Holländischer Computerexperte fälschte britischen E-Pass

[heise.de] Weltweit versuchen Regierungen, die Einführung von biometrischen
Ausweisen damit zu begründen, dass sie weniger leicht gefälscht werden
können oder gar weitgehend fälschungssicher seien. Ein Test, der im
Auftrag der britischen Times
durchgeführt wurde, hat nun erneut gezeigt, dass biometrische Ausweise
relativ leicht manipuliert werden können. Damit wird auch die britische
Regierung düpiert, die nach dem Diebstahl von 3.000 noch unausgestellten Pässen vor einer Woche beruhigend versichert hatte, dass diese wertlos seien, weil man sie nicht manipulieren könne.

Für den Test klonte
der Computerexperte Jeroen van Beek von der Universität Amsterdam mit
einem öffentlich verfügbaren Programm die Chips von zwei britischen
Reisepässen angeblich in Sekunden. Auf den Pass eines kleinen Jungen
fügte er den geklonten RFID-Chip mit einem digitalen Foto von Osama bin
Laden ein und auf den einer 36-jährigen Britin das Foto von Hiba
Darghmeh, einer palästinensischen Selbstmordattentäterin. Man wählte
die beiden Personen aus, um nicht in den Verdacht zu geraten,
tatsächlich verwendbare Pässe fälschen zu wollen.

Die veränderten Pässe wurden von einem Lesegerät, das mit dem von der Internationalen Zivilluftfahrt-Organisation (ICAO) als internationalem Standard empfohlenen Golden Reader Tool
arbeitet, akzeptiert. Beek erklärte, dass er mit seiner Demonstration
nicht unterstellen will, dass Terroristen jetzt oder demnächst
biometrische Ausweise fälschen können Aber er habe auf
Sicherheitsprobleme aufmerksam machen wollen, die geschlossen werden
müssten. Vor zwei Jahren hatte bereits Lukas Grunwald das Klonen eines
RFID-Ausweises vorgeführt.

Das britische Innenministerium, das nach den biometrischen Pässen
auch biometrische Personalausweise einführen will, versucht, die
Demonstration herunterzuspielen. Ein Sprecher meinte, berichtet die
Times, dass bislang noch niemand imstande gewesen sei, die Daten auf
dem Chip zu verändern. Wenn dies geschehen würde, dann würde dies das
elektronische Lesegerät sofort bemerken.

Die ICAO erinnert allerdings daran, dass biometrische Ausweise erst
dann fälschungssicher sind, wenn die Daten auf dem Chip mit einer
digitalen Signatur versehen sind, die den Betrieb einer internationalen
Public Key Infrastructure (PKI) sowie eines Public Key Directories (PKD) erfordert. Dem PKD-System, das von Netrust
betrieben wird, müssten sich allerdings alle Staaten anschließen, weil
sonst Ausweise von den Ländern weiterhin gefälscht werden können, die
nicht mitmachen. Bislang haben sich nur 10 der 45 Länder, die
biometrische Ausweise eingeführt haben, dem PKD-System angeschlossen,
aber nur fünf benutzen es: Australien, Neuseeland, Singapur, die USA
und Japan.
(fr/Telepolis)

Source: www.heise.de