Sind die e-Pässe fälschungssicher?
Wired berichtet über die Ankündigung des deutschen Security-Consultants, Lukas Grunwald, dass der RFID-Chip in dem “fälschungssicheren” neue Pass relativ leicht zu fälschen sein soll: Hackers Clone E-Passports.
In a demonstration for Wired News, Grunwald placed his passport on top of an official passport-inspection RFID reader used for border control. He obtained the reader by ordering it from the maker — Walluf, Germany-based ACG Identification Technologies — but says someone could easily make their own for about $200 just by adding an antenna to a standard RFID reader.
He then launched a program that border patrol stations use to read the passports — called Golden Reader Tool and made by secunet Security Networks — and within four seconds, the data from the passport chip appeared on screen in the Golden Reader template. Grunwald then prepared a sample blank passport page embedded with an RFID tag by placing it on the reader — which can also act as a writer — and burning in the ICAO layout, so that the basic structure of the chip matched that of an official passport.
As the final step, he used a program that he and a partner designed two years ago, called RFDump, to program the new chip with the copied information. The result was a blank document that looks, to electronic passport readers, like the original passport.
Da bin ich mal gespannt. Allerdings wäre ich auch nicht sonderlich überrascht, wenn das so einfach klappen würde.
- 
Naja, kopieren ist nicht gleich fälschen. Oder habe ich da was überlesen? Mann kann also die RFID-Daten von einem Pass auf einen “leeren Pass” übertragen. Man könnte auch die biometrischen Merkmale von Person A auf den Pass von Person B spielen, mit dem Resultat, das Person B eventuell Probleme bei einer Kontrolle bekommen wird. Beide Szenarien stellen für mich nicht wirklich Fälschungen dar.
Mich würde eher interessieren, ob man mit den käuflichen Lesern auch die biometrischen Merkmale im Klartext auslesen kann? Das könnte dann wirklich ein Problem darstellen.
Nach wie vor ist für mich das Hauptproblem das “Cookie”, das man dann ständig mit sich rumschleppt und durch die Gegend broadcasted. Denn ein eindeutiger Datenstrom der biometrischen Daten bleibt auch nach der Verschlüsselung eindeutig.
Der Chip wird immer nur in Verbindung mit dem Paß verwendet.
Die Lesegeräte prüfen die optischen Merkmale und die Chipdaten zugleich, machen Querchecks zwischen Chip und optischen Paßdaten und erkennen Manipulationen automatisch.
Mit einem Chip-Klon (ohne den restlichen Paß) oder einem manipulierten Pass wird man an der Grenze von den Sicherheitsbeamten sofort “hinaus begleitet”, der Spaß endet mit Freiheitsentzug.
Auch im britischen Guardian ist die Nachricht inzwischen angekommen.