Einen Dämpfer erhalten haben die Hoffnungen der britischen Regierung, mit Hilfe des neuen Chip-Ausweises die Sicherheit ihrer Staatsgrenzen zu erhöhen. Der Security-Experte Adam Laurie hat nachgewiesen, wie er sich mit Hilfe eines handelsüblichen Lesegeräts von AGC ID und eines von ihm selbst geschriebenen Computerprogramms Zugriff auf die Passdaten fremder Personen verschaffen könnte. Das berichtete die Sonntagsausgabe der britischen Tageszeitung "Daily Mail".
Dass sich das unbefugterweise gelesene Dokument in einem versiegelten Umschlag befand, war für Laurie kein Hindernis, denn die zur Speicherung der Ausweisdaten genutzte Funkfrequenztechnik - englisch Radio Frequency Identification oder kurz: RFID - kommt ohne Berühungs- oder Sichtkontakt aus (siehe auch: "RFID - nicht nur für die Supply-Chain"). Die Inhaberin des Ausweises hat nach Angaben des Sicherheitsberaters nichts von dem Angriff auf ihre Privatsphäre mitbekommen.
Wie Laurie erläutert, werden die auf den britischen Ausweisen gespeicherten Daten erst durch einen "Schlüssel" sichtbar, der sich jeweils aus den Personendaten berechnet und in der "Machine Readable Zone" (MRZ) am unteren Rand der ersten Passseite gespeichert ist. Diese MRZ werde am Schalter der Einreisekontrolle gescannt; daraufhin gebe der RFID-Chip die gespeicherten Informationen preis, so dass sie sich mit den unverschlüsselten Passdaten vergleichen ließen.
Diesen Prozess hat Laurie eigenen Angaben zufolge nachgeahmt. Dazu analysierte er zunächst den Standardcode der International Civil Aviation Organization, ICAO 9303, der weltweit für maschinenlesebare Ausweisdokumente genutzt wird. So fand er heraus, wie die MRZ organisiert ist. Mit Hilfe des selbst geschriebenen Programms "Brute Force" probierte er dann rund 40 000 verschiedene Datenkombinationen aus, bis er schließlich den korrekten Decodierungs-Schlüssel fand. Um der Wahrheit die Ehre zu geben, war die Passinhaberin allerdings keine ganz Unbekannte: Einige ihrer Daten kannte der Sicherheitsexperte bereits, andere recherchierte er über das Internet.
Seit etwa einem Jahr liefert die britische Regierung die mit einem RFID-Chip bestückten Pässe aus. Sie spielt mit dem Gedanken, künftig nicht nur die üblichen Personendaten und ein Foto des Inhabers, sondern auch Fingerabdrücke und andere biometrische Kennzeichen zu speichern.
Wie Laurie mit seiner Aktion nachweisen wollte, hat der Ausweis eine entscheidende Schwachstelle: Der Entschlüsselungs-Code sei relativ leicht zu berechnen. Das Fazit des freiwillig enttarnten Hackers: "Ich sehe in dem neuen Pass noch nichts, das meine Sicherheit erhöhen würde." Eine Lösung bestünde darin, mehr Zufallselemente zu integrieren. Das würde sein Brute-Force-Programm vor eine nahezu unlösbare Aufgabe stellen. (qua)
