Nicht zu den ersten gehören

Benutzer alexander-kraus schrieb:



Netter Beitrag, definitiv vieles RIchtig :)

Aber... Das einzige was (zumindest bisher) SICHER ist, ist das wir irgendwann ins Gras beißen werden. Mehr nicht.

Ich beantrage extra noch schnell den alten Ausweis ,dann hat man schon mal 20 gespart für die nächsten 10 Jahre. Momentan kostet der Ausweis 80 Cent im Jahr und nur weil der Staat Geld verdienen will mit Mist ,den man gar nicht nutzen kann bzw. will soll man dann 2,80 im Jahr bezahlen. Nein Danke.

Benutzer renehaeberlein schrieb:

Die Gemeinden zahlen doch am Ende sogar drauf bei dem neuen Ausweis. Ein weiterer Kritikpunkt.

Was mich ärgert, ist die Tatsache, dass dieser RFID-Chip total unsicher ist.
Offiziell soll dieser Chip ja nur mit speziellen Lesegeräten aus einer Entfernung von wenigen Zentimetern ausgelesen werden können.
Doch in zahlreichen Foren, findet man Infos dazu - wie der Otto-Normal-User ebenfalls diese Chips auslesen kann. Außerdem gibt es Tests mit Lesegeräten, die aus einer Entfernung von 2-3 Metern problemlos RFID-Chips lesen können.

Eine unschöne Vorstellung wenn ich z.B. durch Köln laufe und irgendwo einer mit seinem Koffer steht und die Personendaten nur so sammelt. Technisch möglich und Werbeadressenfirmen freuen sich.

Ein so sensibles Dokument würde ich gar nicht mitführen. Mein Reisepass liegt im Safe. Und an alle unwissenden: Es gibt zwar eine Ausweispflicht, aber keine Mitführpflicht. Mein Reisepass im Safe genügt daher völlig!

Benutzer Moneysac schrieb:

Aber es GAB sie: In den FRÜHEREN Zollgrenzbezirken.

Benutzer hafenbkl schrieb:

Es GAB noch viel schlimmere Sachen...

Benutzer Moneysac schrieb:

Was denn im Zusammenhang mit dem Personalausweis?

Außerdem fand ich das gar nicht so schlimm. Man gewöhnt sich ja von Geburt an daran.

Laut wikipedia soll es ja immer noch zwei geben:
https://secure.wikimedia.org/wikipedia/de/wiki/Zollgrenzbezirk

Benutzer renehaeberlein schrieb:
Ja, verdammt. Da habe ich doch tatsächlich heute meinen Ausweis verloren ;-)
Nun komme ich doch nicht sobald in den "Genuss" des Neuen. Schaaade!

Muss man eigentlich diese Ausrede vorlegen, wenn ich im Oktober noch einen "alten" beantragen will oder genügt es, wenn ich die Fakten und meinen bisherigen auf den Tisch lege und sage: Bitte entwerten, ich will nen neuen und zahle auch?

Basti

AUSREDE??? Tststs. ;-)

Das habe ich jetzt nicht verstanden. Willst Du 'nen neuen Neuen oder 'nen neuen Alten. Und was soll die Formulierung "und zahle auch"? Meinst Du, Du willst 'nen neuen Alten und bietest denen das Geld für den Neuen?
Das kannst Du glaube ich komplett vergessen. Schliesslich gibt's Korruption nur in China oder Mexiko.
Nein, im Ernst. Das ist wohl die unwahrscheinlichste Variante.

Ich vermute mal, dass man dem Antragsteller auch im Oktober und November nicht die Entscheidung überlässt, welchen Ausweis er bekommt. Schliesslich will man ja den neuen "pushen". Es wird wohl einen Stichtag geben, ab dem nur neue beantragt werden kann.

Sicherheitshalber sollte man besser in die Situation kommen, ihn vorher beantragen zu MUESSEN ;-)

Ich sehe es auch so, erst einmal abzuwarten.
Mein alter Ausweis läuft ohnehin im Oktober 2010 ab, d.h. ich werde mir für 8 Euro noch einen "alten" bestellen, mit 10 jahren Gültigkeit.

Das jetzige Format finde ich ohnehin besser, wegen der geringen Dicke. Ich habe schon genug 2,5 mm dicke Plastikkarten im Geldbeutel.

Hinzu kommt, dass z.B. beim Scheckkartenführerschein die Verarbeitungsqualität sehr mies ist. Mein noch nicht einmal 7 Jahre alter Führerschein schaut schon richtig schlecht aus, viel schlechter, als die 10 Jahre alten PA oder 33 Jahre alten grauen Führerscheine meiner Eltern.

Das ist Geschmackssache. Und darüber lässt sich bekanntlich nicht streiten. Ich für meinen Teil, finde das Format des bisherigen Ausweises zu groß. In einen kleineren Geldbeutel passt er leider nicht rein.


Das kann ich nicht bestätigen. Ich kenne sowohl gut erhaltene als auch verschlissene graue und rosa Führerscheine. Die Führerscheinkarten in meiner Bekanntschaft sehen alle noch gut aus. Mit "alle" meine ich natürlich nur die, die man mal in Gesellschaft so rumgezeigt hat.

Ich denke, es kommt auch drauf an, wie oft man sie benutzen und vorzeigen muss. Meine Bankkarte z. B. sieht nach 3 Jahren wirklich verschlissen aus. Diese brauche ich aber auch fast täglich beim Einkaufen. Und hier sendet meine Bank mir auch alle 3 Jahre eine neue zu.

Telly

Naja. Meiner hält noch bis 2017. Somit bin ich glücklicherweise nicht bei den ersten dabei und bis dahin sollte sich auch alles eingspielt haben.


"Dann" kannst Du es auch "fail" nennen. Aber ich warte erstmal ab, bevor ich es "fail" nenne. Das im Moment aber alles nur auf das PostIdent-Verfahren abzielt, finde ich jedoch auch nicht mehr zeitgemäß. Daher begrüße ich grundsätzlich mal den neuen Ausweis.


Wenn ich den Artikel richtig gelesen habe, kann man die 6-stellige PIN ja selbst festlegen. Wann geschieht das denn? Bei Antragstellung? Wenn ja, tippt man das in ein Gerät ein oder schreibt man die Nummer etwa auf einen Antrag? Letzteres kann ich mir nicht vorstellen bzw. wäre in der Tat ein KO-Kriterium.

Ich hoffe, dass man die PIN also selbst an seinem Kartengerät dann auch ändern kann.

Telly

Alles absolut richtige Gedanken.
Wenn ich noch an die Einführung des aktuellen Modells denkeda wurde uns die „Maschinenlesbarkeit“ angepriesen, wodurch man nicht immer „alle Angaben abgeschrieben werden müssen“ und „alles viel schneller“ ginge.
Komisch nur, dass bis zum heutigen Tag sämtliche Ämter und öffentlichen Einrichtungen meine Ausweisdaten „abschreiben“! Und selbst bei der Polizei gibt es noch keine "Maschinen" für meinen PA und es kommt irgendwann die Frage: „Und wie ist ihre Postleitzahl?“
Am ärgerlichsten ist aber die Tatsache, dass die Probleme mit den RFID-Chips (Ich meine die Lesbarkeit und Auswertung durch Dritte, welche mit geeigneten Gerätschaften in der Nähe sind) schon seit Einführung der neuen Pässe (2007?) bekannt sind und offensichtlich nichts daran verbessert wurde. Es zeigt sich wieder, auch der Datenschutzbeauftragte ist ein Lakai des Staates.

Gruß
Varius

Hallo,

ich darf den neuen Ausweis gerade mit testen (Studienarbeit). Ohne ALLE Bedenken der Vorredner zerstreuen zu wollen - einiges (im Vgl. zum Pass) ist tatsächlich anders beim neuen Ausweis:

Funktionen:
Es gibt drei, vollständig voneinander getrennte Funktionen,
ePass: nur behördliche Verwendung (z.B. Grenzkontrolle / Polizei)
eID: Ausweisen an Automaten oder im Internet: z.B. Flughafen, Internet-Shop, Banking
eSign: digitale Signatur, Zusatzfunktion, zusätzliche Kosten

AusweisApp:
- gibt es (derzeit) für Windows 32/64 Bit ab XP, MAC OS X und Linux

PIN:
- man bekommt einen Brief mit einer 5-stelligen PIN (Rubbelfeld). Diese muss in der AusweisApp in eine eigene 6-stellige geändert werden. Sie kann dort beliebig oft geändert werden. Dazu gibts noch eine PUK wie beim Handy mit gleicher Funktion.
- Tipp1: nicht den eigenen Geburtstag als PIN nehmen...
- Tipp2: niemals ein günstiges Lesegerät OHNE EIGENE TASTATUR verwenden (die 10 Euro Klasse), mittels Keylogger-Angriff kann die PIN sonst leicht mitgelesen werden...

RFID Angreifbarkeit:
- Die Karte ist technisch nur ca. 10 cm weit lesbar.
- Wichtiger: Ein erstmals (auch im europäischen Vgl.) angewandtes Verfahren "Terminal Authentication (TA)" sorgt dafür, dass sich ein Auslesegerät (Terminal) selbst erst beim Personalausweis "ausweisen" muss, bevor dieser überhaupt mit dem Terminal "redet". Die zeitlich beschränkten Berechtigungen (Zertifikate) für Terminals (z.B. Internet-Shops) vergibt das Bundesverwaltungsamt nach ziemlich aufwendiger Prüfung. Bei allen bekannten erfolgreichen RFID-Angriffen auf Ausweise gab es dieses Verfahren noch nicht.

Kosten:
- was hier noch nicht so gut rüberkam - wer auch die Signaturfunktion (eSign) nutzen will muss sich bei einem Drittanbieter zuerst mal ein Zertifikat kaufen (derzeit ca. 20 Euro/Jahr). DANN reicht auch ein günstiges Lesegerät für 10 Euro nicht mehr aus, man braucht ZWINGEND ein Gerät mit Tastatur (um die 60 Euro).

Benutzer isar03 schrieb:
Das ist leider nicht ganz korrekt. Es kommt auf die Sendestärke des Lesegerätes an. Die offiziell zugelassenen Geräte können nur auf 10cm lesen. Würde mich aber wundern, wenn dort kein Datendieb aufspringt.
Ja und? Das heißt doch alles gar nichts. Trotzdem werden schon nach kurzer zeit Datendiebe unser Land lieben. Es wäre das erste System das man nicht knacken könnte. Und das glaubt doch nicht wirklich jemand, oder?
Schauen wir uns doch nur Microsoft und Windows an. Bei jeder neuen Version heißt es "unknackbar". Mal dauert es 2 Wochen, mal 3 Wochen. Doch bis jetzt ging es immer.
Fakt ist: Der liebe Staat möchte seine Bürger als Feinde. Es gibt kein Argument warum eine Funkschnittstelle sein muß. Digital ist gut und okay. Aber man hätte ohne Probleme auf Funk verzichten können. Auslesen per Lesegerät mit fester Schnittstelle ( wie z.B. Krankenkarte, EC-Karte etc.) würde auch nicht länger am Flughafen dauern.

Ich bin auf der CEBIT in Hannover gewesen und haben mit vielen Personen gesprochen auch aus dem Innenministerium, Fazit ist: es gibt viele Sicherheitsbedenken und ein RIFD ist auf 1-2 Meter lesbar mit den entsprechenden Geräten lt. deren Hersteller. Dies zur Sicherheit.

Danke für die emotionslosen Fakten!

Telly

Benutzer Telly schrieb:

Also ich mag Emotionen ;-)

Sogar Fakten kann man mit Humor rüberbringen.
(Das war jetzt um Gottes Willen keine Kritik an isar03s toller Information, vielen Dank ihm dafür --> übrigens: "toll", schon wieder 'ne Emotion).

Benutzer garfield schrieb:

@Telly - sorry, wenn das alles etwas trocken klang, liegt aber sicher auch daran, dass ich seit Wochen nichts anderes mach als trockene Fakten über das Thema zu sammeln...

Also, wer Angst haben sollte, er müsse sich irgendwo rechtfertigen, wenn er vor November einen alten PA beantragen will braucht sich wohl keine Sorgen zu machen, lt. personalausweisportal.de kann man überhaupt erst ab 1.11. den neuen PA beantragen (sorry, schon wieder ein Fakt -:) )

"Wo und wann bekomme ich den neuen Personalausweis?
Den neuen Personalausweis können Sie ab dem 1. November 2010 in der Personalausweisbehörde Ihres Bürgeramts beantragen...."

Benutzer isar03 schrieb:

Ich auch! Im Zweifel sind mir Fakten und Neutralität aber lieber. Eine Aussage ist für mich auch glaubwürdiger, wenn ich nicht das Gefühl habe, jemand möchte mich in eine Richtung drängen.


Dass Du Dich damit befasst hast, merkt man. Und Dein "sorry" ist nicht nötig. Ich meinte mein Posting durchaus positiv!


Ein sorry mit Smiley passt schon besser ;-)

Beiträge wie diese hier von Dir bereichern eben ein Forum.

Telly

Benutzer isar03 schrieb:
>
>
Wenn ich mal davon ausgehe, dass auch andere Unices (*BSD etc.) mit der Linux-App klarkommen, dann sind ja alle wichtigen Betriebssysteme abgedeckt, es fehlen nur ein paar Exoten und Systeme, die nur auf Handys eingesetzt werden.

>
Auch nicht rückwärts oder so ...

>
Das hängt natürlich davon ab, wie gut das Lesegerät ist. Höhere Sendestärke und verbesserter Empfang (Richtantenne?) kann da schon Einiges bewirken. "Nicht lesbar" ist der Chip erst, wenn sein Signal im Hintergrundrauschen untergeht. Solltest du auch so in deine Studienarbeit schreiben (im Kapitel über illegale Leseversuche oder so ...).

>
Ich versuche mir das mal vorzustellen: das Terminal muss ein Zertifikat vorweisen, das vom Bundesverwaltungsamt signiert ist. Da muss also nur der richtige Mann korrupt sein, und offiziell nicht existierende Zertifikate erstellen (bzw. den Schlüssel herausgeben, mit dem sie signiert werden).

Und welches Verfahren wird bei der TA benutzt (Protokoll, Verschlüsselung)?

Benutzer helmut-wk schrieb:


Und vor allem: nur im Kopf haben, nicht auf dem Zettel neben dem Ausweis in der Tasche...


Ja, das stimmt. Man hat den (verschlüsselten) Datenverkehr von beim nPA (wie auch ePass) eingesetzen passiven Proximity-Chips unter LABORBEDINGUNGEN (keine störenden Einflüsse) auf max. 2-4m Entfernung MITHÖREN können, allerdings nicht fehlerfrei.

Aber: Selbst wenn das fehlerfrei möglich wäre, würde es einen technischen und finanziellen Aufwand erfordern (große Richtantennen und starke elektromagnetische Felder), den in der Praxis wohl kaum ein Datendieb betreiben würde. Außerdem, wenn, dann hat man nur den stark verschlüsselten Datenverkehr.

Vor jeder einzelnen Kommunikation werden mehrere, dafür neu erzeugte und signierte Schlüssel (mit 256bit üppig dimensioniert) zwischen dem beteiligten Terminal und dem Chip im Ausweis ausgetauscht. Die hier angewandten Protokolle und Kryptografieverfahren sind sehr aufwendig. Wer tiefer einsteigen will, dem sei das Studium der frei abrufbaren Technischen Richtlinien des BSI zum nPA empfohlen - relativ gut verständlich ist als Bsp. die TR-03116-2.


Korruption: Wo Menschen beteiligt sind immer denkbar.
Aber: Hier viel schwieriger und risikoreich, da mehrere Instanzen involviert sind, alle Genehmigungen zur Möglichkeit der Gegenkontrolle veröffentlicht werden müssen, das Genehmigungsverfahren nicht trivial ist usw. usf.

Zertifikatsherausgabe: Kein Beamter kennt diese Signaturen (sie verlassen die hermetisch abgeriegelten sowie versiegelten Hardware-Kryptoboxen der Zertifizierungsstelle nie)
Außerdem werden sie in sehr kurzen Zeitabständen (einige Stunden) automatisch erneuert.

Und noch etwas. ePass und eID Funktion verwenden vollständig voneinander getrennte Zertifikatsketten (PKIs). Biometrische Merkmale sind nur mit der ePass Funktion (Grenzkontrolle etc.) zugreifbar.

Eigentlich sind es drei, die untereinander kryptografisch "verzahnt" sind:

PACE (PAATSCHE) schützt vor dem "Auslesen im Vorbeigehen", es benötigt die 6-stellige eID PIN, sonst "schweigt" der Chip. Beim zweiten Fehlversuch reicht diese auch nicht mehr (Wörterbuchattacke), man braucht die vorne auf dem Ausweis aufgedruckte Zugangsnummer für einen dritten Versuch. Stimmt die PIN auch dann nicht, wird die eID Funktion gesperrt (Die mitgelieferte PUK kann sie 10x wieder entsperren).
Ist PACE erfolgreich, dann baut es einen sicheren Kommunikationskanal zwischen Terminal (oder AusweisApp) und Chip auf. Die Integrität des Kanals ist von beiden Komponenten (Terminal, Chip) kryptografisch verifizierbar.
Verfahren: ECDH, ECDSA (assym., Diffie-Hellmann mit elliptischer Kurvenkryptografie)

Terminal Authentication (TA) dient der Prüfung OB, und WAS das Terminal (der Internetdienstleister) aus dem Ausweis auslesen darf. Jede einzelne der erlaubten Informationen ist danach per Hand abwählbar. Dazu dienen die Berechtigungszertifikate des Bundesverwaltungsamts.
Die gewonnen Leserechte werden kryptografisch an die folgende Chip Authentication gebunden, so dass die Nutzdaten durch einen sicheren Tunnel zwischen Chip und Terminal (oder eID-Server des Diensteanbieters) "wandern".
Verfahren: Challenge-Reponse mit Diffie-Hellmann

Chip Authentication (CA): Hier weist sich der Chip als nicht gefälscht und integer gegenüber dem Terminal aus (kompliziert) und baut bei Erfolg auch seinerseits den sicheren Kanal für die Daten auf.
Verfahren: ECDH, ECDSA (assym., Diffie-Hellmann mit elliptischer Kurvenkryptografie)

Benutzer isar03 schrieb:

Die Verschlüsselung ist natürlich ein Problem für sich... 2-4m im Labor ergibt in der Praxis schon mehr als 7cm, 20-30cm sollten kein Problem sein, ob auch 1m wage ich lieber nicht zu entscheiden.
>
Also ich weiß, das bei elliptischen Kurven die Schlüssel kürzer sein können als bei RSA (wo 8192 bit Standard sind, aber auch so0 erscheinen mir 256 Bit eher kurz. Die Daten müssen ja auch davor geschützt werden, dass sie jemand abgreift, speichert und dann monatelang versucht, den Schlüssel zu knacken - mir der Hardware, wie sie gegen ende der Gültigkeit des Ausweises (in 10 Jahren!) für Kriminelle erschwinglich ist (sagen wir mal: für 20.000 Euro).

>
Versteh nicht ganz: um den Chip ein gültiges Zertifikat vorzugaukeln, muss kein veröffentlichtes oder genehmigtes Zertifikat verwendet werden. Wir reden ja von illegalen Aktivitäten.

Ein Zertifikat ist ja mit einem öffentlichen Schlüssel lesbar, es fehlt nur der geheime Schlüssel, mit dem es erstellt wurde. Wer den kennt, kann ein Zertifikat fälschen.

>
Da gibt es keine Sysadmins, um bei Problemen ins System einzugreifen?

Aber doch nicht die root-Zertifikate, an denen der Chip erkennt, dass ihm kein falsches Zertifikat untergejubelt wird. Oder holt der Chip alle paar Stunden selbstständig neue Zertifikate ab? ;-)

Also der Chip überprüft ein Terminal, das ein gültiges Zertifikat vorlegt. Das ist nur wenige Stunden alt, denn es ist noch nicht abgelaufen. Also kennt der Chip das Zertifikat nicht und überprüft es - natürlich an Hand eines Zertifikats, dass er wieder an einem Zertifikat überprüft, ... bis ein Zertifikat vorgelegt wird, das der Chip kennt. Weil es ihm schon mal präsentiert wurde und er es damals anerkannt und gespeichert hat (was nur sinnvoll ist, wenn es länger gültig ist, damit nach dem Auslandsaufenthalt noch ein gültiges Zertifikat auf dem Chip ist). So entsteht eine Kette von Zertifikaten, an deren logische Anfang natürlich ein Zertifikat steht, mit dem der Chip von der Behörde ausgeliefert wurde.

Also ein Zertifikats-Schlüssel relativ am Anfang der Kette, und du kannst Zertifikate herstellen, die angeblich aus den Krypto-Servern stammen, und dem Chip die zusammen mit einer gefälschten Zertifikatskette bis hin zum echten Zertifikat, dessen Schlüssel geklaut wurde.

>
Werden die Fehlversuche pro Terminal gezählt oder allgemein? In ersten Fall wär die Frage, ob es Lesegeräte gibt, die übers Netz infiziert werden können, um als Botnetz zusammenzuarbeiten und eine verteilte Wörterbuchattacke zu starten, im zweiten Fall wär die Frage: was tu ich, wenn plötzlich was gesperrt ist?

>
Erst wird festgestellt, was der auslesen darf, dann kann ich das abwählen? Was, wen ein Terminal vorgibt, dass eine Funktion abgewählt wurde, aber im Hintergrund wird das (mit der vom Benutzer eingegebene PIN für andere Funktionen) doch ausgelesen?

>...
>
Das klingt gut. Öffentlich bekannte, von Fachleuten für ziemlich sicher gehaltene Verfahren (wobei ich nicht genug weiß, um das "ziemlich" zu präzisieren).

Benutzer helmut-wk schrieb:


Natürlich kann ein solcher Vergleich nur für den gleichen Algorithmus sinnvoll sein. Nach dem was ich gelesen hab, sind 256 Bit für die hier zum Einsatz kommenden Algorithmen schon einiger "Puffer". Ob dieser in 10 Jahren noch genügt - andere Frage, die TR sieht die Länge daher auch erst einmal nur bei Ausweisproduktion bis 2016 als ausreichend an.

Was das Schlüssel knacken angeht - sicher, irgendwann mit (sehr) viel Zeit und viel Rechenpower zum Tag x möglich - allerdings auch dann nicht absehbar in 24h, denn genau so lang gilt ein Berechtigungszertifikat nur. Bis jetzt ist meines Wissens keine Entschlüsselung dieser Verfahren gelungen oder wahrscheinlich.

Mit dem Veröffentlichen meinte ich auch nicht das Zertifikat sondern, den Inhalt der Genehmigung, also das Dienstanbieter xy die Daten abc auslesen darf.

>
Doch sicher, aber auch diese öffnen keine Kryptobox - im Zweifel würde sie eher komplett ausgetauscht. Ausserdem - noch einmal, das BSI (die ROOT CA) ist nicht irgendeine Behörde, die haben sehr hohe Sicherheitsanforderungen - auch in Bezug auf Mitarbeiter.

Tatsächlich - so ähnlich, anhand von sog. Link-Zertifikaten der Terminals wird bei jeder Kommunikation die "logische Uhr" des Chips gestellt (er hat keinen Timer, da er passiv arbeitet).
Durch die Ausstelldaten dieser Link-Zertifikate (nicht Berechtigungszertifikate) holt der Chip zwar keine Zertifikate ab, er berechnet aber den aktuellen Public Key der Root-CA selbst aus den link-Zertifikaten (TR-03110, Abschnitt 2.2.5) - vereinfacht gesagt. Ist der Chip ganz neu, nutzt er das in einem physikalisch unauslesbaren Bereich geschriebene Root Zertifikat.


Die Gültigkeit des Terminal-Zertifikats kann NUN anhand des intern berechneten Public Keys der Root-CA verifiziert werden. Dabei wird natürlich die GESAMTE PKI-Kette von unten (24h Gültigkeit) nach oben (längere Gültigkeiten) geprüft.

Wichtig ist, dass alle Authentisierungsverfahren in definierter Reihenfolge angewandt werden, sonst klappt dieser Mechanismus nicht.

>Werden die Fehlversuche pro Terminal gezählt oder allgemein?

Es gibt EINEN Fehlbedienungszähler - also allgemein.

>...im zweiten

Die PUK eingeben oder zur Einwohnerbehörde gehen.


Die Antwort liegt teilweise schon in der Frage: Die PIN ist (nur) für PACE, geht also nicht. Und: Die Ausweisapp gibt am Ende NUR das weiter, was
a.) durch das Berechtigungszertifikat erlaubt ist und
b.) danach NICHT per Hand abgewählt wurde.

Hallo isar-3,

danke für deine geduldigen Antworten. Einiges ist klar geworden, aber ich habe noch Fragen.

>
Ich dachte ja nicht an das, sondern an Zertifikate, die dessen Gültigkeit bestätigen ...

>
Ok, gehen wir davon aus, dass die Boxen sicher sind.

>
>
Also wenn ich da was knacken wollte, würde ich versuchen, ein Link-Zertifikat zu fälschen und dem Chip unterzujubeln. Womit sich die Frage ergibt: wie werden die verschlüsselt? Und was passiert, wenn dem Chip ein zwei Jahre altes Link-Zertifikat vorgelegt wird, um ein altes (oder gefälschtes) Terminal-Zertifikat einsetzen zu können?

>
Ist bekannt, wie der errechnet wird, oder ist das jetzt Safety by obscurity?

>
Womit zumindest eine Art DOS-Atacke möglich ist: eine "brute-force Attacke" auf die PIN, die natürlich scheitert, weil jetzt die HUK verlangt wird. bei einem anonymen Terminal, das nicht als solches erkennbar ist, könnte so den Leuten reihenweise Ärger verursacht werden ... schuld ist der Mann, der den Ausweis "nur sehen" wollte und ihn kurz aufs Pult gelegt hat oder so ähnlich, bemerkt wird das erst beim nächsten Einsatz des Ausweises, im günstigsten Fall Stunden später ...

Oder noch besser: wenn der Mensch vermutlich nur einmal am Terminal ist: genau ein Versuch weniger, als zu Sperre nötig ist, dann gibts genau noch einen freien Fehlversuch.

>
Was ich meinte war ja: eine böswillige App kann den Fall (b) ignorieren und sich Daten greifen, die der Benutzer diesmal eigentlich rausrücken will. Also der Benutzer wählt ab, die App gaukelt ihm vor, dass das auch so gilt, liest das aber trotzdem aus.

Benutzer alexander-kraus schrieb:

Also ich werde danken verzichten. Ich habe seit 7 Jahren keinen Personalusweis, denn der Reisepass ist weltweit gültig und reicht völlig aus. Entgegen der irrigen Annahme, ein Personalausweis ist Pflicht, ist er nämlich gar nicht nötig, sofern man einen Reisepass hat. Warum doppelt bezahlen, denn den Reisepass brauche ich durch Auslandsreisen ohnehin. Wenn mal ein Adressnachweis nötig ist zeige ich einfach die Anmeldebestätigung von meinem Wohnsitz.