Erster Biometrie-Pass gehackt

Niederländischer RFID-Pass in zwei Stunden geknackt

Schöne neue digitale Welt: Früher musste man Pässe noch umständlich klauen, wenn man die enthaltenen Daten auf irgend eine Weise missbrauchen wollte. Mit den neuen Biometriepässen könnte dies - wie im Vorfeld von zahlreichen Experten befürchtet - alles viel einfacher werden. Den in den Niederlanden eingeführten biometrischen Pass konnten findige Hacker innerhalb von zwei Stunden knacken - ohne ihn auch nur anzufassen. Das Auslesen und Entschlüsseln von persönlichen Daten, Fingerabdruck und Passbild fumktioniert drahtlos, aus einer Entfernung von bis zu zehn Metern.

Daran schuld seien einige Schwachstellen in der Technik der niederländischen Pässe: effektiv sind sie nur mit 35 Bit verschlüsselt. Der eigentlich 50 Bit lange Schlüssel setzt sich unter anderem aus dem Ablaufdatum des Passes, dem Geburtsdatum des Inhabers und einer fortlaufenden Passnummer zusammen, die ihrerseits auslesbar ist.

Dadurch wird die Verschlüsselung zum leichten Angriffsziel: den Hackern reichte zum Brechen der eingesetzten Krypto ein handelsüblicher PC aus.

Ob in anderen Ländern ebenfalls ein so schwacher Schutz der biometrischen Daten in den elektronischen Pässen zum Einsatz kommt, ist der TP nicht bekannt. Laut Futurezone kann man zumindest in Österreich mit ähnlichen Problemen rechnen, auch dort sind einige der in den Niederlanden vorhandenen Schwachstellen der E-Pässe zum Einsatz gekommen: "Die österreichischen Pässe sind ebenfalls fortlaufend nummeriert und auch die anderen Gegebenheiten wie die Daten in der Maschinenlesezone sind hier gleich", so das Magazin.

Womit einmal mehr der technologische Schnellschuss nach hinten losgeht: anstelle des fragwürdigen Schutzes vor "Terrorismus", der als Totschlagargument aus dem Hut gezaubert wird, sobald staatliche Institutionen ihre Datensammel- und Überwachungswut begründen müssen, treten neue und ungeahnte Möglichkeiten des Identitätsdiebstahls. Für den Zugriff auf persönliche Daten Anderer muss man ihnen in der schönen neuen Biometriezukunft nicht einmal mehr den Ausweis klauen und die Fingerabdrücke nehmen. Ein RFID-Lesegerät und 10 Meter Annäherung ans Opfer reichen in Zukunft offenbar aus.

Aber es ist ja nicht so, dass niemand vor solchen Möglichkeiten gewarnt hätte.

• 37 Kommentare zum Artikel

• Hi! Wieviel Bit bräuchte man denn eigentlich für eine Hacksichere Verschlüsselung? Oder gibt es diese gar nicht? Dann nimmt man ab dann einfach nur noch seinen Führerschein mit und lässt den Pass zuhaus

  Fabe am 03.03.2006 14:10

• Moin! afaik solltens schon 1024bit sein, ist zumindest das gängige bei Festplattenverschlüsselungen. Bei solch einem Schutz lohnt es dann kaum noch, den Schutz knacken, weil es einfach zu lange dauert. Serial PS: Achte beim nächsten mal bitte darauf, wie lange in dem Thread schon nichts mehr geschrieben wurde, sonst hängt dir bald der Ruf des "Threadfledderers" an.

  SerialKiller am 03.03.2006 15:56
• [...] Diskussion lesen oder Artikel kommentieren