Elektronischer Personalausweis

Internet Internet Sicherheit
#1

Auf dem neuen elektronischen Perosnalausweis wird neben den persönlichen Daten auch ein private/public key Paar gespeichert, dass unter Eingabe eines 6stelligen PINs abrufbar ist.

Per Definition ist das Schlüsselpaarsystem nur dann sicher wenn der private Schlüssel nur einer Instanz, dem Besitzer, bekannt ist.

Der private Schlüssel ist jedoch 2 Instanzen bekannt, mir selbst, dem Besitzer, und dem Staat(sonst könnte die Behörde im Falle eines Datenverlustes, zB eines gelöschten Chips durch einen Magneten, den Schlüssel ja nicht reparieren).

Per Definition ist das System somit nicht sicher, denn der Staat ist so in der Lage mit Hilfe meines privaten Schlüssels Signaturen zu erstellen die anscheinend von mir stammen bzw. Daten entschlüsseln die an mich gerichtet sind.

Ist das System somit nicht hinfällig?
Euer Kommentar dazu?

#2

Hallo,
da der Staat sich per Definiton rechtmässig verhalten muss, ist das System sicher. Sollte er dies nicht tun, ist ein privater bekannter Schlüssel dein geringstes Problem.
Gruß

#3

Ich bin Informatiker und es geht mir halt um die Definition.

Und in der Definition steht ein System ist sicher wenn folgende Punkte erfüllt sind:
1.
2.
3.

Und das System verstößt halt gegen wenigstens einen dieser Punkte.
Demnach ist die Bundesrepublik Deutschland die hier als CA fungiert halt nicht als vertrauenswürdig ein zu stufen.

Es geht mir hier halt um das Einhalten eines Standarts.

#4

Dann bleiben wir doch mal analog, der Staat darf auch die Pässe ausstellen und ist der einzig „legale“ Ersteller für Pässe der BRD. Somit kann er auch die Schlüssel erstellen. Weiterhin darf er ja sogar bei begründetem Verdacht deine Daten „mitlesen“, somit liegt keine Sicherheitslücke vor.
gruss

#5

Hy,

mal praktische betrachtungen…

Per Definition ist das Schlüsselpaarsystem nur dann sicher
wenn der private Schlüssel nur einer Instanz, dem Besitzer,
bekannt ist.

Der private Schlüssel ist jedoch 2 Instanzen bekannt, mir
selbst, dem Besitzer, und dem Staat(sonst könnte die Behörde
im Falle eines Datenverlustes, zB eines gelöschten Chips durch
einen Magneten, den Schlüssel ja nicht reparieren).

Also Ich habe letzte Woche meinen Ausweis und Reisepass mit elektronischem gedöns drin abgeholt. Mir wurde ausser den beiden nix an Schlüsseln gegeben.
Auch ein Magnet richtet bei einem Mini RFID-artigen Chip relativ wenig an.

Ist das System somit nicht hinfällig?
Euer Kommentar dazu?

Frage: Wozu?
Jedes System ist nur so sicher wie die Randbedingungen. Eine Verschlüsselung oder ein Verschlüsselungssystem (welcher Art auch immer) kann nie wirklich 100%ig sicher sein.

gruß
h.

#6

Nicht? Na dann schauen wir mal. In dem neuen Paß steht ja nu nicht nur Name und Adresse drin. Da lassen sich viel Felder drin erfassen. Und eigntlich habe ich keine Kontrolle, wer da Zugriff drauf hat, denn immer wenn ich mich mit dem Ding bei einer Behörder oder Ähnlichem authentifiziere, kann ich schließlich nicht hellsehen, was da alles übertragen wird.

Und jetzt betrachten wir einmal, daß es offenbar selbst Einzelpersonen möglich ist, in der heutigen Welt an sensible Bankinformationen heranzukommen (die den betreffenden Jahre in den Knast bringen können) und vergleichen dabei wie schnell unsere Staatsmacht bereit ist, auf den Datenschutz einen großen Haufen zu machen und derartige Daten zu kaufen (Jaha, der Mann hat illegal diese Daten gesammel, dafür evtl. sogar Leute bestochen, erpreßt oder schlimmeres, aber er geht dafür nicht in den Bau sondern kriegt von Vater Staat noch einen Haufen Geld aufs Konto).
Jetzt erzäle mir bitte nocheinmal, wie sicher Du Dich fühlst! Das ist genausoein verlogenes Konzept wie die deMail oder die ELENA.

#7

Totale Fehlinformation

Auf dem neuen elektronischen Perosnalausweis wird neben den
persönlichen Daten auch ein private/public key Paar
gespeichert, dass unter Eingabe eines 6stelligen PINs abrufbar
ist.

Nein, da wird nichts gespeichert. Vielmehr ist es möglich, nach Auslieferung des Ausweises eine qualifizierte Signatur nachzuladen. Der Aussteller dieser Signatur ist frei wählbar.

Der private Schlüssel ist jedoch 2 Instanzen bekannt, mir
selbst, dem Besitzer, und dem Staat(sonst könnte die Behörde
im Falle eines Datenverlustes, zB eines gelöschten Chips durch
einen Magneten, den Schlüssel ja nicht reparieren).

Warum sollte dem Staat das geringste daran gelegen sein, den Schlüssel zu ‚reparieren‘?

Gruß

#8

Tatsächlich Fehlinformation
Also der Staat stellt den Schlüssel gar nicht aus, na wenn das so ist, dann kann ich das Akzeptieren.

Hast Du Informationen darüber wie der Schlüssel generiert wird?

Generiere ich das Schlüsselpaar selbst zu hause schicke den öffentlichen Schlüssel dann zum signieren und füge die beiden Schlüssel zu hause wieder zusammen?

Wie ist der Ablauf?
Ich interessiere mich sehr für Kryptographie.

Dann wurde mir das falsch erklärt. Gut dass ich nachfrage und das nicht als wahr hingenommen habe.

#9

Hast Du Informationen darüber wie der Schlüssel generiert
wird?

Die Ausweis stellt u. a. eine eCard (BSI-Dokument BSI-TR-03117) dar, eine eCards wiederum eine ‚sichere Signaturerstellungseinheit‘. Das Schlüsselpaar kann also auf dem Ausweis selbst erstellt werden, es kann aber auch von einem Zertifizierungsdiensteanbieter stammen.

Generiere ich das Schlüsselpaar selbst zu hause schicke den
öffentlichen Schlüssel dann zum signieren und füge die beiden
Schlüssel zu hause wieder zusammen?

Wie das ganze technisch funktioniert, dazu findest du alle nötigen Informationen beim BSI https://www.bsi.bund.de/cln_174/sid_B71E0BFE2FF42BB1…

Wie ist der Ablauf?

Wie der praktische Ablauf später aussieht, ist mir leider nicht bekannt.

Gruß

1 Like