ePass - der neue biometrische Reisepass
5. Vorbehalte gegen den ePass
Der Datenschutzbeauftragte von Hessen empfiehlt einen 56 Bit lan-
gen Schlüssel für den
„Einsatz bei nicht sensiblen personenbezogenen Daten oder in sol-
chen Fällen, in denen ein Angriff mit hohem Aufwand aus anderen
Gründen unwahrscheinlich ist (z. B. geschlossenes Netz). Zukünf-
tige Sicherheitsprobleme sind jedoch zu erwarten“ [DH 2003].
Einen 40 Bit langen Schlüssel hingegen nur als „Schutz gegen zufäl-
lige Kenntnisname“ und für den
„Einsatz bei nicht sensiblen personenbezogenen Daten, wenn ein
gezielter Angriff unwahrscheinlich ist.“ [DH 2003]
Diese Empfehlung, die auch von anderen Datenschützern und Si-
cherheitsexperten geteilt wird, bezieht sich jedoch nicht direkt auf
den ePass. Es liegt die Vermutung nahe, dass der Mikroprozessor
eines RF-Chips nicht die Leistungsfähigkeit besitzt wie ein handels-
üblicher PC oder ein System, das auf Entschlüsseln spezialisiert ist
und somit eine Brute-Force Attacke ungleich länger dauert. Dennoch
haben es Forscher aus den USA geschafft, einen mit 40 Bit ver-
schlüsselten RF-Chip innerhalb einer Stunde zu knacken [BGSJRS
2005]. Sie vermuten, die Zeit mit weiterer Forschung auf wenige
Minuten senken zu können. Der Versuchsaufbau gleicht allerdings
nicht der Situation wie sie beim ePass vorzufinden ist. Zudem müsste
sich ein Angreifer für eine ‚Live-Brute-Force-Attacke’ permanent in
unmittelbarer Nähe zu dem ePass befinden. Selbst wenn die Chips
langfristig um ein vielfaches leistungsstärker werden und ein Brute
Force Angriff in wenigen Sekunden möglich würde, könnte man
diesen leicht unterbinden, indem der Chip erst nach einer kurzen
 |
 |
 |
 |