Cryptography Reference
In-Depth Information
Kritik am elektronischen Personalausweis
Schon vor der Einführung des elektronischen Personalausweises wurde viel über
die Sicherheitsmechanismen und den Mehrwert des Personalausweises diskutiert
(Bild 2). Kurz nach Einführung des Personalausweises wurde eine Schwachstelle in
der Konzeption des Updatemechanismus der Ausweissoftware bekannt, die es
ermöglichte, schädliche Software auf Nutzerrechner einzuschleusen und somit die
Sicherheit des Endgeräts anzugreifen.
Ist der nPA sicher?
Erste Kritik und erste Schlußfolgerungen.
Die Kritik basiert auf klassischen Angriffen
Bedrohte Komponenten
Angriff: Nutzung einer Schwachstelle in der AusweisApp bzw.
deren Update-Funktion zum Einschleusen von Schadsoftware
Bewertung: Eine korrigierte Version der AusweisApp wurde
Anfang Januar bereitgestellt. Auch hier ist die Absicherung des
PCs durch Schutzsoftware notwendig, da Softwarefehler nie
ganz ausgeschlossen werden können.
Angriff: Ausspähen der PIN auf dem PC (Keylogging durch
Tr o j a n e r )
Bewertung: Auf dem PC muss die übliche Schutzsoftware aktiv
sein. Ein Kartenleser mit eigenem PIN-Pad erhöht die
Sicherheit noch weiter.
Gegen den nPA und seine Kommunikationsprotokolle sind
bislang (außer Zerstörungsversuchen durch Mikrowelle oder
Hochspannung) keine erfolgreichen Angriffe bekannt.
Middleware (AusweisApp)
PC
Kartenleser / Luftschnittstelle
Personalausweis (Chipkarte)
Bild 2
Daher wird auch immer wieder in Frage gestellt, ob der Personalausweis über-
haupt eine Verbesserung der Sicherheit bei der Authentifizierung im Web bringt.
Dazu ist klarzustellen, dass keine Angriffe auf den Personalausweis bekannt und
sogar denkbar sind, die nicht in gleicher oder einfacherer Weise auf bisher übliche
Verfahren, wie „Benutzername/Passwort“ anwendbar wären. Insofern kann man
also behaupten, dass die Authentifizierung mittels des elektronischen Personal-
ausweises nicht schlechter ist als durch derzeit gängige Methoden. Die Frage, ob
tatsächlich eine Verbesserung des Sicherheitsniveaus gegenüber derzeitigen
Search WWH ::
Custom Search