Britischer Forscher knackt RFID-Ausweis

EnterpriseNetzwerke

Britische Zeitungen berichten von einem Hack der neuen RFID-Pässe, die die britische Regierung seit kurzem ausgibt.

Den Hack habe ein Sicherheitsforscher mit einem handelsüblichen programmierbaren Lesegerät durchgeführt. Der Forscher habe vertrauliche Daten aus dem Chip herausgeholt. Für diesen Einbruch sei kein direkter Kontakt mit einem Lesegerät nötig gewesen, heißt es.

Bedenklich sei das, weil der Hack keinerlei Spuren hinterlassen habe, warnt der Forscher. Ein Opfer, dessen Daten aus einem RFID-Ausweis, den die britische Regierung seit etwa einem Jahr ausgibt, entwendet werde, könne keine Anzeige erstatten, weil dieser Datenklau von dem Ausweisbesitzer nicht bemerkt werde. Der Test sei an einem Ausweis durchgeführt worden, der noch im Versandumschlag der Regierung original verpackt war.

An Grenzübergängen liest ein Terminal die Daten aus dem Chip aus. Diese Daten jedoch sind verschlüsselt. Das Lesegerät verfügt über den Schlüssel, den ein Algorithmus aus den Informationen auf dem Pass zusammensetzt.

Anschließend wird der Ausweis gescannt. Stimmt der Schlüssel aus dem Chip mit einem angegebenen Wert auf dem Ausweis überein, schaltet das Terminal die Informationen frei und gleicht sie mit den maschinenlesbaren Daten auf dem gedruckten Ausweis ab. So sollen die Pässe fälschungssicher gemacht werden.

Der Forscher habe den Standard ICAO 9303 analysiert, der allen Lesegeräten der International Civil Aviation Organization (ICAO) zu Grunde liegt und anschließend den Prozess nachgebildet. Gleichermaßen habe er auch den Verschlüsselungsalgorithmus geknackt. So ließen sich die Daten aus dem Ausweis entschlüsseln.

Die britische Regierung plant, neben einem Foto, Informationen zum Ausweis und einer Sicherheitstechnologie, die das Überschreiben dieser Informationen verhindern soll, auch noch biometrische Daten wie zum Beispiel Fingerabdrücke in den RFID-Chips zu speichern.