausweis kopieren"

Biometrische Vollerfassung

Weblinks

Referenzen