ePerso kann remote missbraucht werden
In meinem letzten Artikel zum ePerso (PIN-Diebstahl ohne Malware) stellte ich eine Möglichkeit vor, wie ein Angreifer an die PIN des ePerso gelangen kann, indem er eine falsche AusweisApp vortäuscht.
Wie ich erwartet hatte gab es daran viel Kritik: Einerseits sei das ja kein richtiger Angriff, weil „nur“ der Nutzer getäuscht wird, andererseits hätte der Angreifer ja „nur“ die PIN, mit der er nichts anfangen könne, weil er ja keinen Zugriff auf den Personalausweis selbst hätte.
Ersteres spielt für das Ergebnis keine Rolle: Der Angriff funktioniert gegen durchschnittliche Nutzer sehr gut, und der Angreifer hat am Ende die PIN. Damit wären wir beim zweiten Einwand: Die Authentifikation mit dem Ausweis ist eine sogenannte Zwei-Faktor-Authentifikation – man benötigt PIN und Ausweis. Mit der PIN alleine kann der Angreifer somit tatsächlich noch nicht direkt einen Angriff durchführen – aber er hat einen der beiden Faktoren überwunden. Das wird interessant, sobald ein Angriff den anderen Faktor überwindet. Alleine wäre auch dieser neue Angriff „wertlos“, verbunden mit der gestohlenen PIN ermöglicht er jedoch den Missbrauch des Ausweises.
Genau einen solchen zweiten Angriff habe ich nun gefunden. (Nachtrag: Wurde von Heise verifiziert.) Dadurch kann der Angreifer, wenn die im Folgenden erklärten Bedingungen zutreffen, sich mit dem Personalausweis des Opfers ausweisen. (Ich denke, jetzt sieht man auch, warum der PIN-Angriff sehr wohl ein Problem war!)
Weil das Missverständnis öfter aufkam: Der PIN-Diebstahl-Angriff ist kein simpler Phishing-Angriff. Bei einem Phishing-Angriff wird das Opfer auf die Seite des Angreifers gelockt, aber im Glauben gelassen, dass es z. B. die Seite seiner Bank besucht – denn nur dort dürfen die Bank-Zugangsdaten eingegeben werden. Auf den falschen Link reinzufallen ist ein vermeidbarer Fehler des Opfers. Hier jedoch kennt das Opfer die Identität der Seite. Ein legitimer Ausweisevorgang beginnt mit dem Besuch einer fremden Seite, wo dann die AusweisApp aufpoppt – genau wie beim Angriff. Dieser Angriff ist also deutlich schwerer erkennbar als Phishing – vor allem, weil Banken etc. dem Nutzer erklären, wie er sich schützen soll (Bank-Website manuell aufrufen), während auf die wenigen Warnzeichen für eine falsche AusweisApp nirgendwo hingewiesen wird.
Die von der ComputerBild als Beilage verteilten Starterkits bestehen aus einem Reiner SCT-Basislesegerät sowie einer LoginCard, mit der man sich Online einloggen können soll. Dazu muss eine Software (Browserplugin) von ReinerSCT installiert werden, die Websites Zugriff auf das Lesegerät gibt.
Über dieses sogenannte OWOK-Plugin kann eine Website (nach Bestätigung, siehe unten) frei mit der Karte kommunizieren. Die OWOK-Software habe ich als erstes untersucht, weil der Nutzer bei den Computerbild-Starterkits zur Installation aufgefordert wird, sie also bei vielen Ausweisinhabern vorhanden sein dürfte. Die Software nutzt dafür anscheinend das von den Sparkassen entwickelte SIZCHIP-Plugin – d.h. das gleiche Problem dürfte mit vielen anderen Plugins, z. B. mit dem Geldkarten-Plugin, bestehen.
Pro Website wird der Benutzer einmal gefragt, ob er diesen Zugriff zulassen soll. Diese Frage sollte eigentlich vor dem Angriff schützen, da der Nutzer ja darauf aufmerksam gemacht wird und zustimmen muss. Dabei gibt es jedoch mehrere Probleme:
- Der Nutzer erwartet beim oben erwähnten PIN-Diebstahl-Angriff, dass der ePerso benutzt wird. Die Frage nach dem Zugriff auf dem Chipkartenleser dürfte den meisten Nutzern daher logisch vorkommen und meist bejaht werden. Nutzer mit gutem Hintergrundwissen über die Technik könnten an dieser Stelle aufmerksam werden – diese zählen jedoch zu einer kleinen Minderheit.
- Sobald der Nutzer einmal die Entscheidung getroffen hat, scheint diese dauerhaft gespeichert zu werden. Indem der Angreifer das Plugin unter einem Vorwand einige Zeit vor dem Angriff das erste mal aktiviert, kann er verhindern, dass der Nutzer beim eigentlichen Angriff misstrauisch wird.
- Die Anfrage besteht aus einem Dialogfenster, was an einer vorhersehbaren Position (Bildschirmmitte) auftaucht, sobald das Plugin geladen wird. Das kann sich der Angreifer zunutze machen, indem er den Nutzer animiert, wiederholt schnell auf die „richtige“ Stelle zu klicken (z. B. durch ein Spiel), und dann erst das Dialogfenster auslöst. Viele sicherheitskritische Dialogfenster in Browsern aktivieren die Schaltflächen inzwischen erst nach einer kurzen Verzögerung, um solche Angriffe zu verhindern.
- Einige im Plugin vordefinierte Seiten können ohne diese Sicherheitsabfrage zugreifen. Gelingt es, in einer dieser Seiten z. B. eine XSS-Lücke zu finden, kann man die Sicherheitsabfrage umgehen, indem man den Angriff im Kontext der Seite durchführt. Eine solche Lücke habe ich gefunden – die Sicherheitsabfrage kann also umgangen werden.
Dieser Angriff setzt also voraus:
- Das Opfer hat z. B. das von der ComputerBild verteilte Starterset nach Anleitung installiert
- Das Opfer fällt auf den PIN-Diebstahl-Angriff mit einer falschen AusweisApp herein
- Das Opfer bestätigt dabei (oder irgendwann vorher!) die Sicherheitsabfrage „Darf von (Seitenname) auf Chipkartenleser zugegriffen werden?“ oder der Angreifer umgeht die Sicherheitsabfrage über eine XSS-Lücke (siehe oben)
- Der Ausweis liegt auf dem Lesegerät (folgt bereits aus dem Hereinfallen auf den PIN-Diebstahl-Angriff)
Sobald diese Voraussetzungen erfüllt sind, hat der Angreifer über das Plugin Zugriff auf den Kartenleser und den darauf liegenden Ausweis, und befindet sich im Besitz der PIN. Damit gilt:
- Der Angreifer kann mit der Identität des Ausweisinhabers Aktionen durchführen, und diese mit dem fremden Ausweis bestätigen.
- Der Angreifer kann sich auch in Benutzerkonten des Ausweisinhabers, die Login via Ausweis zulassen, einloggen, und dort z. B. Daten ausspähen oder weitere Aktionen durchführen.
Der Angreifer braucht also insbesondere weder Malware auf dem Rechner des Nutzers, noch muss er man-in-the-middle-Attacken fahren. Er muss lediglich Besucher auf seine Seite locken und dort mit der falschen AusweisApp täuschen!
Folgen
Der Angreifer kann den Ausweis und somit die bestätigte Identität des Opfers missbrauchen. Das Opfer bekommt dies nicht mit, da ihm z. B. eine erfolgreiche Altersverifikation vorgetäuscht wird. Da die Identitätsbestätigung über den Ausweis einen sehr starken Anscheinsbeweis liefert, wird das Opfer nur sehr schwer belegen können, dass eine Aktion von einem Angreifer und nicht vom Opfer selbst durchgeführt wurde.
Dabei wäre beispielsweise ein Szenario denkbar, bei dem ein Onlineshop Lieferung auf Rechnung anbietet, wenn der Käufer sich per Ausweis identifiziert – soweit ich weiß eines der öfter genannten Beispiele für eine mögliche Anwendung des ePersos. Würde ein Angreifer mit der Identität des Opfers eine Bestellung tätigen, würde der Händler sein Geld beim Opfer einfordern – und hätte vor Gericht dank der Ausweisprüfung gute Chancen, dies auch durchzusetzen. Auch wäre denkbar, dass der Angreifer ein Konto im Namen des Kunden eröffnet und für Betrügereien missbraucht – mit der Folge, dass das Opfer für diese Taten verantwortlich gemacht wird.
Totalversagen
Zum Glück gibt es eh kaum Dienste, die wirklich mit dem ePerso genutzt werden können. SCHUFA und die Flensburg-Punkteauskunft schicken die Zugangsdaten bzw. Infos separat per Post, sodass der Ausweis hauptsächlich als Formularausfüllhilfe dient, und ansonsten kann man damit Onlinepetitionen unterschreiben und kommt vielleicht bei ein paar Versicherungen ins Kundenmenü. Kurz: Unabhängig von den Sicherheitsproblemen hat das Projekt versagt.
Wie in diesem Beitrag erklärt, bin ich der Meinung, dass der ePerso vor allem als Instrument zur Zerstörung der Freiheit und Anonymität im Netz taugt und früher oder später auch dafür verwendet werden wird. Entsprechende Forderungen hat der Bundesinnenminister Friedrich erst gestern wieder gebracht. Wie das aussehen wird, sobald die Mehrheit der Bevölkerung einen ePerso besitzt, ist also absehbar. Wenn Kritik nicht mehr Anonym geäußert werden darf, leidet die Meinungsfreiheit massiv, da viele sich aus Angst vor möglichen Folgen nicht trauen, ihre Meinung zu sagen.
Davon abgesehen ist der ePerso eine sinnlose Wirtschaftsförderungsmaßnahme auf Steuerzahlerkosten. Neben den subventionierten Starterkits sieht man das am Besten daran, dass die Bürger ihre Signaturzertifikate von privaten Unternehmen kaufen müssen (für rund 20 Euro pro Jahr), statt sie zusammen mit dem Personalausweis direkt zu erhalten.
Die Entwicklung und Einführung des Ausweises sollen „nur“ rund 50 Millionen gekostet haben. Gegenüber dem alten Ausweis müssen die Bürger für den ePerso rund 20 Euro mehr zahlen. Bei 6,5 Millionen neuen Ausweisen pro Jahr kommen auf die Bürger jährliche Mehrkosten von 130 Millionen zu. Es ist also nie zu spät, das Projekt noch einzustampfen!
Apropos Signatur: Die geht mit dem Ausweis immer noch nicht, weil die entsprechende Version der AusweisApp auf sich warten lässt. Genauso übrigens, wie eine auf MacOS lauffähige Version.
Gegenmaßnahmen
Folgende Dinge können getan werden, um den Angriff zu erschweren bzw. zu verhindern:
Nutzer können:
- Den neuen Ausweis nicht im Internet nutzen, niemals an Lesegeräte halten und ggf. in einer abschirmenden Hülle transportieren
- Wenn sie den Ausweis im Netz nutzen wollen, ausschließlich Lesegeräte der höheren Sicherheitsstufen (eigenes PIN-Pad) einsetzen und die PIN ausschließlich auf dem Lesegerät eingeben. Weiterhin muss das eigene System sicher und virenfrei gehalten werden!
- Ihren alten Ausweis solange es geht behalten
- Plugins, die Chipkartenzugriffe erlauben, deinstallieren.
Reiner SCT (bzw. die für den Kern des Plugins verantwortliche Firma) kann:
- Die Sicherheitsabfrage vor jedem Zugriff auf das Lesegerät stellen (sollte nur bei Loginvorgängen nötig sein) und sie deutlicher formulieren
- Die APIs des Plugins einschränken, sodass Websites nur noch vordefinierte Funktionen der Karten auslösen können
Das hilft aber nur, wenn alle Hersteller vergleichbarer Plugins das auch tun.
Die Projektverantwortlichen können:
- Die unsicheren Basislesegeräte endlich abschaffen (nicht mehr für die Nutzung mit dem ePerso zulassen). Das ist die einzige Möglichkeit, die das Problem wirklich löst. Allerdings sind die besseren Geräte teuer und somit nicht gerade gut für die Akzeptanz.
- Das Projekt begraben und nicht noch mehr Geld verschwenden
- Die AusweisApp so umbauen, dass sie exklusiven Zugriff auf den Leser nimmt und ihn so für andere Anwendungen sperrt. Das würde Angriffe erschweren oder verhindern, allerdings nur, solange die AusweisApp auch läuft.
Aufgrund der Reaktion des BMI auf meinen ersten Angriff (falsche Behauptung, ich hätte den Angriff länger gekannt und absichtlich zurückgehalten) musste ich leider mit Versuchen rechnen, diese Angriffsmöglichkeit zu vertuschen. Daher habe ich mich entschieden, die Hersteller vor der Veröffentlichung nicht zu benachrichtigen (außer im Fall der XSS-Lücke). Am Besten vor dem Angriff schützen kann sich immer noch der Nutzer allein (durch Deinstallation der Browserplugins), sodass möglichst schnelle öffentliche Aufklärung über diese Gefahr meiner Meinung nach sinnvoll ist.
Die Schuld an dieser Lücke sehe ich übrigens weniger bei den Pluginentwicklern, auch wenn es keine gute Idee und ziemlich unnötig ist, Websites uneingeschränkten Low-Level-Zugriff auf Chipkarten zu geben. Das Hauptproblem ist die bescheuerte Idee, für eine derart sicherheitsrelevante Anwendung unsichere Lesegeräte (Basisleser/Klasse-1-Leser) nicht nur zu verwenden, sondern auch noch aus Steuergeldern zu fördern.
Technische Details
Das OWOK/SIZCHIP-Plugin erlaubt es der Website, per JavaScript einen Kanal zur Chipkarte zu öffnen und darüber beliebige Befehle (APDUs) zu schicken (und die Antworten zu lesen). Ein Angreifer würde diese Befehle von einem Server abholen, auf welchem eine AusweisApp (oder eine äquvivalente Software) läuft. Statt an ein echtes Lesegerät würden die APDUs, die die AusweisApp an die Karte schicken will, über AJAX zum JavaScript im Browser des Opfers geschickt. Dort würden sie über das Plugin an den Ausweis gesendet, und die Antwort würde auf dem umgekehrten Weg wieder zur AusweisApp kommen.
Ich habe hierzu zwei Proof-of-concepts erstellt. Für beide muss ein Lesegerät, das OWOK-Plugin sowie eine kompatible Karte (nicht unbedingt ein Ausweis) vorhanden sein.
Einer (attackwebsite) basiert auf der falschen AusweisApp (die bereits im „FSK18-Bereich“ der Piratenpartei zu sehen war). Er demonstriert, wie ein kompletter Angriff ablaufen würde. An den Ausweis (bzw. die Karte) wird hier nur der Befehl zum Auswählen der ePass-Anwendung geschickt, sodass man die unterschiedlichen Antworten von Ausweisen im Vergleich zu anderen Karten sehen kann.
Der zweite PoC (shellserver) implementiert das Abholen der Befehle über AJAX. Es kann entweder zum einfachen Testen ein fest im Server eingetragener Befehl an das Opfer geschickt werden, oder aber die Karte auf dem Lesegerät des Opfers wird an eine modifizierte cyberflex-shell angeschlossen, von wo dann beliebige Anfragen gestellt werden können.
Die PoCs kann man hier herunterladen, den ersten davon gibt es auch live unter https://fsk21.piratenpartei.de.
Den XSS-Angriff habe ich an Heise mit Bitte um Verifikation und anschließende Weiterleitung an den Seitenbetreiber gemeldet. Die Redaktion konnte ihn nachvollziehen.
Jan Schejbal 
ohne meckern zu wollen aber wer so dumm ist seinen Ausweis für eine Onlineidentifikation zu nutzen ist selbst schuld… jeder sollte wissen, dass die Nutzung solcher internetdienste NIEMALS sicher ist.
Naja, dummerweise ist der ePerso genau dafür gedacht und wir zahlen deswegen 20 EUR mehr für den Perso. Und man hätte es durchaus so machen können, dass es deutlich weniger kaputt ist (vernünftige Lesegeräte, bewährte Standards).
well done
Ein Schlupfloch wird es immer geben. Außerdem sind nicht alle Leute, wie Sie in der Technik bewandert. Fehlverhalten, dies gibt es auch. Der größte Fehlerquelle sitzt meist vor dem Computer.
Gerade weil die große Fehlerquelle vor dem Rechner sitzt wäre es umso wichtiger alles hinter und neben dieser potenziellen Fehlerquelle so sicher wie möglich zu machen. Genau das passiert aber nicht, und je länger ich darüber nachdenke, desto mehr halte ich das für Absicht. Die, die da Basislesegeräte subventionieren wissen vermutlich recht genau, was sie da tun und haben, wenn sie überhaupt einen ePerso ihr eigenen nennen, ein sicher(er)es Lesegerät…
Phishing:
Immer diese sog. Phishing-Opfer, tststs. Massnahmen gegen Phishing sind reine Kopfsache! Ich sehe eine Email, und weiss sofort: Das ist echt, das nicht und kann und soll sofort gelöscht werden. Klar, es gibt viel zuviele Dummys im Internet. Die haben aber eher keine Lust als keine Ressourcen, sich mit der Materie, nicht mal ansatzweise zu beschäftigen. Für mich sind das keine Opfer, ausser Opfer wegen ihrer selbst; wer so bequem und faul ist, muss sich halt mit den Konsequenzen abfinden. Man könnte diese mit Analphabeten vergleichen, die haben auch Nachteile im Leben. Jedem das Seine.
Ausweis-App:
Bin klar der Meinung, dass dies modischer Schnick-Schnack ist, man wollte auf der Höhe der Zeit sein. Wirklich sicher wäre aber eine Software, die im ROM des Chips „eingebrannt“ wird; lässt sich mit entspr. Spannungen auch wieder überschreiben. Aber einfach nicht mal so per Internetanbindung! Für so ein Lese-/Schreibgerät würde ich auch etwas zahlen, oder alternativ auch zur Behörde rennen;-) Wenn denn mal nach einigen Monaten/Jahren neue Funktionen verfügbar sind.
Sicherheitskonzept:
Was ich nicht verstehe: Statt für den Betrieb des Ausweises eine (durchaus angreifbare/manipulierbare) App zu erstellen, die sich mit verschiedenen Browsern „versteht“ würde es durchaus genügen, für den manipulationssicheren Ausweis mit ROM-Software (Sandbox/VM-) Extensions für verschiedene Browser zu entwickeln oder sogar einen fertigen nPA-fähigen Firefox/Chrome/Opera/IE/Safari oder eigenen nPA-Browser. Dieser könnte auch in Kombination mit den gewöhnlichen Browsern eingesetzt werden. Somit ist das Sicherheitsrisiko weiter weg von der nPA-Infrastruktur, die, falls eine kritische Masse erreicht ist, auch von richtigen Cyber-Angriffe bedroht ist. Eine Softwareaktualisierung auf Browserebene hätte deswegen ein wesentlich geringeres Sicherheitsrisiko (bis auf die o.g. sog. „Phishing-Opfer“) als auf der Ebene der nPA-Umgebung. Auch die Funkschnittstelle lässt sich vom Benutzer nicht eigenmächtig de-/aktivieren. Es würde ja schon genügen, wenn die Polizei Geräte mitführt, die den Funkchip nach Bedarf wieder an- und auch abschalten können.
SCADA:
Erst letztens haben wir die ganzen Nachrichten über sog. SCADA-Systeme erhalten und es ist uns bzw. den meisten klar geworden, wie lasch und verwundbar diese neue Technologie umgesetzt und verwendet wird, selbst Herzschrittmacher und Insulinpumpen werden da zu manipulierbaren Todesmaschinen!
Gut gemacht
ePerso ist Genauso „Best geplant“ wie Stuttgart 21 ^^ ( -> wieder ein Thema für fefe ^^ )
Sicherheit = egal
Kosten = egal
Barrierefreiheit (hier Linux, MacOSX) = egal
Bürgen aufzwingen = Check
„Sicher“, auch wenn unsicher ist = Check
Festgetackertes Grinsen = Check
Alle Anderen „sagen nur Schmarn“ = Check
ähnlich auch bei der eGek (zum Glück Tot nach sehr viel Geldverschwendung)
da vertraue Ich doch lieber @Schmoddergrill beim Krohlas ^^
ein Pirat nahe Sven Krohlas
Mittlerweile gibt sogar der Produktmanager von Reiner SCT zu, dass die Basis-Kartenleser Schrott sind und man lieber welche mit Tastatur nehmen sollte:
http://www.tagesschau.de/inland/personalausweis166.html
Naja, sie haben ja das große Geschäft mit den Billig-Lesegeräten in der Vergangenheit schon gemacht.
Guter Artikel!
Wenn die AusweisApp „exklusiven Zugriff auf den Leser nimmt und ihn so für andere Anwendungen sperrt“, heisst der nächste Artikel „AusweisApp macht Online Banking mit Chipkarte unmöglich“
BTW es gibt auch alternative Entwicklungen einer AusweisApp, die dann auch keinen Zugriff mehr auf den nPA haben.
Die Sperren würden nur zutreffen, solange die AusweisApp läuft. Außerdem könnte die AusweisApp zwischen Drahtlos-Lesegeräten und kontaktbasierten Lesegeräten unterscheiden. Alternative Entwicklungen wären davon sowieso nicht betroffen, weil diese ja wohl statt der offiziellen AusweisApp installiert würden.
„AusweisApps“ müssen nicht zwangsläufig installiert sein. Ich denke so an WebStart-Anwendungen o.Ä.
Wann hackst Du die Ausweis-Lese-App fürs NFC-Handy, die Deine Uni entwickelt hat?
Mal schauen. ;-) Ich hab schon davon gehört und finde es vor allem deswegen interessant, weil es damit (hoffentlich) bald eine Open-Source-Ausweisapp geben wird. Die wird sich sicher problemlos auf PC portieren lassen.
Diese „AusweisApp“ (MONA) zu hacken dürfte aber eher unattraktiv sein. Ein NFC-Handy ist vom Grundprinzip nicht viel anders als ein PC mit Basiskartenleser. Eine ordentliche Sicherheit gibt es damit nicht; ein Virus mit ausreichend Rechten auf dem Handy und alles ist möglich.
Hallo Jan,
hast du schon mitbekommen, dass die Süddeutsche für dich eine eigene Rubrik hat?
http://www.sueddeutsche.de/thema/Jan_Schejbal
Nee, danke für den Hinweis :D
Ich hab aber den Eindruck, die SZ hat zu allem (und jedem) was dort schonmal erwähnt wurde eine Rubrik.
Wer ein Basislesegerät verwendet, ist selbst schuld.
Dies wurde auch schon letztes Jahr durch den ccc im Original hinreichend belegt.
Um an die Daten im Ausweis selbst zu kommen wird ein entsprechendes Cert in Verbindung mit einer eID-Infrastruktur benötigt. Bei den Kosten für die eID-Infrastruktur sehe ich eine Hürde, die gerade kleine Anbieter nur schwer stemmen werden.
Zurück zum Thema: Wer den ePA nutzen will, tut gut daran, einen Leser mit integriertem Nummernpad zu benutzen.
Wer sich Sorgen um seine Privatsphäre macht, sollte auf Handy, Facebook, etc verzichten, denn daraus assen sich um Welten leichter kritische Informationen ableiten, mit denen auch Angriffe auf die persönliche Identität machbar sind.
Oft wird Sicherheit durch Kontrolle vorgetäuscht. Das Land hat Interesse daran, dass wir uns allem mit diesen Verfahren anmelden. Dann können noch besser wissen wer, wo und wann. Trotzdem sehr gute Arbeit! weiter so!
Einerseits hat das Land daran Interesse, andererseits aber auch die Bürger. Die Funktionen des neuen Personalausweises sind durchaus bequem und zeitgemäß – die Lücken allerdings zweifelsfrei nicht.
Danke für die qualifizierte Information.
Doch auch, wenn ich keine PIN nutze – kann RFID nicht auch beim Vorbeigehen gescannt werden ?
(wie am Kaufhaus-Ausgang…)
Bei künftigen Demostrationen braucht die Polizei nur am Rande den RFID-Scanner zu starten…
Angeblich soll es nicht möglich sein, den ePerso über deutlich größere Entfernungen als ca. 10 cm auszulesen. Hier hat es jemand geschafft Karten, die mit dem gleichen Protokoll arbeiten, aus 25 cm auszulesen, zwar mit einer großen Antenne, aber mit Hardware, die nur rund 100$ gekostet hat. Im Gegensatz zu normalen RFID-Chips hat der ePerso eine relativ hohe Kompexität (wegern der ganzen Krypto), somit einen recht hohen Stromverbrauch und sollte somit laut Bundesdruckerei schwerer bzw. gar nicht aus größerer Entfernung auszulesen sein. Ich würde es trotzdem nicht ausschließen, dass es eventuell mit entsprechend gebauten, teuren Lesegeräten aus größeren Entfernungen geht, aber auch da reden wir von max. 1-1,5 Metern, sicher nicht von einer ganzen Demo (und ich sage nicht, dass 1-1,5 Meter gehen – nur, dass ich diese Möglichkeit für nicht völlig ausgeschlossen halte). Ich halte es für wahrscheinlich, dass 25 cm mit einigem an Aufwand machbar sind.
Selbst wenn die Kommunikation mit dem Ausweis gelingt, braucht man um aus dem ePerso irgendwas brauchbares rauszubekommen ein entsprechendes Zertifikat – ohne das kriegt man nichtmal irgendeine eindeutige ID. Die Polizei hätte solche Zertifikate natürlich. Soweit ich weiß soll man selbst mit Zertifikat noch die aufgedruckte CAN brauchen, ob das auch in der Praxis so aussieht weiß ich nicht.
Soweit das, was mit dem offiziellen Protokoll geht. Denkbar wäre, dass „Fingerprinting“ es erlaubt, Ausweise wiederzuerkennen. Jeder Chip hat kleine Produktionsungenauigkeiten, und eventuell kann man diese aus der Ferne messen und so Ausweise voneinander unterscheiden. Das bringt einem erstmal keine Daten, aber wenn man weiß dass Person X einen Ausweis mit Funkmuster Y hat, könnte das interessant sein. Ob bzw. mit wie viel Aufwand da was messbar ist? Keine Ahnung… aber auch hier: Mehr als 1-2 Meter wird man damit ziemlich sicher nicht hinbekommen.
Dann gäbe es natürlich noch theoretisch die Möglichkeit einer Hintertür, also eines absichtlich eingebauten „Features“ was z. B. ohne Eingabe der CAN das Auslesen erlaubt, möglicherweise auch auf größere Entfernungen. Das müsste aber schon bei der Produktion eingebaut sein. Kategorisch ausschließen kann man bei unserer Regierung zwar nichts, aber für wahrscheinlich halte ich das absolut nicht. Sowas wäre schwer zu leugnen, wenn jemand irgendwann mal so einen Chip auffräst und analysiert, und gerade wenn größere Entfernungen gewünscht wären, dürfte das recht auffällig sein.
Da ist es einfacher, in eine Biometriedatenbank zu investieren und Gesichter mit Überwachungskameras zu verfolgen. Und in die Richtung gibt es sehr viel Forschung. Würde man die bestehenden Kameras alle an ein zentrales System anschließen und state-of-the-art Gesichtserkennung betreiben, könnte man vermutlich die Bewegungen von fast allen Bürgern sehr genau nachvollziehen. Ich wäre überrascht, wenn das in US/UK nicht schon teilweise gemacht wird (weit über das bereits öffenlich bekannte Maß hinaus).