Die Datenschleuder Nr. 87 (Chaos Computer Club) PDF

ISSN 0930-1054 2005 2,50 EUR
Postvertriebsstck C11301F die datenschleuder. #87

IMPRESSUM / INHALT
C
Inhalt
Die sichersten Psse der Welt 2
Spa mit dem ePass 5
Sicherheit durch Biometrie? 8
Biometriepa Glossar 12
Fingerabdrcke nachmachen leichtgemacht 14
Inside ePassports 17
Die Auswertung der BioP II Studie des BSI 20
Annex G of ICAO MRTD Specs 30
Eigentumsverhltnisse der Bundesdruckerei 33
Besonders intensive Prfung 36
Die Welt von morgen: iPass 42
Bildquelle: http://www.bmi.bund.de/Internet/Content/Common/Bilder/Themen/Informationsgesellschaft/DatenundFakten/
Biometrie__ePass,property=poster.jpg
Die Datenschleuder Nr. 87 Redaktion dieser Ausgabe

Herausgeber (Abos, Adressen, Verwaltungstechnisches etc.) Zapf Dingbatz, Martin Haase, Constanze Kurz,
Chaos Computer Club e.V., Lokstedter Weg 72, Andreas Lehner, Frank Rosengart, starbug, Harald
20251 Hamburg, Fon: +49.40.401801-0, Welte.
Fax: +49.40.401801-41, <office@ccc.de> Fingerprint: Layout
1211 3D03 873F 9245 8A71 98B9 FE78 B31D E515 E06F erdgeist, Antenne Springborn, Constanze Kurz,
Redaktion (Artikel, Leserbriefe, Inhaltliches, etc.) Roland Kubica
Redaktion Datenschleuder, Pf 64 02 36, 10048 Berlin, Copyright
Fon: +49.30.28097470, <ds@ccc.de> Fingerprint: Copyright bei den Autoren. Abdruck fr nicht-
03C9 70E9 AE5C 8BA7 42DD C66F 1B1E 296C CA45 BA04 gewerbliche Zwecke bei Quellenangabe erlaubt
Druck Eigentumsvorbehalt
Pinguindruck Berlin, http://pinguindruck.de/ Diese Zeitschrift ist solange Eigentum des Absenders, bis sie dem
Gefangenen persnlich ausgehndigt worden ist. Zurhabenahme ist
ViSdP und Produktion keine persnliche Aushndigung im Sinne des Vorbehaltes. Wird die
Tom Lazar, <tom@tomster.org> Zeitschrift dem Gefangenen nicht ausgehndigt, so ist sie dem Absender
mit dem Grund der Nicht-Aushndigung in Form eines rechsmittelfhigen
Chefredaktion Bescheides zurckzusenden.
Dirk Engling <erdgeist> und Tom Lazar <tomster>
die datenschleuder. #87 / 2005

die datenschleuder.
das wissenschaftliche fachblatt fr datenreisende
ein organ des chaos computer club
Dieses Sonderheft der Datenschleuder ist dem Da es jetzt noch keine zentrale Biometrie-
neuen deutschen ePass gewidmet. Wir betrach- Datenbank gibt, bleibt kein Dauerzustand. Sp-
ten die technischen und politischen Details in testens nach dem nchsten Anschlag in Euro-
groer Ausfhrlichkeit, die wir angesichts die- pa wird die Legitimation da sein. Wer regt sich
ses ersten groen Schrittes hin zur Totalber- schon ber eine klitzekleine Datenbank auf,
wachung der Bevlkerung fr geboten halten. wenn es denn der Sicherheit dient... Beson-
ders widerlich an der Angelegenheit ist der
Unter dem Deckmntelchen der Terrorismus- Zusammenhang mit der fehlgeschlagenen
abwehr werden mit dem ePass gnzlich ande- Privatisierung der Bundesdruckerei und den
re Ziele verfolgt. Mit gengender Terrorfurcht Bedrfnissen der deutschen Biometrie- und
wurde die ffentliche Meinung so weichge- Chipkartenindustrie. Um schnden nanziellen
kocht, da alles, wo Sicherheit draufsteht, Interessen des Staates und der Industrie nach-
kritiklos hingenommen wird. Selbst die DDR- zukommen, wird sehenden Auges ein sicher-
Staatssicherheit hatte sich nicht getraut, eine heits- und technologiepolitisches Desaster ers-
chendeckende Erfassung der Fingerabdrcke ter Ordnung in Kauf genommen, das obendrein
ihrer Bevlkerung vorzunehmen. Das Innenmi- die Grundfesten der Informationellen Selbstbe-
nisterium unseres demokratischen Rechtsstaats stimmung massiv unterminiert.
hat da weniger Skrupel.
Der Hang zu technischen Groabenteuern ist
Demokratie ist eine feine Sache - wenn sich den deutschen Politikern offenbar nicht aus-
denn die Regierenden daran halten. Die Ent- zutreiben. Die Redaktion ist, wie immer, sehr
scheidung zur Totalerfassung wurde nicht interessiert an technologischen Forschungen
demokratisch legitimiert. ber den Umweg unserer geneigten Leser, an Dokumenten, die
ICAO und EU drckte das Innenministerium das gemeine Volk eigentlich nicht in die Finger
ein Verfahren durch, das im Deutschen Bun- bekommen sollte, und natrlich an Erfahrun-
destag bei rationaler Diskussion kaum durchge- gen mit dem neuen Reisepa. Zuwendungen
kommen wre. Eine sachliche Begrndung zur bitte wie immer an <ds@ccc.de> oder im braunen
Notwendigkeit fand selbst auf direkte Nachfra- Umschlag an die bekannte Postadresse.
ge von Abgeordneten nicht statt. Es gibt einfach
keine guten Argumente dafr, nur sehr viele Auch auf dem 22. Chaos Communication Con-
dagegen. gress vom 27. bis zum 30. Dezember 2005 wird
das Vorgehen gegen den Biometrie-Wahn eine
Der berwachungsstaat ist nicht mehr nur ein groe Rolle spielen, dann schon mit ersten
Schreckgespenst der fernen Zukunft. Er steht Erfahrungen und Ergebnissen aus der Hands
direkt vor der Tr. Unsere Politiker haben eine On-Forschung mit den neuen Pssen
Vision von einer Zukunft, die den dramatischen
Ausbau von Repressions- und berwachungs- <Die Redaktion Datenschleuder>
mglichkeiten erfordert. Biometrie in allen Aus-
weisdokumenten ist nur ein Puzzlestein dabei.
Der Reisepa ist nur der erste Schritt, die Perso-
nalausweise werden folgen.
die datenschleuder. #87 / 2005 1

1
...WITH A GOVERNMENT THAT RESPECTS PRIVATE ENTERPRISE
C
Die sichersten Psse der Welt
von starbug <starbug@berlin.ccc.de> und
46halbe <46halbe@weltregierung.de>
Die Bundesdruckerei macht mit Otto Schilys neuestem Sicherheitsplacebo den groen Rei-
bach. Seit einigen Wochen ist es ofziell. Ab dem 1. November 2005 werden in Deutsch-
land trotz massiver Kritik von vielen Seiten neue Reisepsse (sog. ePass) mit biometri-
schen Merkmalen auf RFID-Chips ausgegeben. Deutschland unterbietet dabei bei weitem
den vorgegebenen Zeitrahmen der europischen Verordnung, die ohne Beteiligung des
deutschen Parlamentes zustandekam.
Wirtschaftsfrderung ohne Rcksicht nationalen Grenzen aus seinem Pa ausgelesen

auf Verluste und gespeichert wird, wer Datensammlungen
anlegt und fr welchen Zweck, ob Abgleiche
Mehr als ein halbes Jahr frher als notwendig mit kriminalistischen oder Terroristen-Fahn-
wird der Reisepa nun eingefhrt. Die Grn- dungs-Datenbanken vorgenommen werden all
de fr die Hast, die das Bundesinnenministeri- das kann niemand kontrollieren und unterliegt
um (BMI) an den Tag legte, liegen auf der Hand. selbstverstndlich nicht der datenschutzfreund-
Wer in Europa zuerst ein funktionierendes bio- lichen Gesetzeslage in Deutschland. Die digi-
metrisches Gesamtsystem zur Grenzkontrol- talen Daten seines Gesichtsbildes und seiner
le hat, kann mit Auftrgen in Milliardenhhe Fingerabdrcke sind zur globalen Speicherung
rechnen. Gerhard Schabhser vom Bundes- freigegeben.
amt fr Sicherheit in der Informationstechnik
(BSI) antwortete entsprechend auf die Frage, Die offiziellen Grnde
warum die Einfhrung der neuen Psse derart
berstrzt vorgenommen wird: Das hat indus- Of ziell stehen die Terroristen mal wieder an
triepolitische Grnde. Martin Schallbruch, erster Stelle der Grnde fr die Einfhrung
IT-Direktor des Bundesinnenministeriums, des ePasses. Seit dem 11. September 2001 tritt
verweist zwar auf einer Informationsveranstal- bereits ein gewisser Gewhnungseffekt ein, da
tung zum ePass gem der of ziellen Sprach- mit der Terrorabwehr einfach jede Manahme
regelung seines Arbeitgebers darauf, da die- begrndet werden kann. So soll die Verbesse-
ser primr der Erhhung der Sicherheit diene. rung des behrdlichen Informationsaustau-
Es sei aber ohne Frage gewinnbringend fr die sches die Einreise von Terroristen verhindern,
deutsche Wirtschaft, weltweit fhrend auf dem indem biometrische Hilfsmittel bei der Perso-
Gebiet der Biometrie und der Chipkartentech- nenfahndung genutzt werden. Dazu soll an den
nik zu sein, betont er gleich mehrfach. Grenzen zweifelsfrei festgestellt werden kn-
nen, ob der Besitzer des Reisepasses auch der
Die Frderung der Wirtschaft ist ein verstnd- Inhaber ist. Da die Tter in der Vergangenheit
liches Ziel deutscher Politik. Doch was bedeu- stets gltigen Psse besessen haben, wird hier
tet der neue Pa fr den deutschen Reisenden? einfach ignoriert. Auch der Umstand, da jeder
Er mu zunchst die deutlich gestiegenen Kos- Bombenleger sich weiterhin einfach auerhalb
ten von 59 Euro (heute 26 Euro) fr den nor- Europas einen gltigen Pa oder ein Visum
malen Pa bzw. 91 Euro fr den Express-Pa besorgen kann, bleibt unerwhnt. Diese unlo-
tragen. Weit schwerer wiegt aber, da er die gische Argumentation wird vom BMI auf jeder
Kontrolle ber seine persnlichen biometri- Veranstaltung gebetsmhlenartig wiederholt,
schen Daten abgeben mu. Denn was an inter- was sie natrlich nicht wahrer macht.
2 2 die datenschleuder. #87 / 2005

Das zustzliche Sicherheitsmerkmal, also der nach den Ergebnissen einer jngst verffent-
kontaktlose Funk-Mikrochip, soll auerdem lichten BSI-Studie (sog. BioP-II-Studie) zu den
die Flschung erschweren und die Feststellung Erkennungsleistungen biometrischer Systeme
der Echtheit des Dokuments gewhrleisten. (siehe auch den entsprechenden Artikel in die-
Der Bundesinnenminister Otto Schily behaup- ser Ausgabe) zumindest in naher Zukunft als
tet, Flschungen von Pssen wrden mit der ausgeschlossen gelten. Jrg Radek, ebenso wie
Speicherung biometrischer Daten unmglich die Pressestelle des BMI, betont, da die Tech-
gemacht oder mindestens erschwert. Da die nik stets zustzlich eingesetzt, eine Kontrolle
Bundespolizei (frher BGS), der Pahersteller der Reisenden nach den Schengen-Standards
Bundesdruckerei wie auch das BSI bereits den jedoch weiterhin erfolgen wird. Von einer Effek-
bisherigen deutschen Pa als hochsicher ein- tivierung kann also keine Rede sein, die Viel-
stufen, wird ge issentlich verschwiegen. Nach ieger und die Urlauber erwartet vielmehr ein
Angaben von Jrg Radek, Bundesvorstand der erhhter Zeitaufwand.
Gewerkschaft der Polizei, sind Totalflschun-
gen hierzulande eine seltene Ausnahme; sol- Zudem sind die biometrischen Verfahren noch
che in einer guten Qualitt, die nicht schon von derart fehlerbehaftet, da zu erwarten ist, da
Grenzbeamten-Azubis erkannt werden, schlicht viele Pabesitzer von den Gerten an den Gren-
nicht vorhanden. Der Gipfel des Widersinns ist zen flschlich zurckgewiesen werden. Genau-
aber die Tatsache, da der ePass vollstndig gl- eres zu den aufgetretenen Unzulnglichkeiten
tig bleibt, wenn der Funk-Chip den Geist auf- der vier in der BSI-Studie getesteten biometri-
gibt. schen Systemen kann auf ber 170 Seiten nach-
gelesen werden. Zu anderen schwerwiegenden
Die computergesttzte biometrische Identi ka- Problemen wie der berwindungssicherheit
tion von Personen soll weiterhin zur Effektivie- der Verfahren ndet der geneigte Leser der Stu-
rung der Grenzkontrollen dienen und somit fr die jedoch keine Angaben. Eine Lebenderken-
eine Erleichterung des Reiseverkehrs mit dem nung etwa ist in den getesteten Verfahren ent-
entsprechenden Zeitgewinn fr die Reisenden weder nicht implementiert oder wurde fr die
und fr die Bundespolizei sorgen. [1] Dies kann Testdauer deaktiviert, um die Erkennungsleis-

3
tungen zu verbessern. Ebenso waren die Kosten licht deutlich. Die Interpretation der Ergebnis-
der Systeme nach wie vor kein Thema. So reise unterlag offensichtlich einer politische Ein-
hen sich die ungelsten Schwierigkeiten mit der unahme, die eine unabhngige Beurteilung
bereilt eingefhrten Technik aneinander. der Erkennungsleistungen verhinderte. Die
konkrete Datensammlung der Studie bleibt wei-
Wichtige Fragen danach, ob die fr die Signa- ter unverffentlicht. Die vom BSI ermittelten
tur und Authentisierung verwendeten krypto- Werte im niedrigen Prozentbereich erscheinen
graphischen Algorithmen zehn Jahre lang die auf den ersten Blick nicht problematisch, rech-
Integritt der Daten auf dem Chip garantieren net man diese aber auf die Gesamtbevlkerung
knnen, geraten so in den Hintergrund. Auch Deutschlands oder Europas hoch, erkennt man
die Frage nach der Ausgestaltung der bentig- schnell, da es sich hier um mehrere Millionen
ten Public Key Infrastruktur (PKI) fr die Zer- Problemflle handelt.
ti zierung der internationalen Lesegerte ist
noch immer ungelst. Die technische Spezi ka- Und die Personen werden nicht nur einmal
tion wird erst fr den Dezember 2005 erwartet. betroffen sein, sondern bei jeder Pakontrol-
(Siehe dazu auch den Artikel zum Annex G der le erneut die Rckweisung durch die biometri-
ICAO-Spezi kation in dieser Ausgabe.) schen Gerte erleben mssen. Die damit jeweils
verbundenen Extrakontrollen drften klar gegen
Die traurige Wahrheit den Gleichheitsgrundsatz, verankert im Grund-
gesetz, verstoen.
Es mu deutlich ausgesprochen werden: Die
Biometrie in Pssen lst keine Probleme. Wie Folgen fr alle Pabesitzer
aus der BioP-II-Studie hervorgeht, an der weni-
ger als 700 regelmig aktive Probanden teil- Im vielzitierten Volkszhlungsurteil des Bun-
nahmen, ist die Technik bei weitem noch nicht desverfassungsgerichtes von 1984 wurde fest-
einsatzbereit. So werden auf absehbare Zeit die gestellt, da jeder Brger ber die Preisgabe
ePsse nicht zur biometrischen Authenti kati- und Verwendung seiner personenbezogenen
on verwendet. Daten selbst bestimmen darf. Ob die Abnah-
me biometrischer Merkmale und deren durch
Die ebenfalls vom BSI zuvor durchgefhrte Stu- den Pabesitzer nicht mehr kontrollierba-
die BioP I [2], die sich mit der Verwendung der re Speicherung in Datenbanken rund um die
automatischen Gesichtserkennung im Grenz- Welt diesem Urteil zuwiderluft, ist unter Juris-
verkehr beschftigte, ermittelte beispielswei- ten fraglich. Wnschenswert wre ein brger-
se Falschrckweisungsraten (FRR) von 24 bzw. freundliches Urteil des Bundesverfassungsge-
52 Prozent (bei Falschakzeptanzraten von 0,002 richt zur Frage der ePsse. Als Einzelperson
bzw. 0,005 Prozent). Das bedeutet, da jede ist eine Klage gegen die Einfhrung der ePs-
vierte bzw. sogar jede zweite Person bei einer se jedoch erst dann mglich, wenn man direkt
Grenzkontrolle flschlicherweise zurckge- betroffen ist. Man mu sich erst durch die nati-
wiesen wrde. Bei den Fingerabdrcken sah es onalen Instanzen klagen, bevor ein Urteil des
nicht besser aus. So konnten bei ca. zwei Pro- Bundesverfassungsgericht oder des europi-
zent der Bevlkerung gar keine Abdrcke abge- schen Gerichtshof erwartet werden kann. Ein
nommen werden, da sie keine ausreichend aus- betrchtlich langer Zeitraum ginge ins Land,
geprgten Merkmale besaen. [3] ehe entschieden wrde. Die biometrische Tech-
nik wird dann lngst alltglich und unter erheb-
Die neue BioP-II-Studie lt die Gesichts-, Fin- lichen Kosten eingefhrt worden sein.
gerabdruck- und Iriserkennungssysteme wie-
derum nicht gut aussehen. Besonders bei [1] http://www.heise.de/newsticker/meldung/60149
der Gesichtserkennung wird erneut die star- [2] http://www.bsi.de/literat/studien/biop/index.htm
ke Abhngigkeit der Erkennungsleistungen [3] http://www.tab.fzk.de/de/projekt/zusammenfassung/
von Umwelteinssen wie dem Umgebungs- ab93.pdf

WO BLEIBT DAS VGELCHEN?
C
Spa mit dem ePass
von starbug <starbug@berlin.ccc.de> und
46halbe <46halbe@weltregierung.de>
Ihr habt unsere seit einem Jahr regelmig wiederholten Hinweise berhrt und keinen
alten Reisepa beantragt? Jetzt steht ihr vor der Entscheidung, einen neuen ePass mit
digitalem Gesichtsbild und RFID-Chip fr mehr als doppelt soviel Geld zu holen oder
nicht mehr auerhalb Europas verreisen zu knnen?
Wenn ihr euch fr den ePass entscheidet, gibt es litt wird das aber sicherlich nicht der Fall sein.
hier ein paar Hinweise zum sicheren Umgang Der Prsident des Centralverbandes Deutscher
und fr Spa am Gert. Wie ihr in diesem Heft Berufsfotografen, Hans Starosta, wirkt jeden-
schon gelesen habt oder noch lesen werdet, gibt falls bei seinem Vortrag auf einer Informations-
es ab dem 1. November diesen Jahres eine neue veranstaltung der Bundesdruckerei noch reich-
Generation des deutschen Passes. Er beinhaltet, lich unvorbereitet. Auf Nachfragen reagierte er
neben den bisher schon vorhandenen Daten und mit Schulterzucken. Und selbst wenn die Foto-
Sicherheitsmerkmalen, zustzlich einen RFID- graphen es wissen, ist nicht davon auszugehen,
Chip, auf dem der Inhalt der Maschinenlesba- da sie sich an jedes Detail halten werden, dafr
ren Zone (MRZ) und ein digitales Foto gespei- sind die Vorgaben einfach zu ungenau.
chert werden.
Aber es kostet euch ein Lcheln, ihn mit euren
Das Frontalfoto neuen Kenntnissen ber Gesichtserkennung
etwas aufzuklren. Dieses Lcheln spart ihr
Das Foto ist dafr ausgelegt, von einer automa- euch aber bitte beim Shooting, die Software ist
tischen Gesichtsbilderkennung verwendet zu noch nicht so ganz ausgereift.
werden. Daher wird es nicht, wie bisher blich,
im Halbpro l im Pa erscheinen, sondern in brigens, Geld sparen am
der Frontalansicht. Deshalb nun einige Hinwei- Foto autom ate n i s t
se, was ihr beachten mt, wenn ihr zum Pho- keine gute Idee. Die
tographen geht. Schminken solltet ihr dringend Fotos aus den Auto-
unterlassen, starke Lidstriche oder das Nachzie- maten entsprechen
hen der Augenbrauen verwirrt die Software und allein von der Grund-
knnte euch flschliche Rckweisungen an der qualitt der Kameras
Grenze bescheren. Eure Persnlichkeit kommt kaum den Vorgaben
auch ohne Farbe sicher gut zur Geltung. fr die automatische
Gesichtserkennung.
Auch Piercings oder Ttowierungen im Gesicht Nac h neuesten
sollten gut berlegt sein, denn 10 Jahre sind eine Rechercheergebnis-
lange Zeit. Man mchte schlielich auch in vie- sen wurden zumin-
len Monaten noch erkannt werden. Frisuren mit dest einige der Auto-
vielen ins Gesicht hngenden Haaren, beson- maten aber schon mit
ders in der Stirn, sind out, zumindest wenn ihr den aktuellen Mus-
gern um den Globus reisen wollt. tertafeln ausgestattet.
Fr Spa in der Kabi-
Zwar sollten solche Hinweise inzwischen alle ne ist also auf jeden Fall
Photographen mitbekommen haben, in der Rea- gesorgt.

5
Und auch auf mehr oder weniger Spa mit grnden bisher nur schleppend. Dafr lie
den Grenzbeamten kann man sich einstellen, man eine Software schreiben, welche die Qua-
wenn man die sowieso kaum funktionieren- litt der abgegebenen Pabilder berprfen soll.
de Gesichtserkennung zustzlich mit mani- Natrlich dauert es einige Zeit, bis alle Melde-
pulierten Bildern beglckt. Mit bloem Auge mter damit ausgestattet sein werden. Aus ano-
kaum sichtbare Vernderungen des Augenab- nymen Quellen ist auch leider schon bekannt,
stands oder der Nasenposition werden mit gro- da diese derzeit noch weit von ihrer optimalen
er Sicherheit zum Nichterkennen fhren. Das Funktionsfhigkeit entfernt ist. Sie ndet teil-
ist natrlich nur was fr die Hartgesottenen weise nicht einmal die Augen in den Bildern,
unter euch, die normalerweise viel Zeit beim was eigentlich nur der erste Schritt zur Erken-
Verreisen haben. Zwar ist es nicht erlaubt, Bil- nung ist. Aber das wird sicher noch besser in
der in digitaler Form abzugeben, aber da man Version 1.0.
heutzutage Pabilder auch zuhause ausdrucken
kann, scheint nicht bekannt zu sein. Lustig wr Der RFID-Chip
auch, wenn ihr mal versucht, mit ausgedruck-
tem Foto und sogar mit einem Foto auf dem Trotz des stolzen Betrages von 59 Euro, den
Handy die biometrischen Systeme an der Gren- jeder bei der Ausstellung eines ePasses bezah-
ze zu berlisten. len mu, bleibt der Pa selbst weiterhin Eigen-
tum der Bundesrepublik Deutschland. Deshalb
Gesichtserkennungstechnisch kaum auswert- darf man ihn natrlich nicht absichtlich kaputt
bare Bilder erzielt man durch das Tragen einer machen. Was man also nicht machen darf, wer-
Brille. In der BioP-II-Studie des BSI beispiels- den wir sicherheitshalber mal auisten:
weise trugen ber 90 Prozent der flschlicher-
weise erkannten Personen eine Brille mit dunk- Wer den Pa nach dem versehentlichen Mitwa-
lem Rand. Tja, die Algorithmen suchen sich schen in die Mikrowelle legen will, dem raten
eben sehr markante Punkte des Gesichts. Ein wir zur Vorsicht. Ein ungut aussehendes Brand-
schner Bart tut es brigens auch. loch knnte die Folge sein. Aber auch Leucht-
stoffrhrentester und elektrische Schweiger-
Allgemein ist anzunehmen, da die ungen- te arbeiten auf Basis von 13,56 MHz - hier kann
gende Information der Bevlkerung zu mas- man die in den Chip eingetragene Leistung
siven Spannungen auf den Meldemtern fh- durch den Abstand zum Gert sehr gut steuern.
ren wird. Also, bereitet euch auf etwas Stre Daher sollte der Chip kaputt gehen, ohne Spu-
vor, wenn ihr zum Beantragen geht. Es kann ren zu hinterlassen. Natrlich sollte man sowas
davon ausgegangen werden, da alte Pafotos vermeiden! Obwohl, der Pa bliebe ja weiterhin
schon ab dem 20. Oktober von den Angestell- gltig. Damit knnte man wahrscheinlich auch
ten zurckgewiesen werden, sollten diese schon mehrere Psse, die sich um das Gert herum
von der Neuerung erfahren und eine Schulung befinden, gleichzeitig zerstren. Also bitte
erhalten haben. Auch die dringend besondere Vorsicht walten lassen.
ntige Fortbildung
luft wahrschein- Und wenn solch ein Gert durch Zufall an
lich aus Geld- Grenzbergngen oder in den Meldemtern

steht (da wo
die Antrag-
s t e l le r d ie
D at e n au f
i h rem Pa
berprfen
knnen), wr-
den die St-
rungen den
Auslesevor-
gang unmg- ren mg-
lich machen. Und das will ja wirklich lich sein knnte. Aktiv hiee, da
niemand. der Angreifer Energie erzeugt,
um den Chip zu aktivieren, ihn
Eine andere unbedingt zu vermeidende Mg- also selbst anspricht. Bis zu einer
lichkeit ist das hu ge Knicken der Padecke Entfernung von 10 Metern ist dies mglich. Also
(die flscherlicherweise immer als Deckel empehlt es sich, ab und an die Verhaltenswei-
bezeichnet wird). Die Stelle, an welcher der sen der Personen auf der anderen Straensei-
Chip mit der Antenne verbunden wird, ist sehr te zu beachten. Passives Abhren bedeutet, da
emp ndlich und geht wahrscheinlich schon der Angreifer die ofzielle Kommunikation zwi-
nach ein paar Biegungen kaputt. Also lieber gar schen dem Pa und dem Lesegert (zum Bei-
nicht berhren. Selbst wenn man den Pa nur spiel an der Grenze) mithrt. Dieses ist bis zu
normal mit sich fhrt, drfte die Lebensdauer 30 Metern und unter Laborbedingungen sogar
unter 10 Jahren liegen, daher ist eine vorsichtige schon bis zu 50 Metern mglich. Es sollten also
Handhabung dringend anzuraten. auch die Personenkraftwagen, die vor dem Flug-
hafen warten, beobachtet werden.
Man kann sich nun die Fragen stellen: Was pas-
siert, wenn man einen Pa mit kaputtem Chip Natrlich hat das BSI vorgesorgt. Um das Ausle-
umtauschen will? Machen die das? Mu man sen der biometrischen Daten zu verhindern, gibt
das dann extra bezahlen? Wie oft kann man das es kryptographische Sicherungen. Fr die digi-
denn machen? Fr diese Fragen empfehlen wir talen Gesichtsbilder und alle Daten der maschi-
die Hotline beim Service-Center des BSI: 01805- nenlesbaren Zone (MRZ) gengt die sogenann-
274-300 (8-17 Uhr fr 12 Cent pro Minute). te Basic Access Control. Diese ist keineswegs
sicher und kann gebrochen werden. (Siehe auch
Man braucht den Pa aber nicht kaputt zu den Artikel zum Annex G der ICAO-Spezi ka-
machen, wenn man befrchtet, jemand will tion in dieser Ausgabe.) Sollte ein Angreifer die
ungefragt an die biometrischen Daten ran. Ein- verschlsselten Daten erhalten haben, kann er
faches Mittel um das Auslesen zu verhindern, sich zuhause in Ruhe an die Brute-Force-Ent-
ist schlichte Alufolie. Dabei mu man diese schlsselung machen. Hilfreich wre, wenn
meist nicht mal komplett um das Dokument der Angreifer die Daten der MRZ in Kopie bes-
wickeln, eine Lage in das Pabuch zu legen, e. Dazu mu er nur einmal kurz den Pa in
sollte gengen. Fr Verwirrung beim Lesege- die Hand bekommen. Man denke an die Pa-
rt sorgt auch das Einbringen von zustzlichen kopie bei der Hotelanmeldung im Ausland oder
Chips in den Lesebereich. Deshalb sind sie bri- die Anmeldung fr eine Karte der Fuball-WM
gens auch davon abgerckt, die Visa auf einem 2006.
separaten RFID-Chip auszustellen.
Vielleicht sollte man doch berlegen, ob Mikro-
Warum sollte man sich aber mit Alufolie vor welle und Alufolie gegen diese Unterwande-
dem Auslesen schtzen sollten? Der Grund ist, rung der Informationellen Selbstbestimmung
da unberechtigtes aktives und passives Abh- zu erwgen wren...

7
BER SINN UND UNSINN VON OTTO SCHILYS LIEBLINGSPROJEKT.
C
Sicherheit durch Biometrie?
von Quintus Dalemicus und 46halbe
Die Verpichtung jeden Brgers, seine biometrischen Daten in Ausweispapieren anzuge-

ben, stellt in juristischer Hinsicht einen schweren Eingriff in das Grundrecht auf Informa-
tionelle Selbstbestimmung dar. Vor dem 11. September 2001 wre eine solche Manahme
in Deutschland wohl undenkbar gewesen. Nun wird sie jedoch von den meisten Menschen
ohne Aufruhr hingenommen, die allgemeine Sicherheitshysterie macht es mglich.
Offenkundig nutzte der scheidende Bundesin- zeptanz), zweitens die Abweisung einer geprf-
nenminister Otto Schily die Gelegenheit, im ten Person, obwohl das gespeicherte Merkmal
Schatten der Anschlge der letzten vier Jahre zu dieser Person gehrt (Falschrckweisung).
vorschnell eine berwachungstechnologie ein- Beide Kategorien von Fehlern bedingen anei-
zufhren, die noch nicht einmal richtig funkti- nander und sind unakzeptabel, sobald sie
oniert. (Siehe dazu den Artikel zur BioP-II-Stu- gehuft vorkommen. Fehler der ersten Katego-
die in dieser Ausgabe.) rie fhren den angeblichen Sicherheitsgewinn
ad absurdum, die Fehler der zweiten Kategorie
Die biometrische Technologie kann in eini- stellen die betreffenden Personen unter unbe-
gen Jahren serienreif sein, doch dann knnte grndeten Verdacht. Fr diesen Verdacht ist
sich die politische Landschaft bereits gendert es unerheblich, ob er nun 25, 10 oder 5 Prozent
haben. Vielleicht wird Osama bin Laden dann der Menschen betrifft. Fr sie wird eine ange-
geschnappt sein. Vielleicht wird die Hysterie kndigte verschrfte Kontrolle, wie immer die
um den Terrorismus nicht mehr so frisch in den auch aussehen mag, ntig. Das ist fr die Betrof-
Kpfen der Menschen sein. Vielleicht wrden fenen erstens ungerecht, zweitens zeitaufwen-
gar biometrische Ausweise, eingefhrt mit dem dig und drittens recht unangenehm, denn fr
Argument der Sicherheit, auf Widerstand sto- einmal flschlich zurckgewiesene Pabesit-
en. Auch gegenwrtig scheint die Akzeptanz zer ist die Wahrscheinlichkeit hoch, da sie von
begrenzt, schlielich mute Schily sein Lieb- nun an fter betroffen sein werden.
lingsprojekt ber den Umweg des EU-Minister-
rats auf den Weg bringen und mit Rechtsverord- Sinnvoll gegen Terrorismus?
nungen am Bundestag vorbei umsetzen, da ihm
Vertrauen und Untersttzung der rot-grnen Was bringt nun der Einsatz biometrischer Aus-
Bundestagsfraktionen fehlten. Das ganze Vor- weispapiere im Kampf gegen den Terrorismus?
gehen ist nur ein weiterer Beleg fr die schlei- Kurz gesagt: nichts. Es handelt sich vielmehr
chende Entmndigung der nationalen Par- um ein Sicherheitsplacebo, mit dem Aktivitt
lamente durch die undemokratische EU. Die suggeriert wird. Die neuen Dokumente sollen
Bedenken und Einwnde des EU-Parlamentes angeblich flschungssicherer sein als bisherige
waren bereits zuvor per Erpressung aus dem und die Benutzung echter Papiere durch jeman-
Weg gerumt worden. den anderes als den Eigentmer verhindern.
Den ersten Punkt kann man getrost als schlech-
Die innewohnenden Probleme der biometri- ten Scherz verbuchen. Wie weithin bekannt,
schen Systeme lassen sich in zwei Kategorien zhlen die deutschen Ausweispapiere heute
unterteilen; erstens die Veri zierung vom rea- bereits zu den flschungssichersten Dokumen-
len Menschen mit dem gespeichertem Merkmal, ten der Welt. In den letzten Jahren gab es nur
obwohl diese nicht bereinstimmen (Falschak- wenige Flschungsversuche, und die waren alle-

samt reichlich erfolglos. Das Bundesinnenmi- und vieles mehr wre gesamtgesellschaftlich
nisterium behauptet jedoch, es gbe ein groes eine sinnvollere Investition als die Verschwen-
Geflle innerhalb der EU, was die Flschungs- dung fr nicht funktionierende biometrische
sicherheit angeht. Das ist wahr, auch hinlng- Psse oder Ausweise.
lich bekannt. Die Frage aber, warum dann nicht
einfach alle EU-Staaten den jetzigen deutschen Sollte die Technologie eines Tages doch funk-
Standard bernehmen, bleibt unbeantwortet. tionieren, drohen uns noch grere Schwie-
Wre ja auch ein schnes Geschft fr die pro- rigkeiten. Biometrie und RFID bieten mannig-
tegierte Bundesdruckerei. Auch die Aussage faltige Mglichkeiten der berwachung von
Schilys, da der 21. Attentter des 11. Septem- Menschen. Beides wird nun Schritt fr Schritt
ber monatelang mit einem geflschten franz- eingefhrt. Erst das digitale Gesichtsbild, dann
sischen Pa durch Europa gereist sei, rechtfer- die Fingerabdrcke, erst im Reisepa, dann im
tigt wohl kaum die Einfhrung biometrischer Personalausweis - die klassische Salami-Taktik.
Psse. Der Kriminelle hatte nmlich schlicht
einen Meldebeamten bestochen und sich einen Gefahren fr Freiheit und Demokratie
Pa ausstellen lassen. Warum Biometrie dies
in Zukunft verhindern soll, kann auch Schily Die RFID-Chips sind nicht umsonst auch als
nicht erklren. Schnffelchips bekannt. Mit der entsprechen-
den Infrastruktur an Lesegerten, etwa in jeder
Der Test auf bereinstimmung zwischen Tr, in jeder Straenlaterne oder unter Gehweg-
Painhaber und Pabenutzer ist etwas inter- platten, kann man die Bewegungen eines Men-
essanter. Hierbei unterstellt man dem Inhaber schen, der einen solchen Chip bei sich trgt,
eines EU-Ausweisdokumentes, da er seinen mhelos verfolgen und archivieren. Beliebige
Pa an einen Doppelgnger, der beispielsweise Orwellsche Szenarien kann man sich vorstel-
gesucht wird oder kein EU-Staatsbrger ist, wei- len. Ob die kryptographischen Sicherungen die
tergeben knnte, der damit umherreisen wrde. Gefahr, die in den RFID-Chips steckt, dauerhaft
Dies zu unterbinden, knnte illegale Einrei- eindmmen kann, darf bezweifelt werden.
sen verhindern. Htte es jedoch die Anschlge
in den USA, in Madrid oder in London verhin- Neben der Gefahr durch die Schnffelchips
dert? Sicher nicht, da die Tter nicht polizeilich birgt auch der Einsatz biometrischer Merkmale
gesucht wurden, legal einreisten und folglich enorme Risiken. Durch die Interventionen des
ihre echten Psse benutzen konnten, biome- EU-Parlaments konnte gerade noch verhindert
trisch oder nicht. Das Argument, die neuen werden, da alle biometrischen Daten in einer
Dokumente seien ein Werkzeug gegen den Ter- zentralen Datei gespeichert werden. Dies hatten
rorismus, ist somit in jeder Hinsicht unhaltbar. die Innenminister der EU in der ihnen eigenen
dreisten Selbstverstndlichkeit gefordert. Doch
Gute Geldanlage bei knapper Kasse? auch ohne eine zentrale Referenzdatei besteht
die Mglichkeit, da staatliche Bedarfstrger
Ein weiterer Aspekt sind die enormen nanziel- die biometrischen Daten jedes Menschen einse-
len Kosten der ganzen Manahme. Dabei ndet hen knnen, wenn diese dezentral in den Mel-
eine gigantische Fehlallokation von Ressour- destellen gespeichert und beispielsweise ber
cen statt. Denn die Milliarden fr die Herstel- eine Suchmaschine abgefragt werden. Das wre
lung der Psse, die Herstellung und Wartung praktisch dasselbe wie eine zentrale Daten-
der Lesegerte, die Schulung des Grenzperso- sammlung, es klingt nur nicht so nach Drittem
nals etc. fehlen an anderer Stelle. Die Bereitstel- Reich und Zentralkartei.
lung nanzieller Mittel fr die Integration von
Menschen mit Migrationshintergrund, die Kon- Ein digitalisiertes Gesichtsbild kann mit der
trolle an Grenzen auf Waffen und Sprengstoffe, Gesichtserkennungssoftware von berwa-
die Ausrstung und das Training von Rettungs- chungskameras, die sich in Europa wie eine
krften, die Resozialisierung von Strafflligen Plage ausbreiten, kombiniert werden. Bisher

9
werden Menschen vielerorts einfach anonym mente reiht sich ein in eine Folge von Verletzun-
gelmt, man knnte mit den Kameras jedoch gen dieses Grundrechtes. Die sich immer weiter
an das Gesicht der Person auch heranzoomen, ausdehnende Videoberwachung, die automa-
es mit biometrischen Daten abgleichen und die tische Kennzeichenerfassung, der groe Lau-
Person identizieren. Hiermit lieen sich die schangriff, die Jahr fr Jahr steigenden Telefon-
Bewegungen von Menschen berwachen oder berwachungsmanahmen, die Speicherung
die Teilnehmer einer Demonstration identizie- von genetischen Informationen in digitaler
ren. Da der einmal bekanntgewordene Einsatz Form, die Auf hebung des Bankgeheimnisses,
solcher Techniken Menschen davon abhalten die noch immer diskutierte Vorratsdatenspei-
knnte, noch an Demonstrationen teilzuneh- cherung von Telefon- und Internetdaten; die
men, wre ein Sndenfall der Demokratie. Liste auf dem Weg zum berwachungsstaat
liee sich noch fortsetzen. Das alles wird im
Neben dem Bild kommt ab 2007 die Aufnahme Namen der Sicherheit durchgefhrt, und viele
des Fingerabdrucks hinzu. Pltzlich mssen Menschen akzeptieren das aufgrund der gestie-
gesetzestreue Menschen ihre Fingerabdrcke genen Angst vor Terrorismus oder Verbrechen.
abgeben wie gewhnliche Kriminelle. Da jeder Wohlgemerkt, aus bloer Angst, denn tatsch-
Mensch seinen Fingerabdruck an vielen Stellen lich sinkt die Kriminalitt real seit Jahren.
hinterlt, ffnet dies der Kreativitt von Krimi-
nellen, falsche Fhrten am Tatort zu legen, Tr Durch immer mehr berwachung in Kombi-
und Tor. So knnten aber auch zufllig die Fin- nation mit den Mglichkeiten durch biometri-
gerabdrcke eines Menschen an einem Gegen- sche Erfassung wird ein Datennetz gesponnen,
stand sein, der ber irgendwelche Umwege am das die freie Entfaltung der Menschen nachhal-
Schauplatz eines Mordes oder einer Entfh- tig verndert und zunehmend verhindert. Dies
rung landet. Obgleich diese Person nichts mit stellt eine Gefahr fr die ohnehin durch die
der Tat zu tun hat, wird sie pltzlich zum Ver- Schleichwege ber EU-Verordnungen gefhrde-
dchtigen. te Demokratie dar. Wer sich immerzu berwacht
wei, der wird alles tun, um nicht aufzufallen.
Der ePass wird das Recht auf Informationelle Die Demokratie lebt jedoch vom Mitmachen
Selbstbestimmung noch weiter aushhlen. Die und von der Auseinandersetzung.
Einfhrung der biometrischen Ausweisdoku-
Schlagbaum am Bahnhof
Winsen an der Luhe

I WILL NOT BUY THIS RECORD, IT IS SCRATCHED
C
Biometriepa Glossar
Fr die Experten im Chaos Computer Club ist der Umgang mit den Fachworten der Bio-
metrie inzwischen Alltag. Um dem Interessierten Neuling auf diesem Gebiet den Einstieg
in das Thema zu erleichtern, haben wir die wichtigsten Begriffe kurz zusammengefat.
Authentifikation: Daten explizit erlaubt werden. Das Keymanage-

ment ist durch eine PKI realisiert.
Authenti kation ist der Vergleich eines vorher
enrolten biometrischen Merkmals gegen Enrolment:
ein aktuell vorgezeigtes Merkmal. Dabei
unterscheidet man zwischen Veri kation und Das Enrolment bezeichnet den Vorgang, biome-
Identi kation. trische Merkmale in das System aufzunehmen.
Dabei werden in der Regel mehrere Bilder des
BAC (Basic Access Control): Merkmals gemacht. Sie werden in gemittelter
Form als Template hinterlegt.
Die BAC ist ein einfaches kryptographisches
Verfahren zur verschlsselten Kommunikati- Fehlerraten:
on des ePasses mit dem Lesegert. Der Key wird
dabei aus den Daten der MRZ generiert. Da der FTA (Failure To Acquire): Die FTA gibt die
Schlsselraum nicht besonders gro und auch Wahrscheinlichkeit an, mit der ein Merkmal
relativ leicht zugnglich ist, werden auf diese nicht vom Sensor aufgenommen werden kann.
Weise nur vorgeblich wenig sensitive Informa-
tionen, das digitale Gesichtsbild und der Inhalt FTE (Failure To Enrol): Die FTE gibt die Wahr-
der MRZ, geschtzt. scheinlichkeit an, mit der die Erkennungssoft-
ware aus den Daten des Sensors keine Merkma-
Biometrie: le extrahieren kann.
Der Begriff Biometrie setzt sich aus den griechi- FRR (False Rejection Rate): Die Falschrckwei-
schen Worten bio (das Leben) und metron (das sungsrate gibt die Wahrscheinlichkeit an, mit
Ma) zusammen und bedeutet die Vermes- der der rechtmige Besitzer der biometrischen
sung des Lebens. Heutzutage bezeichnet der Referenzdaten flschlicherweise zurckgewie-
Begriff die Erfassung oder Erkennung von Per- sen wird.
sonen anhand von spezischen Krpermerkma-
len. FAR (False Acception Rate): Die Falschakzep-
tanzrate gibt die Wahrscheinlichkeit an, mit der
EAC (Extended Access Control): ein fremdes Individuum bei der Prsentation
seines biometrischen Merkmals flschlicher-
Die EAC ist ein kryptographisches Verfahren weise als der rechtmige Eigentmer der Refe-
zur zustzlichen Verschlsselung der Kommu- renzdaten erkannt wird.
nikation fr sensitivere Daten des ePasses, wie
z.B. die Fingerabdruck- oder Irisbilder. Grund-
lage ist RSA/DSA mit elliptischen Kurven und
Hashes von 224 Bit (in Deutschland). Dabei
mu einzelnen Staaten der Zugriff auf die

I WILL NOT BUY THIS RECORD, IT IS SCRATCHED
ICAO (International Civil Aviation OCR (Optical Character Recognition):

Organization):
Texterkennung oder auch Optische Zeichener-
Die internationale Zivilluftfahrtsorganisatio kennung ist ein Begriff aus dem IT-Bereich und
n ist eine Sonderorganisation der Vereinten beschreibt die automatische Texterkennung von
Nationen, welche mit der Planung des einer gedruckten Vorlage.
zivilen Luftverkehrs beauftragt ist. Sie wurde
1944 gegrndet, hat ihren Sitz in Montreal OCR-B
und verfgt ber sieben Regionalbros.
Zu ihren Aufgaben gehrt die Regelung Eine 1968 von Adrian Frutiger fr Monotype
der internationalen Verkehrsrechte, die entworfene Schriftart, die ebenso wie die lte-
Standardisierung und der Auf bau von re OCR-A fr das rechnergesttze Auslesen
Infrastrukturen. optimiert wurde, aber im Gegensatz zur OCR-
A eine bessere Lesbarkeit fr Menschen bringt.
Identifikation: OCR-B ist zum ISO 1073/II-1976 (E) Standard
konform.
Die Identi kation ist der 1:n Abgleich gegen
mehrere, in einer Datenbank gespeicherten PKI (Public Key Infrastructure):
Templates.
Eine PKI ist eine zerti katsbasierte Technologie
LDS (Logical Data Structure): zur Verwaltung und Verteilung von kryptogra-
phischen Schlsseln. Sie dient dem Zugriffs-
Standardisiertes Datenformat fr weltweite schutz.
Interoperabilitt bei der Speicherung der biome-
trischen Informationen RFID (Radio Frequency Identification):
MRTD (Machine Readable Travel RF-Chips sind winzige Transponder. Sie

Documents): knnen per Funk Daten zu einem Lesegert
bermitteln und von diesem zu empfangen.
Als maschinenlesbare Reisedokumente nach RF-Chips sind in verschiedensten Bauformen
der ICAO-Spezi kation verstehen sich auch der und Leistungseigenschaften am Markt
deutsche Reisepa sowie der Personalausweis. erhltlich.
Beide beinhalten zwei Textzeilen in einer OCR-
optimierten Schriftart (OCR-B). In der neu- Template:
esten Fassung beinhalten die Spezi kationen
auch die Aufnahme eines RFID (siehe Artikel). Als Template wird der Datensatz bezeichnet, der
beim Enrolment angelegt wird und das biome-
MRZ (Machine Readable Zone): trische Merkmal der Person enthlt. Templa-
tes knnen entweder in Datenbanken oder auf
Maschinenlesbarer Bereich auf Ausweisdoku- SmartCards gespeichert werden.
menten. In Deutschland beinhaltet er die Aus-
weisnummer, das Geburts- und das Gltigkeits- Verifikation:
datum sowie Prfziffern. Diese Daten sind in
der Schriftart OCR-B aufgedruckt und knnen Die Veri kation beschreibt einen 1:1 Abgleich
optisch ausgelesen werden. Sie dienen der Ver- zwischen dem aktuell gemessenen Merkmal
schlsselung der Kommunikation zwischen und einem Template. Vor Beginn mu dem Sys-
Lesegert und RFID-Chip im ePass. tem das Merkmal oder eine eindeutige ID ber-
geben werden, die ein Template reprsentiert.

13
ALWAYS ASK YOURSELF: "WHAT WOULD MACGYVER DO"!
C
Fingerabdrcke nachmachen
leichtgemacht
Eine Anleitung zum Kopieren von Fingerabdrcken mit Haus- und Bromitteln.
Zum Erstellen einer Fingerspitzenattrappe

bentigt man natrlich zuerst ein Original.
Gute Quellen fr Fingerbilder sind Glasober-
chen, Hochglanzpapier und poliertes Metall.
Da wir uns jedoch auf Hausmittel beschrnken

wollen, benutzen wir die niederschlagenden
Dmpfe von Sekundenkleber. Dessen Hauptbe-
standteil, Cyanoacrylat, reagiert hervorragend
mit dem Fett im Fingerabdruck. Wer schon
einmal Sekundenkleber an den Fingerspitzen
Die Fett- und Schweirckstnde ergeben ent- hatte, wird das besttigen knnen.
lang der Kapillaren das Muster. In Kriminalis-
tenkreisen ist die blichste Methode zum Sicht-
barmachen des Bilds farbiges feines Pulver,
welches mit einem weichen Pinsel aufgetragen
wird:
Um den Dampf auf dem Fingerabdruck zu kon-

zentrieren, hlt man einfach eine Kappe voll
Kleber darber und wartet, bis er aushrtet.

Fr die weitere Bearbeitung am Rechner kann

und mu das Bild nun digitalisiert werden.
Pro-Equipment ist dazu nicht vonnten, eine
handelsbliche Digitalkamera gengt.
Die Masse, in die wir das Relief prgen, braucht

Eigenschaften, die uns unter anderem Holzleim
mitbringt: plastisch formbar bis zum Aushr-
ten, danach elastisch auf der Fingerkuppe und
natrlich leicht klebend.
Nun kann am Bildbearbeitungsprogamm die

Qualitt des Bilds verbessert werden, Kanten
deutlicher hervorgehoben und der Kontrast
erhht werden.
Um die optimale Viskositt zu erhalten, kann

man gerne noch etwas Glycerin beigeben. Die
entstehende Mischung bringt man nun gleich-
mig in dnner Schicht auf die Folie auf.
Da unsere Fingerattrappe wie ein Stempel funk-
tioniert, mu ein deutliches Relief in die Masse Nach ein paar Minuten ist der Kleber ausge-
gebracht werden. Der einfachste Weg ist, mit hrtet und bringt bereits alle Eigenschaften
einem Laserdrucker das Negativ des Fingerbilds fr eine gute Maskierung des eigenen Finger-
auf Folie zu drucken. bilds mit: hohe Elastizitt, geringe Dicke (damit
die Attrappe nicht auffllt) und natrlich eine
Der Toner schichtet sich, je nach Helligkeit, in Kopie des Fingerbilds, mit dem wir uns verklei-
unterschiedlicher Dicke auf der Folie auf. Wir den wollen.
erhalten das gewnschte Relief.

15
Nun mu die Attrappe nur noch in Fingerab- Der Chaos Computer Club wnscht viel Spa
druckgre ausgeschnitten und mit ein wenig mit ihrer neuen Identitt.
Kleber (am unbedenklichsten: Maskenkleber,
aber nicht in jedem Haushalt zu nden) xiert
werden.

KNOWLEDGE BRINGS FEAR
C
Inside ePassports
von Harald Welte <laforge@gnumonks.org>
Electronic passports that are deployed arond the world (including Germany) will be based
on RFID technology. To understand its implication, knowledge about those technologies
is essential.
Introduction Organization of Data
Technically speaking, ePassports are ICAO com- Data on the ePassport is organized according
pliant MRTDs. ICAO is an international body to a specication called LDS (logical data struc-
that already species the current OCR readab- ture). LDS specifies a number of DG (Data
le lines on travel documents. The ICAO MRTD Groups), as well as the encoding of the data. The
specications are publicly available from the most important data groups are:
ICAO homepage.
DG1 (mandatory) contains the same data as
From a technical point of view, ePassports are printed on the cover page like name, date of
ISO 14443-1,2,3,4 compliant contactless smart birth, expiration date, document number, nati-
cards. On top of 14443-4 transport layer protocol, onality, etc.
APDUs according to ISO 7816-4 are exchanged. DG2 (mandatory) contains the JPEG2000
For those readers who are not familiar with encoded facial image and corresponding biome-
smart card technology: ISO 7816-4 tries to spe- tric data
cify interindustry commands for interchange DG3 (optional) contains biometric ngerprint
with ID cards. data - not in German passports
DG4 (optional) contains biometric iris data -
The ISO 7816-4 smartcard provides a lesys- not in German passports
tem based interface to the information stored on
the ePassport. The application software issues ICAO requires data in DG1 and DG2 to be stored
high-level commands such as SELECT FILE, unencrypted, since it only resembles the data
READ BINARY to the
MRTD. The ICAO recom-
mends a minimum memo-
ry size of 32kBytes. Howe-
ver, it recommends as much
memory as possible, and
indicates 512kBytes as a tar-
get. As of now, the MRTD
chip has to operate in a write
once, read many fashion.
After the document is issu-
ed, it must not be allowed
to change any data. Future
standards may include the
possibility to store electro-
nic visa data. Passport-Sample (14443-B) and CM5121 Reader PCB

17
that is human-readable on the printed pages of the EF.SOD signature(s). This assures that the
the passport. Additional biometric data such content of the data groups is signed by the issu-
as iris and/or ngerprint information may be ing country. However, passive authentication
stored in an encrypted format. As of now, this is does not prevent copying of a MRTD.
up to the issuing country. Any form of encryp-
tion is outside the ICAO MRTD specications Active Authentication (optional)
and will thus not work interoperable on an inter- Active authentication can be employed to verify
national level. that the chip has not been substituted. It is
based on a challenge response protocol. The
All biometric information stored within LDS MRTD chip contains an active authentication
is further encoded according to CBEFF (Com- public key pair (KPrAA and KPuAA). A hash
mon Biometric Exchange File Format, NISTIR representation of KPuAA is stored in EF.SOD
6529-A), a common le format that facilita- and therefore authenticated by the issuing
tes exchange and interoperablity of biometric country certiate. KPrAA is stored in on-chip
data. Each data group is cryptographically sig- secure memory.
ned. The signature is stored in EF.SOD (Securi-
ty Object Data). Basic Access Control (optional, implemented
in Geman ePassports)
Security Features Basic access control denies access to the MRTD
Randomization of unique serial number chip until the inspection system proves that it
All ISO14443 compatible RFID chips disclose a is authorized to access the chip. This proof of
unique serial number during the anticollision authorization is done by deriving a pair of keys
procedure. This poses the potential threat of (Kmac and Kenc) from the OCR-read machine
pseudonymised tracking. The German BSI readable zone (MRZ). BAC can therefore pre-
therefore requires this randomization of the vent unauthorized harvesting of passport
serial number. data without being noticed by the passport hol-
der. BAC also mandates that any communica-
Passive Authentication (mandatory) tion following-up to BAC has to be encrypted
Passive authentication performs verication of via ISO 7816-7/8 secure messaging (SM). This

transport level security can be somewhat com- Crypto Algorithms

pared to running TLS on top of a TCP session.
The ICAO MRTD specification allows RSA,
Extended Access Control (optional) DSA and Elliptic Curve DSA with various mini-
Extended Access Control prevents unauthorized mal key lengths:
access to additional biometrics. It is similar to
Basic Access Control, but requires separate keys Algorithm Active Document Country
and key management. There is no ICAO MRTD Auth Signer Signing CA
standard on how it is implemented or used, and
therefore subject to the issuing state. RSA 1024 2048 3072
The Public Key Hierarchy DSA 1024/160 2048/224 3072/256
The PKI hierarchy is obviously nothing that ECDSA 160 224 256
directly affects the passport itself. However, it
is integral to the security of the system, so this Security threats
paper provides a quick overview: Small Keyspace of basic access control
The entropy of the MRZ data used to derive
All keys are issued in the familiar form of X.509 Kenc and Kmac for basic access control is very
certicates. Each issuing state operates its own limited. The nine digit document number is
Country Singing CA. There is no supernati- concatenated with the date of birth and the
onal Root CA. This is neccessary, since every expiration date of the document.
country decides on its own if it recognizes a par-
ticular other country. This also means that every Since ICAO MRTD specications recommend
reader (inspection system) has to store the ePassports not to be valid for more than ve
Document Signer Certicate of every recogni- years, the expiration date can only be one out of
zed issuing country. (365*5 = 1325) values.
The individual ePassports are signed using The date of birth can realistically assume only
Document Signer Keys. The Document Signer values between 18 and 90 years old (365*72 =
Keys are in turn signed by the Country Signing 26280). Also, in case of a specic person, the
CA. Document Signer keys have limited lifeti- range of the DOB can often be estimated to a
me, and it is recommended that issuing coun- certain range.
tries delete the private key after the last passport
for that key has been issued. Issuing coun- Document Numbers are issued sequentially in
tries have to provide certicate revocation lists some countries, and can therefore be reduced to
(CRLs) at least every 90 days, but not more often certain ranges. In Germany, the rst four digits
than every 48 hours. specify the issuing department, and the follo-
wing ve digits increment sequentially.
The ICAO operates a public key directory
which will be set up as X.500 directory, updates Grandmaster Chess Attack
are performed over LDAP. All communication
with the PKD is SSL authenticated. The PKD The Active Authentication mechanism is meant
stores Document Signer Certicates, but not to prevemt chip substitution (e.g. carbon copy-
Country signing CA certicates. ICAO veri- ing). However, it cannot prevent a grandmaster
es signatures of all incoming Certicates and chess attack, where the inspection system talks
CRLs before making them available. The PKD to a proxy chip that would temporarily com-
has public read access on the internet. Coun- municate with the original MRTD.
try signing CA certicates will be provided bila-
terally between countries.

19
BSI BERRASCHT: BIOMETRIE FUNKTIONIERT NICHT!
C
Die Auswertung der BioP II
Studie des BSI
von Zapf Dingbatz und 46halbe
Auf die 170-seitige Studie BioP II, die vom BSI beauftragt wurde, um die Praxistauglich-
keit biometrischer Systeme zu testen, lohnt ein etwas lngerer Blick. Wir haben ihn gewagt
und wollen euch die Ergebnisse nicht vorenthalten.
Vor dem Gesetzemachen sollte die Sachkunde jahr 2005 Teilergebnisse auf Symposien und
kommen. So wre es zumindest idealerweise. Informationsveranstaltungen herum.
Biometrie ist ein recht neues und unerforsch-
tes Feld. Also, dachte sich der Gesetzgeber, wre Das BSI, eine deutsche Behrde mit allen Vor-
es eine gute Idee, vor der massenweisen Ein- und Nachteilen, publizierte mit mehrmonatiger
fhrung von biometrischen Merkmalen in Per- Versptung dann das Ergebnis mit dem lapida-
sonaldokumenten erstmal zu prfen, ob das ren Hinweis, da die politischen Gegebenhei-
Ganze berhaupt funktioniert. Da das Ergebnis ten die Zielsetzung der Studie leider berholt
der ersten Studie des Bundesamtes fr Sicher- htten. Nun ist aber das BSI eine nachgeord-
heit in der Informationstechnik (BSI) dazu nicht nete und damit weisungsgebundene Behrde
so ganz praxisnah war, wurde nunmehr ein gr- des Innenministeriums. Dies schlug sich dann
er angelegter Feldtest angesetzt, die BioP-II- auch deutlich in der Interpretation der Studi-
Studie. Durchgefhrt von der Secunet Securi- enresultate und der Flle der nicht publizier-
ty Networks AG, dem Dienstleister fr (fast) alle ten Details nieder. Das Amt stellte die Version
Flle des BSI. 1.8 der Studie fr einige Stunden online, zog sie
dann wieder zurck und publizierte Tage spter
Nun interessiert sich aber der dazumalige die Version 2.0.
Innenminister, der allseits beliebte und bekann-
te Otto Schily, nicht allzusehr fr Fakten. Da Durch diesen Zufall ist ein gewisser Einblick
die ganze hochgelobte Biometrie nicht funkti- in den Proze der Bearbeitung mglich. Leider
onieren knnte, war keine in Frage kommen- gehen die daraus zu gewinnenden Erkenntnis-
de Mglichkeit. Es ging ja schlielich um die se nicht ber die Besttigung des Verdachts der
Sicherheit des Abendlandes vor den Gefahren dramatischen politischen Einunahme hin-
des internationalen Terrors und die Frderung aus. Eine Version 1.0 oder so mit allen Anhn-
der darniederliegenden deutschen Industrie. gen wre sehr interessant (falls die jemand
Also drckten seine Ministerialen unter Schilys rumliegen hat: email an ds@ccc.de oder im vor-
gide ber den Umweg EU und ICAO am Bun- geschriebenen neutralen braunen Umschlag an
destag vorbei durch, da Fingerabdrcke und die bekannte Adresse aus dem Impressum).
Gesichtserkennung in die Reisepsse kommen.
Wohlgemerkt, bevor die Ergebnisse der BioP-II- Hier nun eine Auswertung der Studie unter
Studie of ziell vorlagen, die doch Hilfestel- Bercksichtigung beider Versionen. Der
lung fr die Art und Weise der Einfhrung der geneigten Leser kann die Studie als Referenz
neuen ePsse geben sollten. Nicht, da Schily hinzuziehen, da wir fr einige Anmerkun-
die Ergebnisse der Studie nicht schon gekannt gen die Seitenzahlen der Version 2.0 angeben:
hat; Mitarbeiter des BSI zeigten bereits ab Frh- http://www.bsi.de/literat/studien/biop/biopabschluss2.pdf

Aufbau der Studie konform. Schade, war die ICAO-Konformitt

doch gerade eine wesentliche Zielsetzung der
Je ein Iris-, ein Gesichts- und zwei Fingerab- Studie. Die eigentlich vorgesehenen Untersu-
druckerkennungssysteme wurden an vier Test- chungen zur RF-Technik und deren Sicherheits-
standorten am Flughafen Frankfurt/Main von mechanismen muten daher nun in eine sepa-
insgesamt 2081 Mitarbeitern der Fraport AG, rate Projektreihe ILSE ausgelagert werden.
der Lufthansa AG und des Bundesgrenzschut-
zes (heute Bundespolizei) getestet. Der Feld- Ganz zeitgem wurde aber die Teilnehmermo-
test gliederte sich in zwei Testzyklen von jeweils tivation angegangen. Im Rahmen des Enrol-
acht Wochen. ments konnten die Testpersonen an einer
Verlosung teilnehmen, bei der es Uhren mit
Es handelte sich um vier bereits am Markt projektspezischem Design zu gewinnen gab.
befindliche Produkte. Der sogenannte Test- Um einem Sinken der Bettigungszahlen ent-
sieger der vorangegangenen BioP-I-Studie der gegenzuwirken, wurde whrend des Feldtests
Firma Cognitec Systems GmbH wurde als einzi- eine Incentivierung fr Teilnehmer ausge-
ges Gesichtserkennungssystem geprft. Offen- lobt, die eine Mindestanzahl von Bettigun-
bar hoffte man, sie htten ihr Produkt mit- gen erreichen. Wie genau die Incentivie-
tlerweile verbessert. rung aussah, bleibt leider
Auerdem wurden aus unklar. Stilecht wren Kaf-
acht nicht in der Stu- feetassen, Kalender, Kugel-
die benannten Anbie- schreiber und Klopapier
tern nach unklaren mit projektspezifischem
Auswahlkriterien zwei Design gewesen. Trotz
Fingerabdrucksysteme dieser umfangreic hen
der Firmen Dermalog Motivationsmanahmen
Identication Systems sprangen etwa 400 Teil-
GmbH und Bundes- nehmer nach dem Enrol-
druckerei GmbH aus- ment ab, 1600 Probanden
gewhlt. Der vier- sind also die eigentliche
te Kandidat war das Gesamt-Testpopulation.
Iriserkennungssys-
tem von SD Industries Enrolment
GmbH (heute takeID
GmbH). Man kann nur Die Failure to Enrol (FTE)
spekulieren, was die Rate zeigt an, wieviel Pro-
Tester bewegte, gera- zent der Teilnehmer nicht
de diese Anbieter aus- erfat werden knnen. Bei
zuwhlen. In der Stu- der Fingerabdruck- und
die findet sich nur Iriserkennung sind 0,4 bis
der Hinweis auf eine 0,99 Prozent der Teilneh-
Marktsichtung ohne mer bereits beim Enrol-
Angabe der Kriterien. ment gescheitert. Fr die
Gesichtserkennung konn-
Die Probanden erhiel- ten zwar alle Proban-
ten eine SmartCard Hygiene muss gro den enrolt werden, jedoch
(RF-Token) mit einer geschrieben werden weist die Studie auf den
UserID. Diese sollte Umstand hin, da es in
den Chip im Pa simulieren. Die verwendeten der Praxis Personen geben wird, bei denen aus
Chips waren jedoch aufgrund der Verfgbar- religisen oder kulturellen Grnden keine Auf-
keit und Kostensituation leider nicht ICAO- nahmen des Gesichtes mglich sein werden.

21
Da war ihnen wohl die null Prozent FTE bei fentrger konnten schlicht die Positionierungs-
der Gesichtserkennung selbst unheimlich. Das markierungen ohne Brille nicht sehen).
unrealistische Enrolment-Setup (speziell von
Experten angefertigte Bilder, Nachbearbeitung In der Studie klingt das dann so: Bei SD Indus-
mit Adobe Photoshop) drfte aber der eigentli- tries traten Positionierungsschwierigkeiten
che Grund fr die unrealistisch niedrige FTE- gehuft auf, da Teilnehmer gleichzeitig den
Rate sein. richtigen Abstand zum Gert und den Fokus-
punkt (Positionierung des Auges in der Mitte
Doch nicht nur das, denn die Messung der FTE des Spiegels der Sensoreinheit) nden muten.
in der Studie schliet Fehler, die durch falsche Teilnehmer muten sich oft ein Auge zuhal-
Bedienung der Systeme beim Enrolment ent- ten, um zu fokussieren. Die Kopplung mit einer
standen sind, explizit aus. Sie werden gar nicht trgen akustischen Rckmeldung bzgl. des
als Fehlversuch ausgewiesen. In der Praxis ist Abstands fhrte zu Schaukel-Bewegungen.
daher natrlich eine hhere FTE zu erwarten. Auerdem wurde von einer Reihe von Teilneh-
Hinzu kommt, da die Ergebnisse der FTE mern die Sensoreinheit nicht auf die der Kr-
nochmals dadurch geschnt wurden, da ein pergre angemessene Position eingestellt.
Re-Enrolment vorgenommen wurde. Man mach- Viele grere Teilnehmer bckten sich, anstatt
te kurzen Proze und erfate bis zu 5 Prozent die Einstellung zu verndern. Wenn man das
der Teilnehmer einfach nochmals. Die Begrn- mal vor seinem inneren Auge ablaufen lt, so
dung ist so einfach, wie sie vermutlich gelo- scheint es an der Grenze in Zukunft auch lusti-
gen ist: Systemfehler. Behauptet wird, da ge Momente zu geben.
whrend des ersten Enrolments teilweise keine
Templates in der Datenbank gespeichert wor- Personen, die kleiner als 1,55 m waren, konn-
den wren. Dies erscheint ziemlich zweifelhaft, ten gar nicht oder nur unter groen Mhen am
da jeweils nach einem Enrolment immer eine Test teilnehmen. Warum auch, der Brger kann
Testverikation stattndet. Diese kann ohne schlielich seine Krpergre oder Sehstrke
ein Template aber nicht funktioniert haben. Es den Gerten anpassen, und nicht umgekehrt.
bleibt also der Verdacht, da die in der Einfh-
rungsphase besonders hug zurckgewiese- berwindungssicherheit
nen Personen re-enrolt wurden, um die Ergeb-
nisse der FTE zu verbessern. Gnstig ist dabei Der geneigte Hacker fragt sich bei biometri-
auch der Mitnahmeeffekt - die Falschrckwei- schen Systemen natrlich als erstes: Kommt
sungsrate sinkt ebenfalls. Praktisch bedeute- man da durch? So ging es offenbar auch den
te dieses Vorgehen jedoch, da 5 Prozent der Studienbetreuern beim BSI und den Durchfh-
Personen jeweils einen neuen Pa bekommen rern bei Secunet. In den Kriterien zur Bewer-
wrden. Der geneigte Leser darf sich die auf die tung der getesten Systeme heit es denn auch:
Gesamtbevlkerung hochgerechneten Zahlen Fake-Resistenz: Biometrische Systeme ms-
selbst berlegen. sen insbesondere bei unberwachtem Betrieb
eine ausreichende Resistenz gegen Kopien des
Weitere Probleme zeigten sich bei der Aufnah- betreffenden Merkmals aufweisen. In Abhn-
me der biometrischen Merkmale in die Daten- gigkeit des verwendeten Verfahrens kann aber
banken. Die Positionierung vor dem Iriserken- auch bei berwachtem Betrieb eine ausrei-
nungssystem erwies sich fr die Probanden chende Fake-Resistenz erforderlich sein. Des-
als auerordentliche Schwierigkeit. Besonders halb stellt die Fake-Resistenz ein wichtiges
bei den Brillentrgern (42 Prozent der Popula- Bewertungskriterium dar. Deswegen iet die-
tion), die ihre Brille zur Prsentation der Iris ses Kriterium dann auch mit atemberauben-
abnehmen muten, zeigte das System von SD den 4 Prozent in die Gewichtung der Gesamt-
Industries whrend des Enrolments sowie im bewertung ein. Eine hhere Gewichtung htte
gesamten Feldtest seine Schwchen. Die Benut- wohl sonst die Auswertung nachhaltig versaut.
zerfhrung war einfach untauglich (die Sehhil- Die Ergebnisse der Versuche waren offenbar

hnlich erschreckend wie jene aus den (bereits tet. Die Erluterung auf Seite 158 gibt die Note 4
hinlnglich in der Datenschleuder publizierten) wie folgt an: berwindung mit mittlerem Auf-
Forschungen des CCC. wand erfolgreich (mit Zugriff auf das Merkmal
eines Berechtigten). Um das etwas besser ein-
Bei den hier erfolgten berwindungsversu- ordnen zu knnen, hier der Klartext der nchst-
chen handelt es sich ganz berwiegend um besseren Note 3: berwindung mit mittlerem
Labortests, die nur vorluge Aussagen zulas- Aufwand sowie Spezialwissen und/oder spezi-
sen. Auf eine detaillierte Darstellung wird in ellen Hilfsmitteln erfolgreich.
diesem Bericht daher verzichtet. So lautet der
peinlich drre Kommentar zum Thema ber- Zu deutsch: eine Note 4 bedeutet, da ohne Spe-
windungssicherheit in der Studie, in verschiede- zialwissen und spezielle Hilfsmittel eine ber-
nen Formulierungsvarianten. Da die Systeme windung problemlos mglich ist. Das deckt sich
berwindungssicher sind, konnte also wieder- mit unseren Erkenntnissen, auch wenn das BSI
einmal nicht gezeigt werden. Der IT-Direktor vermutlich die in der Datenschleuder beschrie-
des BMI, Martin Schallbruch, merkte auf einer bene Vorgehensweise zum Nachbau eines Fin-
Informationsveranstaltung an, man wolle gerabdrucks als Spezialwissen sowie Holz-
schlielich den Flschern keinen Vorschub leis- kaltleim, Digitalkamera und Sekundenkleber
ten. Warum deshalb aber nicht mal die Ergeb- als spezielle Hilfsmittel einstufen wrde.
nisse der berwindungssicherheitstests publi-
ziert werden, bleibt sein Geheimnis. Er wollte es Der Kommentar des Innenministeriums, da
auch auf Nachfrage nicht lften. Aufmerksames Details zur berwindungssicherheit nicht
Lesen der Studie frdert jedoch ein paar Hin- publiziert wrden, um Flschern keine Anlei-
weise zu Tage. tung zu geben, ist also absolut wrtlich zu

nehmen. Die getesteten Fingerabdruck- und

Die beiden Fingerabdrucksysteme und das Gesichtserkennungssysteme sind allesamt als
Gesichtserkennungssystem wurden in der so unsicher einzustufen, da sogar nur moderat
Abschluauswertung (Seite 161) in der Rubrik clevere beltter kein Problem beim berwin-
Fake-Resistenz
jeweils mit der Note 4 bewer- den haben werden. Beide Fingerabdrucksyste-

23
me wiesen nicht einmal eine Lebenderkennung hochgradig unrealistisch. Normale Reisende

auf. Beim Gesichtserkennungssystem wurde passieren selten mehr als 30 mal pro Jahr eine
die Lebenderkennung mit der Begrndung Schengen-Auengrenze. Somit wenden wir
abgeschaltet, da sonst die False Rejection Rate unsere Aufmerksamkeit den Wenignutzern
(FRR) so ansteigen wrde, da ein Praxisein- (0 bis 10 Bedienvorgnge) und den sporadi-
satz unmglich wird (S. 63, Funote 2). schen Nutzern (10 bis 30 Benutzungen) zu, die
eher dem Pro l des normalen Reisenden ent-
Ein weiterer interessanter Aspekt ist die Beno- sprechen drften.
tung fr die Systemsicherheit. Dabei sah es
offenbar noch schlimmer aus als bei der ber- In dieser Nutzergruppe nden sich False Rejec-
windungssicherheit. Systemsicherheit: Dieses tion Rates jenseits von allem, was noch als
Kriterium bewertet die bereitgestellten Syste- akzeptabel schngeredet werden knnte. Je
me hinsichtlich physischer Sicherheit, Sicher- nach verwendetem System (Gesicht und Finger)
heit der Verarbeitungseinheit und Sicherheit wurden in der Studie unter optimalen Bedin-
der Anwendungssoftware. Da es sich bei den gungen zwischen 4 und 10 Prozent der Nut-
in BioP II eingesetzten Systemen um Proto- zer flschlich zurckgewiesen. Die Iriserken-
typen handelt, geht dieses Kriterium nur mit nung wurde selbst nach BSI-Matben total
geringem Gewicht in die Bewertung ein. Das deklassiert, mehr als 20 Prozent der Wenig-
BSI rechnete also von vornherein damit, nur nutzer wurden nicht korrekt erkannt. Das wre
Systeme geliefert zu bekommen, bei denen die wohl selbst fr die hinsichtlich Technikverpei-
Hersteller froh sind, wenn sie gerade mal so lung in industriellem Mastab sehr toleranten
funktionieren. Die Noten weisen hier auf ein Deutschen im Alltag an den Grenzbergngen
Totalversagen aller Systeme, mit Ausnahme der undenkbar. Rechnet man beispielsweise mal
Cognitec Gesichtserkennung. die ermittelten Zahlen der FRR auf alle poten-
tiellen Pabesitzer hoch, so wrden mit den
Die ausgeprgte Paranoia der Studiendurch- vorgeblich recht akzeptablen Ergebnissen der
fhrer, was die Ergebnisse der bwindungssi- Gesichtserkennung ber 5 Millionen Menschen
cherheitstests betrifft, ist bemerkenswert. Die flschlich zurckgewiesen, wenn man sie rea-
Schwchen der Systeme sind ja hinlnglich listischerweise in die Gruppe der sporadischen
bekannt. Jeglicher Hinweis auf die entsprechen- Nutzer einordnet.
den Anlagen wurde durchgehend in Version 2.0
der Studie getilgt. Da die Endbenotung fr Die besonders ganz am Anfang des Feldtests
Systemsicherheit und Fake-Resistenz noch in auftretenden signifikant schlechten Erken-
der Studie verblieb, ist vermutlich wohl einzig nungsleistungen gingen dabei erst gar nicht
dem Umstand zu verdanken, da die Autoren in die Ergebnisse ein. Die Datenbasis verklei-
sich nicht komplett lcherlich machen wollten. nert sich aber noch weiter, denn bei der geteste-
ten Gesichtserkennungssoftware von Cognitec
Erkennungsleistungen war offenbar auch dadurch nichts mehr zu ret-
ten. Kurzerhand wurde hier im laufenden Feld-
In der of ziellen Auswertungszusammenfas- test eine Umkonguration vorgenommen. Zwar
sung werden vorwiegend die Zahlen zur Erken- waren die geforderten Parameter des Herstel-
nungsleistung verwendet, die sich auf die soge- lers eingehalten worden, es gab aber System-
nannten Normalnutzer beziehen. Aufgrund fehler. Also mute mitten im Test ein zweiter
der Tatsache, da die Probanden die Syste- Testzyklus begonnen werden. Alles noch mal
me mit sehr unterschiedlichen Hu gkeiten auf Null. Der Schwellwert, ab welcher eine Veri-
benutzten, wurden sie in Benutzerklassen ein- kation als erfolgreich bewertet wird, wurde
geteilt. Normalnutzer sind als solche Testteil- bei der Gelegenheit gleich noch von 0,7 auf 0,5
nehmer de niert, die wenigstens 30 Bedien- gesenkt.
vorgnge durchgefhrt haben. Das ist natrlich
fr einen durchschnittlichen Reisepabesitzer

Die Masterreferenz zur Messung der Erken- die ermittelten Werte noch weiter verschnert
nungsleistungen blieb dennoch entgegen der haben. In der Studie wird hier von einer gewis-
Zielsetzung der Studie das jeweilige Systemtem- sen Bereinigung gesprochen. Zunchst gin-
plate des Herstellers. Die Gesichtserkennung gen keine Messungen in die FRR ein, die durch
von Cognitec in Testzyklus 2 ist hier die einzi- signikant variierte Testbedingungen beein-
ge Ausnahme. Das Systemtemplate schneidet ut worden waren. An den Grenzbergngen
natrlich gegenber dem ICAO-Bild bei allen mten demnach also recht homogene Bedin-
anderen Verfahren hinsichtlich der FRR besser gungen herrschen - eine reichlich praxisferne
ab. Es ist daher nicht schwer zu erraten, warum Annahme.
bei der Ermittlung der Erkennungsleistungen
vom eigentlich zu untersuchenden ICAO-Stan- Auerdem prsentierten viele Teilnehmer den
dard abgewichen wurde. Es ist offenbar jedes falschen Finger (5 bis 7 Prozent) oder das fal-
Mittel recht, die Ergebnisse zu verschnern. sche Auge (23 Prozent). Sicher ein Verhalten,
das auch in der Praxis oft vorkommen wird.
Dennoch ergab die Auswertung der Ergebnisse Dieses verschlechtert aber natrlich die Erken-
noch einiges erstaunliches: Bei allen Systemen nungsleistungen weiter. Also wurde die FRR-
wurde ein Teil der Wenignutzer einfach immer Ermittlung sowohl bei dem Fingerabdruck- als
zurckgewiesen. Bei der Iriserkennung betraf auch bei den Iriserkennungssystemen kurzer-
dies sogar ber 50 Personen, bei denen die FRR hand auf Basis eines 1:2-Vergleiches vorgenom-
bei 100 Prozent lag. Diese Teilnehmer hatten men. Das heit, der Vergleich des aktuell pr-
sicher wenig zu lachen. In der Studie wird daher sentierten Merkmals wurde mit dem primren
vermutet, da besonders bei der Fingerabdruck- und dem sekundren Referenzmerkmal (bei-
und Iriserkennung das Training fr die Merk- spielsweise das andere Auge) durchgefhrt.
malsprsentation schwieriger und langwieri- Dies senkt wie gewnscht die FRR, fhrt jedoch
ger sein wird als fr die Gesichtserkennung. gleichzeitig zu einer hheren Falschakzeptanz-
Bis zum Ende des achtwchigen Testzyklus rate (False Acceptance Rate, FAR).
ist jedoch ein Sinken der FRR in allen Nutzer-
klassen zu beobachten. Das lt doch hoffen. In die Auswertung gingen auerdem die Ergeb-
Offenbar auch die Macher der Studie, denn sie nisse der Startphase nicht mit ein. Im Testzyk-
behaupten bei der Gelegenheit, da mit einer lus 1 war die Dauer dieses sogenannten Teach-
erhhten Kooperationsbereitschaft sei- Ins immerhin sieben Tage. Die signifikant
tens der Brger sowie mit Gewhnungseffek- schlechteren Ergebnisse dieses Zeitraums
ten gerechnet werden kann. Der Reisende will wurden fr das Ergebnis der FRR komplett weg-
schlielich schnell in sein Flugzeug und kann gelassen. Auch im zweiten Testzyklus wurden
sich also ruhig etwas anstrengen. wieder keine Ergebnisse von ganzen 5 Tagen
Die ohnehin drftigen Ergebnisse der

Erkennungsleistungen mssen allerdings
mit Vorsicht betrachtet werden, da eini-
ge Entscheidungen getroffen wurden, welche

25
Teach-In in die FRR aufgenommen, obgleich die die Testresultate sind so desastrs, da ohne
Testteilnehmer mit den Systemen ja bereits ver- einen echten und wirklich umfangreichen Feld-
traut waren und ihnen zustzlich von Betreuern test ein Einsatz der Systeme unverantwortlich
stets Hinweise und Hilfestellungen angebo- erscheint.
ten wurden. Der zuknftige Pabesitzer kann
in der Praxis keine derartigen Trainingsphasen Als Hot Fix ist in der neuesten Version des
erwarten, schon gar nicht, wenn er zu den ers- ICAO-Standards die Aufnahme von Templates
ten Testern im Realszenario gehrt. Da winkt in die Daten auf dem RFID-Chip vorgesehen
dann eher die angekndigte intensive Pr- (vorerst nur fr den nationalen oder bilatera-
fung an der Grenze. len Einsatz). Damit sollen die drftigen Erken-
nungsleistungen bei den ICAO-Bildern umgan-
Weitere ungelste Probleme, neben den schon gen werden. Fr die Gesichtserkennung sollen
erwhnten Brillen, waren Brte und Kontakt- beim Enrolment manuell diverse Klassi kati-
linsen. Beispielsweise wurden Voll- oder Teil- onsdaten (Bart, hohe Stirn, Augenklappe usw.)
barttrger von der Cognitec-Software signi - erfat werden, damit die Herausforderung fr
kant besser erkannt. Da die Psse ja 10 Jahre die Erkennungssysteme nicht gar zu sportlich
gelten werden, ist anzunehmen, da die Abnah- ist. Damit ist dann aber die Behauptung, da
me eines Bartes zu vermehrten Rckweisungen bis auf den Fingerabdruck nur Daten erfat
fhren wird. Bei den Brillentrgern zeigte die werden, die ohnehin im Reisepa vorhanden
Gesichtserkennung von Cognitec whrend des sind, hinfllig. Die systematische Erfassung
gesamten Tests sehr ausgeprgte Unzulnglich- derartiger Merkmale ffnet ein komplett neues
keiten. 97 Prozent der Personen, die unberech- Problemfeld fr den Datenschutz, da somit eine
tigt veri ziert wurden, trugen eine Brille. Die einfache Rasterung beispielsweise fr Fahn-
Weiterentwicklung des Algorithmus brachte lei- dungszwecke mglich wird.
der auch keine Besserung, das Problem blieb
in gleichem Mae vorhanden und ist weiterhin Praxistauglichkeit
ungelst.
Die Studienergebnisse hinsichtlich der Praxis-
In den Empfehlungen der Studie heit es tauglichkeit der getesteten Systeme sprechen
schlielich, eine grndliche Untersuchung eine klare Sprache. Eine Flle von Detailproble-
der Funktionstchtigkeit, der Erkennungsleis- men sorgte fr Frust. Zumindest an dieser Stel-
tung und der berwindungssicherheit der le ist die Studie vergleichsweise ehrlich und gibt
Verfahren sei angeraten. Dem knnen wir uns den Herstellern deutliche Mngellisten mit, die
nur nachdrcklich anschlieen. Die Aussage- schon sehr deutlich machen, welche Probleme
kraft der Ergebnisse der Studie ist begrenzt und

die Systeme im harten Flughafenalltag plagen Verarbeitungszeit

werden.
Im Rahmen der Studie wurde auch die Verar-
Beim Gesichtserkennungssystem von Cog- beitungszeit fr die biometrische Identi ka-
nitec bedarf die Benutzeroberche dringend tion betrachtet. Zu diesen gemessenen Zeiten
einer berarbeitung. Die jetzige Gestaltung kommt jeweils noch die fr das Auslesen des
gengt den sthetischen Ansprchen der Teil- RFID-Chips notwendige Zeit hinzu. Die soge-
nehmer nicht und unterminiert das Vertrauen nannte Bedienzeit umfat dann den kompletten
in die technische Zuverlssigkeit des Systems. Vorgang vom Auegen des RF-Token bis zum
Benutzerfhrung und Rckmeldung sind nahe- Verlassen des Gerts. Die gestoppten mittleren
zu nicht vorhanden. Obendrein waren etliche Werte liegen hier zwischen 11,1 und 13,3 Sekun-
Kameras der Cognitec-Gesichtserkennung von den. Nochmal zur Erinnerung: Diese Bedien-
Anfang bis Ende der Studie unscharf (die ver- zeit verlngert sich um weitere 4 bis 5 Sekun-
wendeten Philips-Plaste-Webcams haben keine den, wenn die SmartCard mit Secure Messaging
Mechanik zur Fixierung des Objektivs in einer eingesetzt wird, was dem optimistischsten Sze-
Fokuseinstellung). nario fr das RFID-Auslesen entspricht (in der
Studie wurden die RFID-Chips durch Smart-
Die beiden Fingerabdrucksysteme haben mit Cards substituiert).
Bedenken hinsichtlich Hygiene zu kmpfen.
Aber nicht nur die Reinigung machte Sorgen, Begrndet werden die recht langen Bedienzei-
es entstanden auch Probleme bei der Posi- ten wieder mit den Schwierigkeiten der Teilneh-
tionierung durch die Auage des Fingers auf mer, sich an den Gerten richtig zu positionie-
den Sensoren. Verschiedene Teilnehmer wu- ren, sowie mit dem mangelnden ergonomischen
ten nicht, wie der Finger aufzulegen war (Hhe Design und der Gestaltung der Benutzerober-
und Druck), und einige Frauen mit langen Fin- chen. Whrend die minimalen und mittle-
gerngeln beschwerten sich ber die unbndi- ren Verarbeitungszeiten fr die biometrische
ge Auage des Dermalog-Gertes. Identi kation in der Grenordnung von 5 bis
10 Sekunden bei allen Systemen noch halbwegs
Ein prinzipielles Problem, das bei praktisch praxistauglich erscheinen, gibt es dramatische
allen Systemen auftritt, sind die unterschied- Worst-Case-Flle, bei denen z.B. eine Fingerab-
lichen Erfordernisse der Benutzerfhrung fr druckerkennung knapp zwei Minuten dauert.
Viel- und Wenignutzer. Entweder das System Welche Situationen oder Merkmale zu derarti-
ist hinreichend hndchenhaltend fr Wenignut- gen Schwierigkeiten fhrten, bleibt aufgrund
zer und nervt dadurch Vielnutzer mit langwie- der fehlenden Anhnge zur Studie leider kom-
rigen Anweisungen (Teilnehmer emp nden plett unklar.
die Stimme auf Dauer als lstig). Oder es ist so
minimalistisch, da Vielnutzer schnell durch- Testpopulation
kommen, es stellt aber Wenignutzer vor verwir-
rende Rtsel. Fr Farbenblinde ist die verwende- Ein Feldtest biometrischer Verfahren erfordert
te Rot/Grn-Ampel fr die Ergebnisdarstellung besondere Sorgfalt in der Auswahl der Proban-
nicht zu gebrauchen. den. Deren Zusammensetzung entscheidet, ob
die Ergebnisse als reprsentativ betrachtet wer-
Im Klartext heit das, da die Systeme eigent- den knnen. Es liegt in der Natur des Men-
lich nur unter geduldiger Betreuung durch den schen, da seine krperlichen Merkmale dahin-
Grenzbeamten einzusetzen sind. Eine Verwen- gehend variieren, wie gut diese ausgeprgt und
dung fr die do-it-yourself-Grenzpassage ver- damit erfabar sind. Aufgrund der Tatsache,
bietet sich nicht nur wegen des deutlich erhh- da die biometrischen Systeme diese Merkma-
ten Risikos von berwindungsversuchen, le nur unzureichend erkennen knnen, gilt fr
sondern auch wegen der mangelnden Bedien- manche Personen dann auch noch, da sie hu-
barkeit. ger von Rckweisungen betroffen sein werden.

27
Eine Diskriminierung, gegen die man nichts Wenignutzer waren weniger als 500 Probanden.
machen kann - auer stets ein bichen mehr Das BSI mu also statistisch aussagekrftige
Zeit einplanen. Beispielsweise bei der Finger- Daten wohl mit den unfreiwilligen Betatestern
abdruckerkennung ergeben sich Schwierigkei- an den Grenzbergngen sammeln.
ten bei Personengruppe wie Senioren oder Men-
schen, deren Fingerkuppen durch Arbeit oder Was kostet der berwachungsstaat?
Hobby starker Abnutzung ausgesetzt sind.
Die Kosten der Biometrie-Einfhrng werden
In dieser Hinsicht ist die Auswahl der Teil- vom Innenministerium in einer Weise vernied-
nehmer der Studie zwar der Verbesserung der licht, die stark an vorherige deutsche Technik-
Erkennungsleistungen frderlich, die Testper- desaster erinnert. Auf Anfrage antwortet das
sonen reprsentieren jedoch in keiner Weise die BMI, da die notwendige Hardware im Rahmen
Gesamtbevlkerung. Das rumen die Macher von ohnehin anstehenden Ersatzbeschaffungen
der Studie auch ein. Zunchst waren 70 Pro- durchgefhrt werde. Das schtzen wir als so
zent der Probanden mnnlich. Dagegen ist nicht haltbar ein.
im Grunde nichts zu sagen, wre da nicht das
nicht unbedeutende Detail, da Mnner bei den Wie in der BioP-II-Studie klar dargelegt wird,
gestesteten Systemen in der Studie wie auch sind auch nur annhernd praxistaugliche Ergeb-
in vorangegangenen Tests durchweg bessere nisse bei der Gesichtserkennung nur zu erzie-
Erkennungsleistungen erzielten. Die unterre- len, wenn quasi Laborbedingungen am Grenz-
prsentierten Frauen bewirken also eine weite- bergang geschaffen werden. Um gleichbleibende
re Beschnigung der Ergebnisse. Lichtverhltnisse und Hintergrundsituationen
zu erzeugen, mssen umfangreiche Umbau-
Schlimmer noch die Alterszusammensetzung: ten durchgefhrt werden. Das Gesichtserken-
Die hinsichtlich der biometrischen Merkmale nungssystem erfordert einen schnellen Compu-
deutlich schlechter zu erfassenden Menschen ter, eine Kamera mit brauchbarer Qualitt und
ab 60 Jahren tauchen in der Testgruppe kaum ein spezielles homogenes Beleuchtungssystem.
auf (lediglich ein Prozent), obwohl sie in der Schon der Ausfall einer der Ausleuchtungslam-
Gesamtbevlkerung einen Anteil von 30 Prozent pen wrde den jeweiligen Grenzbergangs-
haben. Betrachtet man nun die einzelnen Nut- schalter auer Gefecht setzen.
zerklassen, kann man Zweifel bekommen, ob
noch von einem Feldtest gesprochen werden Auf der Enrolment-Seite nden sich in der Stu-
kann. Besonders die fr die Praxis relevanten die auch diverse Merkwrdigkeiten. Die Fotos
fr die Gesichtserken-
nung wurden aufwendig
von Experten des Bundes-
kriminalamtes (BKA) mit
einer eigens beschafften
digitalen Spiegelref lexka-
mera im Wert von etwa ein-
tausend Euro erstellt und
dann noch mit dem nicht
eben preisgnstigen Adobe
Photoshop nachbearbeitet.
Das ganze klingt so der-
maen unrealistisch im
Praxisbezug, da sich die
Frage stellt, warum die Not-
wendigkeit eines sol-
Das Diagramm zeigt die Altersstruktur der Testteilnehmer an der BioP2-Studie im Vergleich
zur Verteilung in der Gesamtbevlkerung Deutschlands. chen Vorgehens nicht

schon als Disquali kationskriterium ausreich- Wenn ca. 6000 Meldestellen im Schnitt mit je
te. Wenn man das Verfahren auf die Meldestel- vier Gertestzen fr das Enrolment ausgestat-
len extrapoliert, kommen selbst bei Substitution tet werden, an den 419 Grenzbergangsstel-
der BKA-Experten durch den Fotografen an der len im Schnitt je 15 Erfassungssysteme aufge-
Ecke erhebliche Summen fr Software-Lizen- stellt werden (konservative Annahme) und man
zen, Schulungen und Personalaufwand fr die ca. 5000 Euro pro System ansetzt (ebenfalls
zustzlichen Bearbeitungsschritte zusammen. uerst konservativ), ergeben sich alleine fr
Wenn jedes Bild nicht nur eingescannt, son- die Hardware Investitionskosten von mindes-
dern auch noch nachbearbeitet und (wie in der tens 150 Millionen Euro. Hinzu kommen War-
aktuellen ICAO-Spezi kation vorgesehen) nach tungskosten, Ersatzbeschaffungen, Umbauten
verschiedenen Kriterien klassifiziert werden fr die Gesichtserkennung und die Kompensa-
mu, wird es kaum ohne zustzliches Personal, tion der lngeren Abfertigungszeiten, zustzli-
zustzliche Computer usw. abgehen. ches Personal, Ausbildungskosten etc. pp. Die
Weiterentwicklung und die Anpassung der bio-
Die bermittlung der Daten von den Meldestel- metrischen Systeme mssen ebenfalls in eine
len zur Bundesdruckerei soll mit Hilfe der fr serise Kalkukation eingehen. Hier sollte auch
deutsche Regierungsverschlsselung standar- der RF-Chip in Betracht gezogen werden, des-
disierten SINA-Boxen erfolgen (die rein zufllig sen Lebensdauer fr zehn Jahre ohnehin frag-
die Firma Secunet herstellt, die auch die BioP-II- lich ist. Die geplante Ausweitung der biometri-
Studie durchgefhrt hat). Inwieweit zustzlich schen Technik auf den Personalausweis wrde
zu den bisher in den Meldestellen vorhandenen zustzlich auch die Ausstattung mit Gerten
SINA-Boxen neue beschafft werden mssen, ist fr die Polizei bercksichtigen mssen. Alles in
derzeit noch unklar. allem war die Einfhrung der Autobahn-Maut
dagegen ein Schnppchen.
Bei Einfhrung von Fingerabdrcken ist fr
jede Meldestelle und jeden Grenzbergangs- Folgerichtig nehmen die Autoren der Studie
schalter ein schneller Computer mit zustzli- auch Abstand davon, sich zu den Kosten zu
cher Sicherheitshardware (sicheres Speicher- uern (welcher Beamte widerspricht schon
modul, SINA-Box fr Certicate Updates etc.) gern Otto Schily). Wie selbstverstndlich wird
fr die Extended Access Control, kostenp ich- die marode Bundesdruckerei die Herstellung der
tigem Betriebssystem (freilich alles Windows neuen Psse bernehmen. Der Rahmenvertrag,
2000 Professional) und weiterem Zubehr zu den die Bundesregierung alle drei Jahre verln-
beschaffen. Hinzu kommen natrlich die Kos- gert, sichert dem vormals dem Bund gehren-
ten fr den Fingerabdruck-Scanner. Der Ver- den Privatunternehmen den lukrativen Auftrag.
schlei der Fingerabdruckscanner ist derzeit Eine EU-weite Ausschreibung des krisensiche-
unklar. Wie jeder Gegenstand, der nicht aus ren Geschfts fand nicht statt. Trotz professio-
solidem Metall besteht und einige tausend Mal neller Produktprsentation im eigens errich-
am Tag von Menschen angefat wird, drfte teten Showroom der Bundesdruckerei werden
hier deutlicher Verschlei anzunehmen sein. Fragen nach den Kosten fr Hard- und Softwa-
In der Studie wird von einem Grauschleier auf re auch dort nicht beantwortet. Zu den Gesamt-
den Fingerabdruckbildern der Bundesdrucke- kosten der Einfhrung des ePasses wollte Schily
rei-Gerte nach 4 Monaten berichtet, und das, natrlich noch immer keine Angaben machen.
obwohl die Scanner mehrmals tglich gereinigt Die erhhte Pagebhr soll aber wenigstens die
wurden. Wir knnen also davon ausgehen, da jhrlichen Betriebskosten fr die biometrische
die Scanner an den Flughfen nur eine recht Erfassung bei der Neuausstellung decken. Die
begrenzte Haltbarkeitsdauer haben werden. einmaligen Kosten fr die Gerte sollen 2006
Whrend der Studie wurden im Schnitt etwa im Haushalt der Bundespolizei enthalten sein.
15.000 Sensorbenutzungen pro System durch- Aber auch ber deren Hhe schweigt sich Schi-
gefhrt, eine Zahl die an einem Flughafen in ly aus.
nur einigen Tagen zustandekommt.

29
WIR BRAUCHTEN DAS GELD!
C
Annex G of ICAO MRTD Specs
Der Annex G der ICAO-Spezikation fr maschinenlesbare Reisedokumente (MRTD) fat
wunderbar kompakt die Schwchen des Systems zusammen. Die an der Erstellung des
Standards beteiligten Fachleute wollten wohl ihre Reputation nicht leichtfertig riskieren
und haben deshalb die wesentlichen Angriffszenarien relativ ungeschminkt dargestellt.
Der Annex liest sich ein bichen wie wir wissen, da es nicht funktionieren wird, aber
wir brauchten das Geld.
Technical Report CCRA-compliant certication body according to

PKI for Machine Readable Travel Documents a suitable Common Criteria Protection Pro le
offering ICC read-only access with EAL 4+ SOF-High.
Release : 1.1
Date : October 01, 2004 G.1.2 Active Authentication Keys
Annex G PKI and Security Threats
It is RECOMMENDED to generate key pairs
G.1 Key Management for Active Authentication on the chip of the
G.1.1 Country Signing CA and MRTD. As the private key is stored on the chip
in secure memory, and the chip hardware has
Document Signer Keys
to resist attacks for the whole validity period of
To protect the private keys it is RECOMMEN- the MRTD, it is RECOMMENDED to use chips
DED to use secure hardware devices for sig- that are successfully certied/validated under a
nature generation (Secure Signature Creation CCRA-compliant certication body according to
Device SSCD), i.e. the SSCD generates new a suitable Common Criteria Protection Pro le
key pairs, stores and destroys (after expirati- with EAL 4+ SOF-High.
on) the corresponding private key securely. To
protect against attacks on the SSCD including The available chip technology inuences the
Side-Channel Attacks (e.g. timing, power con- maximum key length of keys used inside the
sumption, EM emission, fault injection) and chip for Active Authentication. Many chips cur-
attacks against the random number generator it rently do not support key lengths that exceed a
is RECOMMENDED to use SSCDs that are suc- security level of 80 bits, which was the reason
cessfully certied/validated under a CCRA-com- for choosing this value as recommended mini-
pliant certication body according to a suitable mum. This is a relatively low level of security
Common Criteria Protection Pro le with EAL compared to their validity period of the MRTD.
4+ SOF-High. Therefore, it is RECOMMENDED to use longer
keys, if supported by the chip.
When distributing self-signed Country Signing
CA Certicates by diplomatic means extre- States that make use of the Active Authentica-
me care must be taken to prevent insertion of a tion mechanism to validate a foreign MRTD
rogue Country Signing CA Certicate. Further- should also be aware that no revocation mecha-
more, it is RECOMMENDED that States store nism has been specied for compromised Acti-
the received Country Singing CA Certicates in ve Authentication keys.
secure hardware devices (Card Acceptor Device
CAD) accessible by the reader devices in a G.1.3 Denial of Service Attacks
secure manner. To protect against attacks on
the CAD, it is RECOMMENDED to use CADs Denial of Service Attacks have to be considered
that are successfully certied/validated under a when States rely on the Directory for distributi-

on of Document Signer Certicates and CRLs. the attacker, the attacker communicates with
Those attacks cannot be prevented, it is there- another attacker, and the other attacker (tem-
fore RECOMMENDED that the Document Sig- porarily) gains access to the genuine chip. The
ner Certicate required to validate the Docu- inspection system is not able to notice that it has
ment Security Object is also included in the authenticated a remote chip instead of the pre-
Document Security Object itself. Receiving Sta- sented chip. This attack is called Grandmaster
tes SHOULD make use of a provided Document Chess Attack.
Signer Certicate.
G.3 Privacy Threats
To distribute CRLs bilaterally it is RECOMMEN- G.3.1 No Access Control
DED to establish multiple channels (e.g. inter-
net, phone, fax, mail, etc.) with other States and The use of proximity chips already minimi-
to conrm reception of received CRLs. zes privacy risks as reader devices have to be
very close to the chips, therefore skimming is
G.2 Cloning Threats not considered to be a serious threat. However
eavesdropping on an existing communication
Compared to paper based MRTDs copying the between a chip and a reader is possible in a lar-
signed data stored on the RF-Chip is easily pos- ger distance. States wishing to address this thre-
sible in general. States concerned about the pos- at SHOULD implement Basic Access Control.
sibility of having data of their citizens copied
to another chip SHOULD implement Active G.3.2 Basic Access Control
Authentication that prevents this to a certain
extent. The Basic Access Keys used to authenticate the
reader and to setup session keys to encrypt the
G.2.1 Passive Authentication communication between chip and reader are
generated from the 9 digit Document-Number,
Passive Authentication does not prevent copying the Date- of-Birth, and the Date-of-Expiry. Thus,
the data stored on the chip. As a consequence, the entropy of the keys is relatively low. For a 10
it is possible to substitute the chip of a MRTD year valid MRTD the entropy is 56 bits at maxi-
against a fake chip storing the data copied from mum. With additional knowledge (e.g. appro-
the chip of another MRTD. Receiving States ximate age of the bearer, or relations between
SHOULD verify that the data read from the chip Document-Number and Date-of-Expiry) the
indeed belongs to the presented MRTD. This entropy is lowered even more. Due to the rela-
can be done by comparing DG1 stored on the tively low entropy, in principle an attacker might
chip to the MRZ printed on the datapage of the record an encrypted session, calculate the Basic
MRTD. If DG1 and the MRZ compare and the Access Keys by Brute-Force from the authenti-
document security object is valid and the pre- cation, derive the session keys and decrypt the
sented MRTD has not been tampered with (is recorded session. However this still requires a
not counterfeited), then the MRTD and the data considerable effort compared to obtaining the
stored on the chip can be considered to be belon- data from other sources.
ging together.
G.3.3 Active Authentication (Data
G.2.2 Active Authentication Traces)
Active Authentication makes chip substitution In the challenge-response protocol used for
more difcult, but not impossible: The MRTD Active Authentication, the chip signs a bit string
presented by the attacker to the inspection sys- that has been chosen more or less randomly by
tem could be equipped with a special chip. This the inspection system. If a receiving State uses
chip works as proxy for a genuine chip located the current date, time, and location to generate
in a remote place: the chip communicates with this bit string in an unpredictable but veriable

31
way (e.g. using secure hardware), a third party cal advances and the availability of non-standard
can be convinced afterwards that the signer was computing devices. Therefore, the recommen-
at a certain date and time at a certain location. dations for key lengths are mainly based on the
extrapolated computing power. States SHOULD
G.4 Cryptographic Threats review the key lengths for their own but also for
received MRTDs often for reasons mentioned
The recommended minimal key lengths have above.
been chosen so that breaking those keys requires
a certain (assumed) effort, independent of the Generating key pairs of a special form may
chosen signature algorithm: improve the overall performance of the signa-
ture algorithm, but may also be exploited for
Type of Key Level of Security cryptanalysis in the future. Therefore, such spe-
cial key pairs SHOULD be avoided.
Country Signing CA 128 bits
Document Signer 112 bits G.4.2 Hash Collisions
Active Authentication 80 bits While it is computationally infeasible to nd
another message that produces the same hash
value as a given message, it is considerably easier
G.2.1 Passive Authentication to nd two message that produce the same hash
value. This is called the Birthday Paradoxon.
Passive Authentication does not prevent copying
the data stored on the chip. As a consequence, In general all messages to be signed are produ-
it is possible to substitute the chip of a MRTD ced by the Document Signer itself. Therefore,
against a fake chip storing the data copied from nding hash collisions does not help an attacker
the chip of another MRTD. Receiving States very much. However, if photographs provided by
SHOULD verify that the data read from the chip the applicant in digital form are accepted by the
indeed belongs to the presented MRTD. This Document Signer without additional randomi-
can be done by comparing DG1 stored on the zed modication, the following attack is possib-
chip to the MRZ printed on the datapage of the le:
MRTD. If DG1 and the MRZ compare and the
document security object is valid and the pre- Two persons share their digital photos. Then
sented MRTD has not been tampered with (is they repeatedly ip a small number of bits at
not counterfeited), then the MRTD and the data randomly in each photo until two photos produ-
stored on the chip can be considered to be belon- ce the same hash value.
ging together.
Both persons apply for a new MRTD using the
G.4.1 Mathematical advances and manipulated photo. Either person can now use
non-standard computing the MRTD of the other person provided that
it is possible to replace the digital photo in the
According to Moores Law computation power chip (e.g. by chip substitution).
doubles every 18 month. However, the security
of the signature algorithm is not only inuenced The hash function SHA-1 only provides 80 bits
by computing power, advances in mathematics of security against hash collisions. Thus, it is
(cryptanalysis) and the availability of new non- considerably easier to nd a hash collision than
standard computation methods (e.g. quantum to break the Document Signer Key which pro-
computers) also have to be taken into account. vides 112 bits of security. Therefore, whenever
hash collisions are of concern (e.g. as described
Due to the long validity periods of keys it is very above), it is RECOMMENDED not to use SHA-1
difcult to make predictions about mathemati- as hash function.

REFERAT KONKURS-, WETTBEWERBS- UND WIRTSCHAFTSSTRAFSACHEN
C
Eigentums- und
Beteiligungsverhltnisse der
Bundesdruckerei
Conrad Brean <ds@ccc.de>
Eine Druckerei fr Ausweise sollte eigentlich gewissen Anforderungen an Seriositt gen-

gen, am besten staatseigen sein oder doch wenigstens in soliden Hnden. Die Bundesdru-
ckerei ist durch eine desastrse Privatisierung zu einem Objekt windiger Finanzjongleure
geworden und dmpelt nun in unklaren Besitzverhltnissen vor sich hin. Hier der Ver-
such eines berblicks.
Seit ihrer Grndung 1879 als Reichsdruckerei Der Kaufpreis von einer Milliarde Euro galt
befand sich die Behrde im Staatsbesitz. Nach- schon zum Kaufzeitpunkt als deutlich ber-
dem sie 1945 mit Staatsdruckerei und durch hht. Er wurde jedoch nicht vollstndig bezahlt:
die bernahme in die Bundesverwaltung 1951 Ein Anteil von 230 Millionen Euro stundete der
mit Bundesdruckerei zwei Umbenennungen Bund fr zehn Jahre, weitere ca. 450 Millio-
erfuhr, begann fr sie nach der Wiedervereini- nen Euro gab
gung Deutschlands der Weg in die Privatwirt- die Hes-
schaft. sische
Auf Beschlu des Bundeskabinetts in der 12.

Legislaturperiode erfolgte am 1. Juli 1994 die
Umwandlung von einer Behrde in eine pri-
vatrechtliche GmbH im Bundesbesitz. Jedoch
wurde die Veruerung der Bundesanteile an
der Staatsdruckerei seitens der Regierung Kohl
auf 49 Prozent begrenzt. Finanzminister Eichel
(SPD) trennte sich spter von den restlichen
51 Prozent. Um den Bundesanteil mglichst
gewinnbringend zu veruern, beauftragte das
Bundes nanzministerium im Dezember 1999
das Frankfurter Bankhaus Metzler.
Im November 2000 verkaufte der Bundes-

nanzminister die Bundesdruckerei fr eine
Milliarde Euro an die Beteiligungsgesell-
schaft Apax Partners & Co.. Apax Fonds
waren bereits damals in der Bundesrepublik
unter anderem an der Autobahn Tank & Rast
AG beteiligt (deren CEO und COO ab 1991
bei Elf Aquitaine beschftigt waren), die 1998
privatisiert wurde.

33
Landesbank (HeLaBa) als Darlehen. Tilgung Gesellschafter, Kreditgeber und der Bund auf
und Zinsaufwand fr dieses Darlehen betragen einen Zahlungsverzicht geeinigt hatten.
jhrlich 50 bis 75 Mio. Euro - Summen, die der
Konzern fr mehrere Jahre nicht auf bringen September 2002 wurde fr den symbolischen
konnte. Kaufpreis von einem Euro die authentos-Grup-
pe an zwei Zwischenerwerber bertragen: die
In der Folge wurden die Bundesdruckerei Berliner JVVG Neununddreiigste Vermgens-
GmbH, die Bundesdruckerei International Ser- verwaltungsgesellschaft (94 Prozent) und die
vices GmbH, die ORGA Kartensysteme GmbH, Dinos Vermgensverwaltung in Heidelberg
die Holographic Systems Mnchen GmbH, die (sechs Prozent).
Maurer Electronics GmbH, die D-Trust GmbH
und die INCO SP.Z.o.o. unter dem Dach der Die Gesellschaft sollte saniert und dann wie-
authentos GmbH zusammengefaSteuert, die der verkauft werden. 300 der 1650 Arbeitsplt-
als Holding fungiert und ihren Sitz in der Berli- ze waren akut in Gefahr. Roland Berger erstellte
ner Zentrale der Bundesdruckerei in der Orani- ein Sanierungskonzept. Seit 2002 gab es einige
enstrae 91 hat. Bewegung in der Fhrungsebene der Bundes-
druckerei.
Im Februar 2001 erwarb die authentos-Grup-
pe das britische Unternehmen Security Prin- Die Anwaltssoziett Clifford Chance Pnder ist
ting and Systems Limited und stieg dadurch mit mittelbarer Mehrheitsgesellschafter der authen-
einer Jahresproduktion von 40 Millionen Ps- tos. Sie vertreten vermutlich die Interessen der
sen und Fhrerscheinen zum weltgrten Her- Neununddreiigsten Vermgensverwaltungs-
steller dieser Dokumente auf. gesellschaft und damit die Verbindlichkeiten
gegenber der Hessischen Landesbank und gel-
Im August 2002 wurde die Zahlungsunfhig- ten als Ansprechpartner fr mgliche Kaunte-
keit von authentos abgewendet, nachdem sich ressenten.

Vorsitzender der Geschftsfhrung der authen- GmbH. Dies war im Jahr 2002 abgeschlossen;
tos GmbH und der Bundesdruckerei GmbH war in der Folge reduzierte sich das Auftragsvolu-
bis 10. Februar 2004 Dr. Ulrich Whr. Seither men der Bundesdruckerei auf die Produktion
sind der ehemalige In neon-Manager Ulrich von weniger als 750 Millionen nachzudrucken-
Hamann und Klaus-Dieter Langen Geschfts- den Scheinen. Da sich an der Produktion der
fhrer der authentos GmbH. Diese sind zusam- Reisepsse kaum etwas ndern wird, knnen
men mit Joachim Eilert ebenfalls Geschftsfh- sich Bundesdruckerei und Komponentenher-
rer der Bundesdruckerei GmbH. steller die Mehrkosten aufteilen und dadurch
die Konzernbilanzen aufwerten.
Aufsichtsratsvorsitzender der authentos-Grup-
pe war Prof. Manfred Lahnstein, Mitglied der Interessant am Verhltnis zur Giesecke & Dev-
Trilateralen Kommission und ehemaliges Auf- rient GmbH ist neben der traditionellen Auf-
sichtsratsmitglied der Bertelsmann AG. Mittler- teilung der Druckauftrge auch die personelle
weile ist Heinz-Gnter Gondert Aufsichtsrats- Dimension. So wurde Matthias Merx von GDM
vorsitzender. Er ist Rechtsanwalt und Partner am 01.10.2004 Leiter der Produktion der Bun-
bei der Frankfurter Anwaltssoziett Clifford desdruckerei, am Ende desselben Monats stie
Chance sowie Steuerberater und Wirtschafts- berraschend Willi Berchtold zur - der bis dahin
prfer bei der Frankfurter PVW GmbH. Vorsitzender der Geschftsfhrung von Giese-
cke & Devrient war - und am 01.01.2005 wurde
Weitere Aufsichtsratsmitglieder sind, neben den GDM-Vertriebschef Jrg Baumgartl neuer Lei-
Arbeitnehmervertretern, der Rechtsanwalt Die- ter Technik, Marketing, Consult und Entwick-
ter Ostheimer, der Unternehmensberater Dirk lung bei der Bundesdruckerei.
Pfeil, der Rechtsanwalt Dr. Wolfgang Scholz
(ebenfalls Clifford Chance), Ministerialrat Dr. Ebenfalls brisant: auch beim sogenannten Gol-
Wolf-Dieter Schmidberger (Bundesministeri- den Reader Tool, dem Programm zum Ausle-
um der Finanzen) sowie Dr. Norbert Schraad sen der Tags bei der Grenzkontrolle, wirkten
von der Landesbank Hessen-Thringen (Stand: beide Unternehmen mit (neben der Secunet
Juni 2005). Security Networks AG, dem Bundeskriminal-
amt und der cv cryptovision GmbH).
Die Bundesdruckerei kann die zustzlichen
Einnahmen aus der drastischen Verteuerung Ein Fall fr das Bundeskartellamt?
des Reisepasses gut gebrauchen. Ein Drittel der
europaweit 14 Milliarden Euro-Scheine wur-
den in der Bundesrepublik Deutschland
gedruckt. Davon wurden 2,3 Milli-
arden Scheine bei der
Bundesdruckerei
GmbH produ-
ziert, die ande-
re Hlfte bei
der Mnch-
ner D r u-
ckerei Gie-
secke &
Devrient

35
LIVE FROM THE MINISTRY OF TRUTH
C
Besonders intensive Prfung
von Frank Rosengart <frank@rosengart.de> und
Constanze Kurz <46halbe@weltregierung.de>
Die Redaktion Die Datenschleuder. hat anllich der bevorstehenden Einfhrung der
Reisepsse Mitarbeiter der ePass-Hotline der Bundesregierung um die Beantwortung
einiger offener Fragen gebeten. Es antwortete nach nur wenigen Wochen die Pressestelle
des BMI. Mehr als ein paar Copy&Paste-Textblcke konnte sie sich nicht abringen.
1. Frage: abdrcke im RF-Chip abzuspeichern. Die Spei-

cherung der biometrischen Merkmale erfolgt in
Obwohl es bisher keine verabschiedete ICAO- einem zerti zierten Sicherheitschip mit kryp-
Spezi kation fr den Zugriff auf die erweiter- tographischem Koprozessor und kontaktlosem
ten biometrischen Daten (Finger, Iris) gibt, wird Interface (RF-Chip), der in den Reisepass inte-
mit der Einfhrung der ersten Stufe bereits griert wird.
begonnen. Was passiert, wenn es keine zufrie-
denstellende Lsung gibt? Wird dann die Daten- Ein unbemerktes Auslesen der biometrischen
schutz-unfreundliche Variante (Vollzugriff auf Daten wird durch einen effektiven Zugriffs-
alle Felder) gewhlt? Oder wird der ePass in der schutz ausgeschlossen. Datenschutz und Daten-
ersten Stufe belassen? sicherheit sind damit gewhrleistet. In der ers-
ten Phase, also bei Integration des digitalen
Antwort BMI: Gesichtsbilds in den ePass, wird der Zugang zu
den Bild-Daten im Chip nur ber das vorherige
Internationale Standards fr die Psse optische Auslesen der maschinenlesbaren Zone
werden durch die ICAO deniert. Die EU mglich sein.
hat sich bei Erla der technischen Anhnge
zur EG-Verordnung ber Normen fr Fr die zweite Phase, d.h. nach Integration der
Sicherheitsmerkmale und biometrische Daten Fingerabdrcke, wird ein zustzliches krypto-
in den von den Mitgliedsstaaten ausgestellten graphisches Protokoll fr den Zugriff auf diese
Pssen und Reisedokumenten daran orientiert. Daten verwendet. Durch die Integration von
Die Standards der ICAO wurden insbesondere kryptographischen Sicherheitsmerkmalen, wie
dort von der EU fortgeschrieben, wo die z.B. einer digitalen Signatur ber die gespei-
europischen Grundstze des Datenschutzes cherten Daten, wird das Sicherheitsniveau der
ein hheres Sicherheitsniveau erforderlich Reisepsse bedeutend erhht. Gleichzeitig wird
machen, so z.B. im Falle der Bestimmung ber kryptographische Mechanismen das unbe-
der kryptographischen Verschlsselung der
rechtigte Auslesen bzw. das Abhren der ber-
Fingerabdrucksdaten (sogenannte Extended
tragenen Daten der RF-Chips wirkungsvoll ver-
Access Control).
hindert (Basic Access Control und Extended
Gem der EG-Verordnung sind als erstes bio- Access Control). Wir arbeiten nicht mit zufrie-
metrisches Merkmal das Gesichtsbild und denstellenden Lsungen, sondern wir realisie-
als zweites Merkmal Fingerabdrcke zu spei- ren sichere und technisch perfekte Lsungen.
chern. In den ab November 2005 ausgestell-
ten deutschen Reisepssen wird zunchst nur Kommentar der Redaktion:
das Gesichtsbild, das auch als Lichtbild im Pa
abgedruckt ist, im RF-Chip gespeichert. Fr Schade nur, da noch niemand diese Lsun-
das Jahr 2007 ist vorgesehen, auch die Finger- gen im Detail kennt. Technisch perfekte Sys-

teme hat die Bundesregierung ja schon bei 3. Frage:

der LKW-Maut und bei der Bundesanstalt fr
Arbeit realisiert. Was bedeutet also technisch Warum sollte der ePass in Deutschland die
perfekt? In jedem Fall bedeutet es leider nicht Hlfte bzw. ein Drittel von dem kosten, was ver-
zwingend datenschutzfreundlich. Die Frage gleichbare Psse im Ausland kosten (Deutsch-
danach, welche Anforderungen seitens der Bun- land: 59 Euro, Schweiz: 250 SFr)? Wo kann
desregierung an die Technik gestellt werden, ich nachlesen, wie hoch die jeweiligen Kosten
bleibt unbeantwortet. Ebenso die Frage, was sie fr das Enrolment, den Pa selbst, die Gerte
machen wollen, wenn es mit ihrer geplanten an den Grenzen und fr den Betrieb der Infra-
PKI nicht klappen sollte. Eine globale PKI gilt struktur (CA etc.) sind? Wie aufwendig ist die
bisher schlielich als illusorisch. Schulung des Personals in den Meldestellen?
2. Frage: Antwort:
Welchen Lndern auerhalb Europas wird Um Ihre Annahmen richtigzustellen, weise ich
Deutschland die erweiterten biometrischen auf folgendes hin: Bei der Gebhrenbemessung
Daten anvertrauen und was genau sind die Kri- wurde darauf geachtet, da sich Deutschland
terien fr einen Lesezugriff auf die Rohdaten? auch knftig im unteren Bereich vergleichba-
rer europischer sowie internationaler Lnder
Antwort: be ndet. Smtliche technischen Anforderun-
gen auf europischer und internationaler Ebene,
Die gespeicherten Daten zum Gesichtsbild kn- Datenschutz und -sicherheit, wurden und wer-
nen weltweit unter den in Antwort 1) genannten den selbstverstndlich bercksichtigt.
Voraussetzungen gelesen werden. Die Daten
der Fingerabdrcke sind durch ein zustzliches Die Gebhren setzen sich zusammen aus den
kryptographisches Protokoll geschtzt. Welche Produktionskosten des Passes (Pabuch, die
Lnder auerhalb der EU auf die Daten der Fin- Herstellung und Integration der Chips sowie
gerabdrcke zugreifen, kann deshalb vom aus- das Speichern der biometrischen Merkmale auf
stellenden Staat geregelt werden. dem Chip), den Kosten der zur Erfassung und
Qualittssicherung der biometrischen Merkma-
Kommentar der Redaktion: le notwendigen Ausstattung in den Pabehr-
den (QS-Sicherung der Lichtbilder, Hard- und
Welche Lnder auerhalb der EU Zugriff auf Software zur Erfassung und QS der Fingerab-
die Daten bekommen, war aber grade die Frage. druckdaten, ePass-Lesegerte), den Schulungs-
Offensichtlich gibt es hier noch keine Antwor- kosten fr die Mitarbeiter in den Pabehrden
ten. Alptraum der Datenschtzer drfte ein sowie der Verwaltungsgebhr.
Zugriff auf die Daten durch Lnder wie z.B.
die USA sein, wo die gesetzlichen Regelungen Die Lesegerte an den 419 Grenzbergangs-
oder die bliche Praxis stark von den EU-Stan- stellen werden im Rahmen von Ersatzbeschaf-
dards abweichen. Auerhalb der EU sind die fungen erneuert, die unabhngig von der Ein-
Datenschutzbestimmungen meist weit weni- fhrung des ePass sind. Diese Gerte verfgen
ger restriktiv als hierzulande. Biometrischen auch ber eine Funktion zum Auslesen von
Datensammlungen ohne jegliche zeitliche digital gespeicherten Fotographien auf RF-
Beschrnkungen stnde in vielen dieser Lnder Chips. Bei der Ausstattung mit Lesegerten ent-
nichts entgegen. stehen keine zustzliche Kosten.
Die nderungen, die sich fr die Pabehrden

zum 1. November 2005 ergeben, sind gegenber
dem derzeitigen Verfahren minimal. Daher ist
nur ein geringer Schulungsaufwand notwendig.

37
Fr die Einfhrung der 2. Stufe (Integration der 4. Frage:

Fingerabdrcke in den Chip) zum 1. Mrz 2007
werden die Mitarbeiter in den Pabehrden im Auf Ihrer Internetseite steht: Fr Fingerabdr-
Zuge des Rollouts der Hard- und Software zur cke als zweites Merkmal sprach die hohe Pra-
Erfassung und Qualittsprfung der Fingerab- xistauglichkeit der hierzu entwickelten Abnah-
druckdaten geschult werden. me- und Erkennungssysteme. Welche Tests im
realen Betrieb gibt es dazu und wo kann man
Kommentar der Redaktion: diese Ergebnisse nachlesen? Wie wird der ein-
fachen Flschbarkeit von Fingerabdrcken
Das wrde ja bedeuten, da entweder die Tech- sowohl beim Enrolment als auch bei der Kon-
nologie in Deutschland um ein Vielfaches preis- trolle begegnet? Mit welchen Manahmen ms-
werter ist als in anderen Staaten oder da diese sen Personen rechnen, deren Fingerabdruck
Staaten ihre Brger abzocken. Beides ist natr- nicht als der gespeicherte erkannt wird?
lich nicht der Fall. Vielmehr scheut sich das BMI
schlicht, die Gesamtkosten zu beziffern. Antwort:
Da die Lesegerte an den Grenzen im Rahmen a) Die Ergebnisse der Labor- und Feldtests der
von Ersatzbeschaffungen erneuert werden, Studie BioP II werden vom BSI verffentlicht
wrde entweder bedeuten, da auf eine auto- (www.bsi.bund.de).
matisierte Gesichtsbild- und Fingerabdruckve-
ri kation verzichtet wird. Vielleicht wird aber b) und c) Die Aufnahme biometrischer Merk-
absichtlich zu den wirklich anfallenden Kosten male in Reisepssen dient dazu, die sichere
geschwiegen wird. Die anfallenden Ersatzbe- Identizierung von Personen durch das Grenz-
schaffungskosten werden wohl im Etat der Bun- kontrollpersonal zu untersttzen. Davon unab-
despolizei versteckt. hngig kontrolliert die Bundespolizei stets nach
Schengenstandard.
Die bisherigen Lesegerte fr die MRZ in Reise-
dokumenten kosten je ca. 1500 Euro. Ein auto- Kommentar der Redaktion:
matisches Gesichtsbild- und Fingerabdrucksys-
tem drfte pro Gert ein Vielfaches kosten. Der Die BioP-II-Studie wurde zwischenzeitlich tat-
TAB-Bericht spricht brigens von Gesamtkos- schlich verffentlicht - und nach krzester Zeit
ten in Hhe von einmalig 670 Millionen Euro wieder von der BSI-Webseite entfernt. Einige
und jhrlich etwa 610 Millionen Euro an laufen- Tage spter wurde eine leicht vernderte Ver-
den Kosten. sion verffentlich. Weiterhin geheimgehalten
wird allerdings die Studie zur berwindungssi-
Da die Kosten fr die Schulung des Personal cherheit der biometrischen Systeme. Auch gibt
nur gering seien, widerspricht den Ergebnissen die Pressestelle zu der Frage nach der einfachen
der BioP-II-Studie. Fr den der Studie zugrun- Flschbarkeit keinen Kommentar ab. Damit ist
deliegenden Feldtest waren nmlich umfang- eine ffentliche Diskussion ber den Sicher-
reiche Personalschulungen ntig. Auerdem heitsgewinn unmglich.
muten kostspielige Umbauten im Umfeld der
Gesichtserkennungssysteme vorgenommen 5. Frage:
werden, um deren Anforderungen an die Licht-
verhltnisse zu erfllen. Auch solche Kosten Worauf beruht die Annahme, da Systeme zur
gehren zu einer serisen Kalkulation. Gesichtsbild-Verifikation ausgereift und vor
allem praxistauglich sind? Die BioFace-Studie
des BSI kommt dabei ausdrcklich nicht zu
dem Ergebnis, da die getesten Verfahren pra-
xistauglich sind (vgl. http://www.heise.de/new-
sticker/meldung/41289 )

Antwort: standard. Wenn der Chip unbrauchbar ist,

wird mit den klassischen Verfahren die Identitt
Die Studie BioP II weist fr den Bereich der geprft, wobei dies sicher Anla zu besonders
Gesichtserkennung erheblich bessere Erken- intensiver Prfung wre.
nungswerte auf. Diese Ergebnisse konnten mit-
tlerweile durch neue Algorithmen nochmals Kommentar der Redaktion:
verbessert werden. Die Nutzungsqualitt des
Gesamtsystems wurde damit deutlich erhht. Eben darum sollte es die Mglichkeit geben,
defekte Psse umtauschen zu knnen. Wer
Kommentar der Redaktion: mchte schon stndig einer besonders inten-
siven Prfung bei der Grenzkontrolle ausge-
Tatschlich hat sich die Erkennungsleistung setzt sein, nur weil der Chip versagt? Und mg-
im Laufe der Zeit verbessert, wenn auch nicht licherweise wird das gar nicht so selten der Fall
erheblich. Von einem technisch perfekten sein. Wie wird wohl eine besonders intensive
System sind aber alle Verfahren laut der Studie Prfung aussehen, die ber den Vergleich von
meilenweit entfernt. Eine der Hauptforderun- Foto, Augenfarbe und Krpergre hinausgeht?
gen der BioP-II-Studie ist es, da die Benutzbar-
keit der Systeme deutlich verbessert werden soll- Die Frage nach dem Mehr an Sicherheit durch
te. Praxistauglich sind die Verfahren also noch den Chip bleibt natrlich unbeantwortet. Span-
immer nicht. nend wird, wieviel zustzliche Arbeit sich das
Grenzkontrollpersonal auf halsen lassen wird,
6. Frage: ehe es protestiert gegen die praxisuntaugliche
Technik oder aber schlicht durchwinkt. Jrg
Wird der Pa kostenlos umgetauscht, wenn der Radek von der Gewerkschaft der Polizei uer-
RFID-Chip zum Beispiel durch mechanische te bereits seinen Ummut ber den zeitlichen
Belastung unbrauchbar geworden ist? Mehraufwand an den Grenzen.
Antwort: 8. Frage:
Ein Pa mit unbrauchbarem/defektem RF-Chip Knnen Sie eine gesundheitliche Gefhrdung

ist weiter ein gltiges Reisedokument. von Grenzbeamten vollstndig ausschlieen,
wenn diese tagtglich der Funkstrahlung, die
Kommentar der Redaktion: ja auch gepulst moduliert ist, ausgesetzt sind?
Durch welche Studie wird das belegt, welche
Da sind wir ja beruhigt. Da der Chip nmlich Gerte sind auf ihre Abstrahlung hin getestet
zehn Jahre hlt, ist nicht allzu wahrscheinlich. worden?
7. Frage: Antwort:
Welchen Nutzen hat der elektronische Pa, Die gesetzlich vorgegebenen Richtwerte fr den
wenn jeder potentielle Terrorist seinen Chip im Strahlenschutz werden von allen im Einsatz
Pa unbrauchbar macht? bendlichen RFID-Systemen eingehalten.
Antwort: Kommentar der Redaktion:
Die Aufnahme biometrischer Merkmale in Rei- Eine konkrete Studie oder Mewerte gibt es
sepssen dient dazu, die sichere Identizierung also nicht. Davon abgesehen sind noch keinerlei
von Personen durch das Grenzkontrollperso- RFID-Systeme im Einsatz be ndlich, hchs-
nal zu untersttzen. Davon unabhngig kon- tens im Labor- oder Testbetrieb. Die Beschaf-
trolliert die Bundespolizei stets nach Schengen- fung der Gerte beginnt gerade erst.

39
9. Frage: Die ausreichend getestete technische Lsung

ist beispielsweise fr die Extended Access Con-
Auer Herrn Schily ist eigentlich allen Behr- trol bis heute nicht endgltig spezi ziert. Die
den die Tatsache bekannt, da wirkliche Pafl- EU-Verordnung fr die neuen Psse beschreibt
schungen nicht praxisrelevant sind - vielmehr hingegen vor allem herstellungstechnische
sind Schwachstellen beim Personal in den Mel- Sicherheitsmerkmale. Offensichtlich auch aus
destellen das Problem. Warum hat Deutschland wirtschaftlichen Interessen wurde die Ent-
auf EU-Ebene die elektronischen Psse durch- wicklung elektronischer Dokumente vorange-
gepeitscht, obwohl die Technik alles andere als trieben (Empfehlung der European Commissi-
ausgereift ist, die Kosten unklar sind und zum on, Biometrics at the Frontiers: Assessing the
derzeitigen Stand kein Sicherheitsgewinn brin- Impact on Society ftp://ftp.jrc.es/pub/EURdoc/
gen? eur21585en.pdf), in Deutschland protiert die
authentos Gruppe und ihre Tochter, die Bundes-
Antwort: druckerei GmbH, von den biometrischen Ps-
sen, da keine neuerliche Ausschreibung fr
Paflschungen sind entgegen Ihrer Annahme die Herstellung gemacht wurde. Wie selbstver-
durchaus praxisrelevant. Zwar verfgt Deutsch- stndlich erhielt die Bundesdruckerei den luk-
land schon heute ber einen der flschungs- rativen Auftrag. Begrndet wird dies mit einem
sichersten Dokumententypen der Welt, doch dreijhrigen Rahmenvertrag. (Siehe dazu auch
bereits innerhalb der Europischen Union exis- den Hintergrundbericht Eigentumsverhltnis-
tiert ein starkes Geflle der Sicherheitsstan- se Bundesdruckerei in dieser Ausgabe.)
dards. Mit der Einfhrung biometriegesttzter
Psse wird eine hohe Flschungssicherheit in Da die Kosten nicht, wie angegeben, bekannt
allen EU-Staaten erzielt. sind, zeigt der Entschlu des Bundesrates, sich
von der Bundesregierung eine detaillierte Kal-
Die technische Lsung ist ausreichend getes- kulation der Kosten der Zweiten Verordnung
tet. Die Kosten sind bekannt. Der Sicherheitsge- zur nderung parechtlicher Vorschriften
winn besteht neben der erhhten Flschungssi- vorlegen zu lassen. (Bundesrat Drucksache
cherheit der Reisedokumente in einer erhhten 510/1/05, beschlossen in der 813. Plenarsitzung)
Sicherheit vor dem Mibrauch der neuen Psse Von Beginn an verweigert das BMI eine detail-
durch andere Personen als den eigentlichen lierte Kostenaufstellung und fhrt die Parla-
Painhaber: Der Chip erlaubt eine elektroni- mentarier wie auch die Steuerzahler konse-
sche berprfung, ob der Nutzer des Doku- quent an der Nase herum.
ments tatschlich der Painhaber ist.
Noch ein Wort zu dem Chip: dieser erlaubt bri-
Kommentar der Redaktion: gens keine elektronische berprfung, ob der
Nutzer des Dokuments tatschlich der Painha-
Jrg Radek, der seit vielen Jahren bei der Bun- ber ist. Dies kann einzig allein der Grenzbeam-
despolizei (frher Bundesgrenzschutz) arbeitet, te machen (wie ja mehrfach hier erwhnt).
beziffert Paflschungen auf wenige hundert
im Jahr. Deren Qualitt sei berwiegend unter- 10. Frage:
durchschnittlich, gute Totalflschungen hchst
selten. Es wre fr Kriminelle auch kaum sinn- Knnte es sein, da durch die vermeintlich
voll, sich die Mhe zu machen, mittels Beste- 100% sicheren Psse die Grenzbeamten ihr
chung kann man da einiges Geld sparen. Diese persnliches Gespr zurckfahren und nur
Zahlen erklren jedenfalls nicht, warum die noch der Technik vertrauen? Wird dadurch die
deutschen Pabesitzer mit ihren bereits hochsi- Gefahr nicht viel grer? Die Argumentation,
cheren Dokumenten ihre digitalen Gesichtsbil- da die Technik nur untersttzend sein soll,
der und ihre Fingerabdrcke abgeben sollen. ist dabei nicht hilfreich, da der Gewhnungsef-
fekt ja trotzdem eintritt.

Antwort: - RFID-gesttzte Sichtvermerke (Visa) in mei-

nem Reisepa habe?
Die Aufnahme biometrischer Merkmale in Rei-
sepssen dient dazu, die sichere Identizierung Antwort:
von Personen durch das Grenzkontrollperso-
nal zu untersttzen. Davon unabhngig kon- ber die Einfhrung biometriegesttzter Visa
trolliert die Bundespolizei stets nach Schengen- ist auf europischer Ebene noch keine Entschei-
standard. dung getroffen worden. Die EU wird ein zentra-
les Visum-Informationssystem einrichten, in
Kommentar der Redaktion: dem die Lichtbilder und Fingerabdrcke aller
Visa-Antragsteller gespeichert werden.
Ja, das hatten wir jetzt schon dreimal... Es ist
klar, da ein rot blinkender Bildschirm die Auf- Kommentar der Redaktion:
merksamkeit der Grenzbeamten erregen wird.
Aber wird ein freundliches grnes Signal nicht Da ich als deutscher Brger ein EU-Visum in
auch nach einer gewissen Gewhnungszeit zur meinem Reisepa habe, ist wohl eher unwahr-
Folge haben, da sie nicht mehr so genau hin- scheinlich. Vllig unklar ist, ob der RF-Chip im
sehen? Pa mit einem RF-Visa auereuropischer Ln-
der harmoniert. Aber sollten sich die Chips ins
11. Frage: Gehege kommen, bleibt der Pa sicher weiter
gltig. Man mu ja auch wirklich nicht dauernd
Funktioniert das Auslesen per Funk auch noch verreisen...
zuverlssig, wenn ich - wie zuknftig geplant

41
MUSS MAN IHNEN DENN ALLES AUS DER NASE ZIEHEN?
C
Die Welt von morgen: iPass
Maha <maha@elitas.com>
Wir drucken hier das Interview ab, das unsere Korrespondentin Cornelia C. Cortschloss
mit der Bundesministerin fr Inneres, Justiz und Heimatschutz Gertrud Backstein ber
die am 1. Juni 2017 bevorstehende Einfhrung des neuen Bio-iPasses fhrte.
CCC: Frau Backstein, in wenigen Tagen, nm- CCC: Welchen Vorteil hat dann diese Technik,
lich am 1. Juni 2017, soll der neue iPass der zweiten wenn nur der Tod des Trgers festgestellt werden
Generation, der Bio-iPass, obligatorisch eingefhrt kann?
werden. Welche Neuerungen bringt er mit sich?
GB: Wir konnten in der Vergangenheit Flle
GB: Nach der breiten Akzeptanz, auf die die beobachten, in denen abgetrennte Krperteile
erste Generation des implantated Passports, mit dem Chip zur Identi kation verwendet wur-
kurz iPass getroffen ist, lassen wir das erfolgrei- den. Dies wird mit dem neuen Bio-iPass nicht
che Konzept eines in den Krper seines Trgers mehr mglich sein.
implantierten Reisepasses fast vllig unvern-
dert. Dennoch gibt es eine sehr wichtige Ver- CCC: Aber die Presse berichtete doch unlngst,
besserung: Der Chip bezieht auch Informatio- da ein Trger des neuen iPasses beim Grenzber-
nen aus den Krperzellen seines Trgers, soda tritt festgenommen wurde, weil der iPass anzeigte,
im Todesfall ein sogenanntes Death Bit gesetzt da er schon tot sei.
wird und das berwachungsgert feststellen
kann, da der Trger verstorben ist. Leider ist GB: Wie Sie wissen, erlag die fragliche Person
es noch nicht mglich, den Chip auch zur Kran- den Verletzungen, die sie sich bei ihrer Fest-
kendiagnostik oder fr Alkoholkontrollen zu nahme zugezogen hatte. Deshalb konnte nicht
verwenden. Dies ist das Ziel zuknftiger Ent- ermittelt werden, ob
wicklungen. ber-

haupt ein Fehler vorlag. Ich gehe jedoch nach CCC: Die Akzeptanz des iPasses ist gesunken, seit
wie vor davon aus, da der iPass nach seiner er obligatorisch in die Nasenscheidewand implan-
Implantation nicht mehr verndert werden tiert wird. Wollen Sie an der umstrittenen Lsung
kann. festhalten?
CCC: In der Vergangenheit wurde kritisiert, da GB: Die Implantation in die Nasenscheidewand
die Daten auf dem Chip unzureichend verschlsselt ist ohne uere Narben mglich, was einem ver-
sind. Wird sich mit dem neuen iPass-Chip auf die- breiteten Wunsch entgegenkommt. Wir sehen
sem Gebiet etwas ndern? es als notwendig an, da der Chip in einem
unverdeckten Bereich des Gesichts implantiert
GB: Nein, der bisherige Verschlsselungsstan- ist, da somit keine Mglichkeit besteht, ihn mit
dard bleibt bestehen. Inzwischen wird der iPass Isolationsmaterial zu verdecken und darber
fr viele Sekundranwendungen zur Identi ka- einen anderen Chip anzubringen. Auerdem
tion verwendet; er ist Kreditkarte, Autoschls- ist die Nasenscheidewand gro genug, um auch
sel, Payback- und Gesundheitskarte zugleich. noch zum Beispiel einen Chip mit einem iVi-
Das macht ja gerade seine groe Akzeptanz aus! sum anzubringen.
Wir wollten schon aus Kostengrnden dar-
auf nicht verzichten, so viele Partner wie mg- CCC: Ist es nicht mglich, das iVisum auf dem
lich in das Unternehmen iPass einzubinden. iPass zu integrieren?
Die Bevlkerung will eine allgemeine Nutz-
barkeit des iPasses. Das hier die Bedenken der GB: Leider nicht, da andere Staaten wie zum
Datenschtzer einmal zurcktreten mssen, ist Beispiel die USA auf eine vllig andere Techno-
bedauerlich, aber unvermeidlich. logie setzen. Als sich Bayern nach der Aufnah-
me der Trkei in die EU aus dieser zurckzog
CCC: Datenschutzverbnde wie der Chaos Com- und ein US-Bundesstaat wurde, war es ntig,
puter Club oder auch die Datenschutzbeauftragte eine schnelle Lsung fr die Visumsfrage zu
haben doch... nden, um Grenzformalitten zu vermeiden,
denn eine neue deutsch-deutsche Grenze soll-
GB: Ach, kommen Sie mir doch nicht mit die- te unbedingt vermieden werden. Daher wurde
sen ewig gestrigen Bedenkentrgern. Ange- das US-amerikanische iVisum auch in Europa
sichts der Bedrohung durch den Terror sind in groer Zahl implantiert.
solche Bedenken lebensge-
fhrlich und stehen dem
Auf bau eines modernen,
brokratiefreien Staats
entgegen.

43
CCC: Als sich die Niederlande den USA als Bun- CCC: Der iPass wird aber auch in vielen umstrit-
desstaat anschlossen, wurde kein spezielles iVisum tenen Bereichen eingesetzt; ich denke da an DRM,
eingefhrt. Anwesenheitskontrollen am Arbeitsplatz oder in
Schulen und Universitten.
GB: Bayern ist ja nicht Holland! Wir woll-
ten nicht ganz Deutschland auf US-Standards GB: Wissen Sie, DRM war in dem Augenblick
umstellen, zumal dieser Standard keinerlei Ver- akzeptiert, wo es bequem mit dem iPass umge-
schlsselung vorsieht. Den glsernen Brger setzt werden konnte. Raubkopierer gibt es seit-
wollte hierzulande niemand. her nicht mehr; auerdem ist die Arbeitslo-
sigkeit zurckgegangen, seit Schwarzarbeit
CCC: Aber mit dem iVisum fr Bayern ist doch praktisch unmglich geworden ist, weil jeder
dieser Standard neben dem deutschen auch sehr Arbeiter sofort identiziert werden kann. Ich
verbreitet. werte das als Erfolg unserer Politik!
GB: Niemand ist verpichtet, sich ein iVisum CCC: Aber die Gegner des iPasses beklagen den
implantieren zu lassen... totalen Verlust der Privatsphre!
CCC: ...einen iPass aber doch! GB: Auch seine Gegner nutzen seine Vortei-
le! Ich denke, da von einem Verlust der Privat-
GB: Sicher! Der iPass ist ja schon in der ersten sphre gar keine Rede sein kann: Viele Compu-
Generation seit ber einem Jahr obligatorisch, terprogramme erlauben nur noch Benutzern
und das ist auch gut so! Allein der Rckgang der mit registriertem iPass Zugang zu persnlichen
Kriminalitt ist enorm! Die Vereinfachung von Daten. Der Schutz persnlicher Daten ist doch
Kontrollen ist fr die Brgerinnen und Brger ein unbestreitbarer Vorteil.
sehr bequem. Nicht mal bei Verkehrskontrollen
mu mehr angehalten werden! CCC: Es sei denn, jemand kann die Identitt eines
iPasses stehlen.
CCC: Aber auch die Zahl der Kontrollen hat sich
vervielfacht, ja potenziert! Wird Deutschland zum GB: Das ist schon technisch unmglich.
berwachungsstaat? Geflschte iPsse sind und bleiben Science Fic-
tion!
GB: Nun lassen Sie die Kirche mal im Dorf,
Frau Curtsschluss! Unser iPass ist
ein Exportschlager. Inzwischen wird
er weltweit eingesetzt und ist zum
Synonym von Reisefreiheit, ja von
Freiheit schlechthin gewor-
den. Kontrollen waren ges-
tern! Heute erledigen das unse-
re Autobahn-Mautbrcken
gleich mit. Und wenn Sie
am Strand Ihren Drink
bezahlen wollen, ms-
sen Sie nicht mehr Ihre
Kreditkarte aus dem
Bikini ziehen. Ihr Wunsch
wird Ihnen buchstblich von den
Augen oder besser von der Nase abge-
lesen. Das ist doch eine Freiheit, die sich
jeder nehmen will!

#87
C

Die Datenschleuder Nr. 87 (Chaos Computer Club) PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Die Datenschleuder Nr. 87 (Chaos Computer Club) PDF

Hochgeladen von

Copyright:

Verfügbare Formate

ISSN 0930-1054 2005 2,50 EUR

Postvertriebsstck C11301F die datenschleuder. #87

Die Datenschleuder Nr. 87 Redaktion dieser Ausgabe

Dirk Engling <erdgeist> und Tom Lazar <tomster>

die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 1

Wirtschaftsfrderung ohne Rcksicht nationalen Grenzen aus seinem Pa ausgelesen

2 2 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 3

4 4 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 5

6 6 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 7

Die Verpichtung jeden Brgers, seine biometrischen Daten in Ausweispapieren anzuge-

8 8 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 9

10 10 die datenschleuder. #87 / 2005

Authentifikation: Daten explizit erlaubt werden. Das Keymanage-

12 12 die datenschleuder. #87 / 2005

ICAO (International Civil Aviation OCR (Optical Character Recognition):

MRTD (Machine Readable Travel RF-Chips sind winzige Transponder. Sie

die datenschleuder. #87 / 2005 13

Zum Erstellen einer Fingerspitzenattrappe

Da wir uns jedoch auf Hausmittel beschrnken

Um den Dampf auf dem Fingerabdruck zu kon-

14 14 die datenschleuder. #87 / 2005

Fr die weitere Bearbeitung am Rechner kann

Die Masse, in die wir das Relief prgen, braucht

Nun kann am Bildbearbeitungsprogamm die

Um die optimale Viskositt zu erhalten, kann

die datenschleuder. #87 / 2005 15

16 16 die datenschleuder. #87 / 2005

Introduction Organization of Data

die datenschleuder. #87 / 2005 17

18 18 die datenschleuder. #87 / 2005

transport level security can be somewhat com- Crypto Algorithms

The Public Key Hierarchy DSA 1024/160 2048/224 3072/256

die datenschleuder. #87 / 2005 19

20 20 die datenschleuder. #87 / 2005

Aufbau der Studie konform. Schade, war die ICAO-Konformitt

die datenschleuder. #87 / 2005 21

22 22 die datenschleuder. #87 / 2005

weise zu Tage. tung zu geben, ist also absolut wrtlich zu

me wiesen nicht einmal eine Lebenderkennung hochgradig unrealistisch. Normale Reisende

24 24 die datenschleuder. #87 / 2005

Die ohnehin drftigen Ergebnisse der

die datenschleuder. #87 / 2005 25

26 26 die datenschleuder. #87 / 2005

die Systeme im harten Flughafenalltag plagen Verarbeitungszeit

die datenschleuder. #87 / 2005 27

28 28 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 29

Technical Report CCRA-compliant certication body according to

30 30 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 31

32 32 die datenschleuder. #87 / 2005

Eine Druckerei fr Ausweise sollte eigentlich gewissen Anforderungen an Seriositt gen-

Auf Beschlu des Bundeskabinetts in der 12.

Im November 2000 verkaufte der Bundes-

die datenschleuder. #87 / 2005 33

34 34 die datenschleuder. #87 / 2005

die datenschleuder. #87 / 2005 35

1. Frage: abdrcke im RF-Chip abzuspeichern. Die Spei-