Forum

Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #345: Juli 24, 2008, 12:50:34
Datenschützer raten zur Aluminiumhülle für die kommenden elektronischen Personalausweise:
http://www.heise.de/newsticker/Datenschuetzer-warnen-vor-neuem-elektronischen-Personalausweis--/meldung/113284/

Florian

  • Verderbliche Ware!
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #346: Juli 24, 2008, 13:09:07
Ich halte das auch für grob fahrlässig. Wenn der Ausweis im Internet oft verlangt wird, wird doch gar nicht mehr nachgedacht und automatisch eingesteckt (oder drangehalten). Da erhöht sich doch das Mißbrauchsrisiko, das man eigentlich vermindern will. Ah, dafür gibt es ja die Fingerabdrücke…
Und wozu braucht ein Ausweis oder Pass eigentlich RFID? Bis jetzt ist mir noch kein Grund vorgetragen worden, der dem Inhaber zugute kommen würde, außer: „Den können sie in der Tasche lassen.“ Super.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #347: Juli 24, 2008, 16:33:18
Und wozu braucht ein Ausweis oder Pass eigentlich RFID? Bis jetzt ist mir noch kein Grund vorgetragen worden, der dem Inhaber zugute kommen würde, außer: „Den können sie in der Tasche lassen.“ Super.
Auch nicht wirklich. RFID nach ISO 14443 (sollten viele Studenten als MiFare kennen) arbeitet im 125kHz-Bereich und kann nur im Nahbereich wirklich zuverlässig ausgelesen werden. Meist muß man mit dem Transponder bis auf wenige Zentimeter an das Lesegerät herangehen. Wenn ich mehrere Ausweise mit dieser Technik habe (MasterCard und Visa starteten kürzlich in der Schweiz mit "touchless payment") könnte es Probleme geben, sinnvollerweise sollte im Bereich des Lesegeräts nur ein Transponder von der Software zugelassen werden, da ansonsten Verwechslungen durch versehentlich gelesene Ausweise vorprogrammiert sind.

Ich muß den Ausweis halt nicht aus der Hand geben (was ich aber bei einer polizeilichen Überprüfung eher bezweifle) und wie die Identifikationsüberprüfung im Internet funktionieren soll, ist mir auch noch nicht ganz klar. Damit das Sinn macht, müsste jeder einen RFID-Leser zuhause haben. Wenn ich mir überlege, wieviele einen Scheckkartenleser haben, dann glaube ich kaum, daß diese Funktion in naher Zukunft große Verbreitung haben wird.

Wenn die Datenverschlüsselung abhängig von der UID des Transponders (jeder Transponder hat eine einzigartige Seriennummer, ähnlich wie die MAC-Adressen von Netzwerkkarten, sind aber fest gespeichert) implementiert wird, ist eine Fälschung recht aufwändig, im Gegensatz zu den Magnetstreifen der EC-Karten.

Ach ja: welchen Zweck erfüllt generell ein Ausweis gegenüber dem Inhaber? Mir fällt kein einziger ein. Ich weiß, wer ich bin, aber ich brauche ihn gegenüber Dritten. Somit erfüllt der RFID-Chip für mich auch keinen Zweck, nur gegenüber Dritten. Die Polizei kann die Daten ohne Übertragungsfehler übernehmen oder der PA könnte (so wie zB schon in Belgien praktiziert) als Zutrittskontrolle (öffentlich wie privat) dienen oder als Altersnachweis am Zigarettenautomaten ;)

Noch weiter geht es mit einer gespeicherten digitalen Signatur, wobei ich die nur einsetzen würde, wenn die Daten wirklich vernünftig verschlüsselt sind, evtl. sogar mit Überprüfung der optional gespeicherten Fingerabdrücke (statt einer Pin).

Wenn wir gerade bei Fingerabdrücken sind: immer mehr Edeka-Märkte bieten eine Bezahlfunktion per Fingerabdruck an. Die Speicherung dieser Daten muß noch nicht mal genehmigt werden, da privatwirtschaftlich...
_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #348: Juli 29, 2008, 12:03:12
"Es reicht nicht aus, dass die Karten auditiert werden bis zum Umfallen, .... denn sie interagieren mit der restlichen IT-Landschaft - und die ist meines Erachtens noch lange nicht reif für die Anforderungen, die für solche Signaturfunktionen zu stellen sind.":
https://tepin.aiki.de/blog/archives/326-What-you-see-is-similar-to-what-you-sign.html

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #349: Juli 29, 2008, 22:25:43
Naja, aus den Unzulänglichkeiten von Word eine generelle Untauglichkeit der elektronischen Signatur abzuleiten ist, gelinde gesagt, haarsträubend. Nimmt man, wie in einem der Kommentare auch erwähnt, passenderweise PDF heran, dann sieht die Sache doch schon ganz anders aus.
_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #350: Juli 29, 2008, 23:03:51
Ja, die Karte sollten nur mit signiergeeigneten DateiFormaten funktionieren.
« Letzte Änderung: Juli 29, 2008, 23:07:50 von radneuerfinder »
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #351: Juli 29, 2008, 23:36:36
Die Tatsache, dass eine "digitale Identität " viel einfacher gestohlen werden kann, als eine reale, kann aber nicht so einfach weg diskutiert werden. Und das wird die Gesellschaft noch massiv beschäftigen, sobald man digitale Signaturen verbreiteter einsetzt.

Edit: Typo
« Letzte Änderung: Juli 31, 2008, 09:23:11 von warlord »
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #352: Juli 30, 2008, 00:46:52
Die Tatsache, dass eine "digitale Identität " viel einfach gestohlen werden kann, als eine reale, kann aber nicht so einfach weg diskutiert werden.
Wirklich? Auf jedem Ausweis und jeder Geldkarte ist meine Unterschrift drauf. In 98% der Fälle dürfte auch eine schlechte Fälschung der Unterschrift ohne weiteres durchgehen.
Wenn aber auf meinem Ausweis meine Signatur ist, die zusätzlich über meinen Fingerabruck gesichert ist, dann dürfte die Sache schon schwieriger werden. Natürlich ist die Schwachstelle immer dort, wo die Daten letztendlich entschlüsselt werden. Aber das ist eine Sache der Implementation und je besser die ist, desto zuverlässiger ist auch diese Identität.

Aber vielleicht bin ich ja auch auf dem Holzweg und Du meinst mit "realer" Identität was anderes.


_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #353: Juli 30, 2008, 06:51:07
Die Tatsache, dass eine "digitale Identität " viel einfach gestohlen werden kann, als eine reale, kann aber nicht so einfach weg diskutiert werden. Und das wird die Gesellschaft noch massiv beschäftigen, sobald man digitale Signaturen verbreiteter einsetzt.

Ich glaube, ich habe eine Ahnung, was du meinst. Trotzdem ist es doch heute schon so, und ich erlebe das täglich beim Bezahlen mit meiner Kreditkarte, dass niemand wirklich die Unterschrift prüft. Die meisten Kassierer schauen gar nicht mehr nach, auch in Läden, in denen ich zum ersten Mal einkaufe.

Ich nehme an, du meinst, das der Diebstahl einer digitalen Identität weitaus größere Folgen für den bestohlenen haben kann, da die Möglichkeiten des Betruges, hm, anonymer sind. Jemand der anonym über ein Netzwerk die korrekten Daten erhält, geht ja davon aus, das alles seine Richtigkeit hat.

Allerdings kriege ich graue Haare, wenn ich höre, wie in GB mit den Daten umgegangen wird. Es jagt laut Medienberichten ja eine Datenpanne die nächste und es werden sogar ungefragt persönliche Daten zu Forschungszwecken ausgegeben. Das kann und darf so nicht sein. Vielleicht wird da auch viel von den Medien aufgebauscht, aber selbst wenn, die Daten sind scheinbar nicht sicher und genau das kann und wird uns dann auch treffen.

Vor allem zeigt doch die Vergangenheit und Gegenwart jeden Tag, egal welches Verschlüsselungsverfahren, alles kann irgendwann, bei entsprechendem Interesse, geknackt werden. Da muss nur jemand mit viel Geld dahinterstehen und selbst die Regierungsdaten werden gestohlen.
« Letzte Änderung: Juli 30, 2008, 06:54:55 von Thyrfing »
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #354: Juli 30, 2008, 07:06:13
Eine gestohlene digitale Identität ist voll einsetzbar und nicht als Fälschung zu entlarven.

Eine nur gefälschte Identität, wie z.B. ein gefälschte Unterschrift, geht zwar in den meisten Fällen durch, es kommt also gar nicht erst zur Prüfung, sie könnte aber als Fälschung entlarvt werden.


Das ist wie mit den absolut fälschungssicheren Banknoten.
Wenn der Aufwand nur groß genug ist, kann eine Blüte entdeckt werden.
Was hilft's aber, wenn die Kassiererin auf einen 30,--€-Schein raus gibt. ;) (das gab es auch schon)

Die Macher von fälschungssicheren Identitätsnachweisen oder von fälschungssicheren Banknoten meinen halt etwas anderes, als in der Praxis dann gefordert wird.
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #355: Juli 30, 2008, 09:52:59
Eine gestohlene digitale Identität ist voll einsetzbar und nicht als Fälschung zu entlarven.

Eine nur gefälschte Identität, wie z.B. ein gefälschte Unterschrift, geht zwar in den meisten Fällen durch, es kommt also gar nicht erst zur Prüfung, sie könnte aber als Fälschung entlarvt werden.

Ganz genau. Als Bestohlener habe ich bei einer digitalen ID null Chancen zu beweisen, dass das nicht ich war. Bei einer herkömmlichen ID schon.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #356: Juli 30, 2008, 22:46:08
Eine gestohlene digitale Identität ist voll einsetzbar und nicht als Fälschung zu entlarven.
Warum soll die voll einsetzbar sein? Scheinbar stehe ich auf dem Schlauch, aber ich glaube kaum, daß eine digitale Signatur einfach ohne weitere Prüfung der Identität (und sei es durch ne Pin) akzeptiert wird, denn dann ist sie absolut ohne Wert.
_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #357: Juli 31, 2008, 07:15:22
Eine gestohlene digitale Identität ist voll einsetzbar und nicht als Fälschung zu entlarven.
Warum soll die voll einsetzbar sein?

Ich meine eine geklaute Identität, sagen wir ein geklauter Ausweis, auf dem neben den Fingerabdrücken noch viele andere Daten untergebracht sind, eröffnet dem unrechtmässige Besitzer doch viel mehr Möglichkeiten, als wenn er einfach nur behauptet er sei ein anderer oder nur mit falschem Namen unterschreibt.

Bestelle ich in deinem Namen, sagen wir telefonisch, auf Rechnung, kann der Verkäufer mir oder dir später kaum nachweisen, wer die Bestellung tatsächlich ausgeführt hat.

Bestelle ich auf deinen Namen, mit den ach so fälschungssicheren Features deines Persos, sieht das schon ganz anders aus.
Der Verkäufer wird nun behaupten können, es muss ja wohl Patrick bestellt haben, wer sonst außer ihm hat diese Informationen von seinem Personalausweis?
Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #358: Juli 31, 2008, 07:35:26
Warum soll die voll einsetzbar sein? Scheinbar stehe ich auf dem Schlauch, aber ich glaube kaum, daß eine digitale Signatur einfach ohne weitere Prüfung der Identität (und sei es durch ne Pin) akzeptiert wird, denn dann ist sie absolut ohne Wert.

Wir (zumindest ich) sprechen von einer gestohlenen digitalen Identität. Nicht von einem gestohlenen Reisepass. D.h. die zur Identifikation notwendigen bzw. ausreichenden Daten sind einem Dritten in die Hände gefallen.
Natürlich sind diese Daten voll einsetzbar und rechtlich bindend. Wie sollte eine digitale Identität sonst funktionieren, wenn sie nicht alleine ausreicht?
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

mbs

Re: Ich sehe was Du nicht siehst / Behörden-Trojaner
Antwort #359: Juli 31, 2008, 09:15:21
Ich fürchte Ihr redet etwas aneinander vorbei.

Ein geklauter Ausweis ist eben noch keine gestohlene Identität. Patrick will wohl darauf hinaus, dass außer dem Diebstahl an sich zusätzlich noch ein "Hacker-Angriff" auf die auf der Karte gespeicherten Daten nötig ist, um diese erfolgreich auszulesen und zur Identifikation nutzen zu können. Wenn ein privater Schlüssel gespeichert ist, kann dieser ja nicht ohne Authentifizierung gegenüber der Karte genutzt werden (ansonsten wäre das ganze Konzept schwachsinnig).

Wenn es aber einmal gelingt, die Daten einer digitalen Identität zu entschlüsseln, können diese beliebig kopiert und missbraucht werden, ohne dass der Eigentümer eine Chance hat, dies zu verhindern oder nachzuweisen. Das ist in der Tat ein neues Problem.