Habe gerade was in den Gulli News gelesen, "Elektronischer RFID-Pass in fünf Minuten geknackt" omfg! Das darf doch nicht war sein, und das ist auch noch drahtlos möglich!!!
Aber lest selbst:
guckstu hier (http://www.gulli.com/news/elektronischer-rfid-pass-in-2006-12-18/)
Wie kann man nur so mit den Daten umgehen...


Dazu passt vllt noch dieses Gegenbespiel... http://www.gulli.com/news/verschluesselung-ermittler-2006-12-19/

ich weiss net mehr was ich dazu sagen soll, ... das man es nichtmal schafft so ein ollen Reisepass anständig zu sichern, aber man HDDs mal eben verschlüsseln kann das diese im Prinzip ohne das PW nicht mehr zugänglich sind...

/edit
Nachtrag, ich bekomm das kotzen...
http://www.gulli.com/news/nrw-laesst-die-polizei-2006-12-20/

Ich geh einfach mal davon aus das der garnicht sicher sein soll. Die Möglichkeiten dazu sind da. Sowas wird aber nur angewand wenn die wirklichen Herrscher unser Geselschaft bedroht sind, die Großkonzerene.

Das So nie Urteil mit den Rootkits ist ja mal wiedeer ein echter Witz. 175 Doller für Computersabotage usw...

Und den Stein wird keiner beim weiterrollen hindern.
Dafür sind zuviele Machtfaktoren an durchsetzen des "gläsernen Menschen" interessiert.

der elektronische pass dient meiner meinung nach nur dazu den einreiseländern die gespeicherten daten (mit stillschweigender zustimmung des einreisenden) zu geben und nebenbei der bundesdruckerei einen großauftrag über jahre hinweg zu beschaffen.
die sicherheit der daten gegen mißbrauch stand noch nie auf der agenda "e-pass".
entsprechend stark sind die daten geschützt und darann soll sich auch vorerst nichts ändern.
neben den geometrischen gesichtsprofildaten,welche für vollautomatische kameraerfassungs- und indentifikationssysteme notwendig sind kommt ende 2007 noch der komplette satz fingerabdrücke dazu.
ob das reicht mag angesichts der datensammelwut allerortens bezweifelt werden.
so würde es mich nicht wundern wenn augeniris und dns-code auch noch im verlauf der nächsten jahre hinzukommen.

das alles trägt man dann per rfid jederzeit auslesbar im ausland mit sich was ganz bestimmt nur zum vorteil des passinhabers sein kann,word!
otto extrascharf (welcher als belohnung für das gesetz heute im aufsichtsrat der firma sitzt,welche die chips entwickelt und vermarktet) hat es schließlich versprochen.

Leute,
das ist doch erheblih FUD belastet hier.
Der Reisepass SOLL doch ausgelesen werden können.
Meine EC Karte kann ich auch kopieren, ebenso wie meine Kreditkarte. Warum schreit hier keiner?

Sicherlich, die Aussage, dass die Verwendung von RFID Komponenten die Sache "sicherer" macht, ist definitiv nicht haltbar.
Aber "unsicherer" macht sie ihn auch nicht.

Und, um mal ein wenig zu flamen: Leute, wie im zweiten Link, die sich nun fragen, wie man Daten des Bundestrojaners an FWs vorbei nach draußen schmuggelt, sollten sich

a) Nicht Sicherheitsexperten nennen und
b) Keine derartigen Artikel schreiben

Das geht alles, nur sind die Lösungen zur Abwechslung mal nicht dumm und von jedem handhabbar.

Gruß,
QFT

Der Reisepass SOLL doch ausgelesen werden können.
QFT
ja natürlich aber doch nicht von jedermann im vorbeigehen.
offiziell gibt es übrigens keinen einzigen fall bei welchem ein alter deutscher reisepass erfolgreich gefälscht wurde.
das macht in zu den fälschungssichersten dokumenten überhaupt.
schilly hat dazu übrigens nie stellung bezogen und die gutachten über die sicherheit der neuen pässe werden immer noch unter verschluß gehalten.
offenbar sind diese wohl nicht sehr positiv was die "verbesserungen" anbelangt.


Meine EC Karte kann ich auch kopieren, ebenso wie meine Kreditkarte.
QFT
du kannst den magnetstreifen auslesen aber nicht die deutschen ec-karte kopieren.
die besitzen im gegensatz zu anderen ec-karten noch zusätzliche,nicht reproduzierbare sicherheitsmerkmale.
somit sind die karten nur manipulierbar was ja wohl einen wichtigen unterschied macht.
allerdings soll es im europäischen ausland auch vereinzelte automaten geben welche diese zusätzlichen merkmale nicht prüfen so das dort eine kopie angeblich durchgeht.

ja natürlich aber doch nicht von jedermann im vorbeigehen.
offiziell gibt es übrigens keinen einzigen fall bei welchem ein alter deutscher reisepass erfolgreich gefälscht wurde.
das macht in zu den fälschungssichersten dokumenten überhaupt.
schilly hat dazu übrigens nie stellung bezogen und die gutachten über die sicherheit der neuen pässe werden immer noch unter verschluß gehalten.
offenbar sind diese wohl nicht sehr positiv was die "verbesserungen" anbelangt.

Guten Morgen

Frage 1: Wie lange braucht es, einen Pass auszulesen?
Frage 2: Auf welche Distanz lässt sich der Chip auslesen?
Frage 3: Was bringt mir die Kopie, wenn ich die Daten nicht verändern kann, der Ausweis aber nur dann gültig ist, wenn Pass (Papier) und Chip (RFID) ok sind?

Zu der Sache mit dem Magnetstreifen: Diese Sicherheitstechnik wird von den Banken erst seit 2003 verwendet.
Meine EC-Karte ist älter und auch noch ein paar Jährchen gültig, ergo reicht der Kopiervorgang des Streifens aus, damit man mit einer abgefilmten PIN lustig das Konto räumen kann.

hallo q.

1: weniger als 3 sekunden
2: abhängig von der sendefrequenz und des energiespeichers des rfid zwischen 30cm und mehr als 30m.
3m sind gängig für die chips welche in konsumerprodukten versenkt werden.
3:die rfid-daten werden an einem scanner ausgelesen,in die datenbank überführt und abgeglichen,das papier wird nur noch gescannt.
die sicherheitsmerkmale des papiers können dabei kaum geprüft werden weil die erkennungsmerkmale der scannersysteme fälschbar sind.
die erkennungsquote ist angeblich so schlecht (die gutachten der regierung sind ja immer noch nicht publik) das etwa 15% selbst bei einwandfreien pässen nochmal durch beamte auf die herkömliche weise kontrolliert werden müssen.
die anderen 85% gehen ohne genaue prüfung durch was es bisher nicht gab.
die neuen pässe erreichen laut zahlreicher experten in zusammenspiel mit den bisherigen automatisierten erkennungssystemen nicht annähernd das sicherheitsniveau der alten welches zusammen mit den ungarischen pässen (so ich jetzt nicht irre) das absolute spitzenniveau weltweit darstellt.
wirklich schneller geht es auch (noch) nicht da die erkennungsquote zu gering ist.

deshalb exisitiert kein sicherheitsgewinn sondern genau das gegenteil ist der fall.
welchen anderen grund sollte es auch sonnst geben die stundien zur sicherheit der daten geheim zu haltenm wo verbesserte sicherheit doch das einztige argument für ihre einführung war?
der sicherheitsgewinn ist definetiv nicht der grund warum solche daten,welche die einreiseländer eigendlich nichts angehen,in die pässe aufgenommen wurden.

zu deiner karte,das mag ich nicht glauben.
besorg dir mal ein röntgenbild einer karte und du erkennst vielleicht das der magnetstreifen nur der veränderbare teil der karte darstellt und es noch einige einzigartige und unveränderliche weitere merkmale gibt.
das verändern der daten auf dem streifen ergibt keine neue karte sondern nur eine modifizierte alte karte.
es ist nicht möglich auf dies art eine karte zu erzeugen welche auf ein anderes konto als das originale bezogen ist.
das man den pin relativ schnell brutforcen kann ist eine andere sache und erlaubt auch nur zugriff auf das originalkonto welches der eigentümer deshalb hoffendlich schnell genug hat abräumen und sperren lassen.

alle angaben ohne gewähr!
;)

Darf ich noch eine Sache erfragen, bevor ich mein Statement abgebe: Wie lesen die Angreifer meinen Reisepass (es ist ein ePass) aus?
Reicht es, wenn der Pass in meiner Hose ist und ein Angreifer mit einem Lesegerät hinter mir steht?

Gruß,
QFT

Darf ich noch eine Sache erfragen, bevor ich mein Statement abgebe: Wie lesen die Angreifer meinen Reisepass (es ist ein ePass) aus?
Reicht es, wenn der Pass in meiner Hose ist und ein Angreifer mit einem Lesegerät hinter mir steht?

Gruß,
QFT

Laut BSI sieht die Reihenfolge für einen erfolgreichen Scan so aus

...
Ablauf des Lesevorgangs eines e-Passports, der mit dem Zugriffsschutz "Basic Access Control" ausgestattet ist:
Optisches Lesen der Datenseite im Pass und Extraktion der maschinenlesbaren Zone (Machine Readable Zone - MRZ).
Berechnung des Zugriffsschlüssels (Access Key) basierend auf der MRZ.
Aufbau eines kryptographisch abgesicherten Kommunikationskanals (Secure Channel) zum RF-Chip im Reisepass.
Lesen der Daten aus dem RF-Chip über den zuvor aufgebauten Secure Channel.
Überprüfung der digitalen Signatur zur Sicherung der Authentizität und Integrität der vom RF-Chip gelesenen Daten.
Visualisierung der ausgelesenen Daten über die graphische Oberfläche des GRT.
...


... Wie lesen die Angreifer meinen Reisepass (es ist ein ePass) aus?
Reicht es, wenn der Pass in meiner Hose ist und ein Angreifer mit einem Lesegerät hinter mir steht?

Gruß,
QFT


Laut den technischen Daten (http://www.google.com/url?sa=t&ct=res&cd=1&url=http%3A%2F%2Fwww.nxp.com%2Facrobat_download%2Fother%2Fidentification%2FPE066 110.pdf&ei=HZiWReXpLprs-ALZouDqDg&usg=__hh_DmfxeF9YtOE6He_nXzcFYqIk=&sig2=insCABxYtwWP01Ktzsi5bg), eines vom BSI (http://www.bsi.bund.de/literat/faltbl/F25GRT.htm) empfohlenen Lesegeräts (MF/Philips Pegoda Scanner) für den "ePass", beträgt die typische Reichweite max 7,5 cm.

Diese Distanz wird auch hier (http://www.guardian.co.uk/idcards/story/0,,1950226,00.html) in Zusammenhang mit dem Auslesen der RFID-Daten in britischen Pässen genannt sowie die relativ einfache Methode des Aushebelns der Acess Key Berechnung (Berechnung ohne "MRZ").

@Quantenfeldtheorie:

Die Daten der Karten welche kopiert wurden und anschliessend auf eine neue "neutrale" Karte geschrieben wurden, funktionierten mit der ausspionierten PIN aber nur im Ausland und das war schon vor 2003.

So eine Karte geht an deutschen Geldautomaten nicht.

Und woher weiß der Geldautomat dass er eine "gefälschte" Karte vor sich hat, wenn die Magnetdaten identisch sind? :|

Google-Übersicht:
http://www.google.de/search?hl=de&newwindow=1&q=kopierte+ec+karten+ausland&btnG=Suche&meta=lr%3Dlang_de

... und 2 rausgesuchte Artikel:

http://www.rbb-online.de/_/fernsehen/magazine/beitrag_jsp/key=rbb_beitrag_5033816.html

http://www.bbv-net.de/public/article/lokales/regionales/344615

Sicher ist es nicht besonders hilfreich, wenns in Deutschland nicht geht, dafür im Ausland aber dann doch. Geld ist dann auch "vorerst mal" weg.

Darum wenns passiert:

- sofort Anzeige bei der Polizei und Zeugen benennen die bestätigen können, dass man am Tag X um so und so viel Uhr nicht in Graz, Amsterdam oder Neapel war.

- Mit der Durchschrift der Anzeige (mit Aktenzeichen) die Hausbank aufsuchen und freundlich darum bitten, dass ein Schadensfall aufgenommen wird (ist mittlerweile nichts unbekanntes mehr!) ;)

Besonders hilfreich ist hier auch die Gier der Diebe. Natürlich gehen die nicht das Risiko ein und bauen wegen einem Kunden so ein Vorsatzgerät an. Das bedeutet allerdings (zum Glück für den Kunden), dass diese eine Bank auch mehrere Schadensfälle gleichzeitig verzeichnet (bei verschiedenen Kunden) und das die Polizei auch dementsprechend registriert ...

Tipps, wie man das dann im Fall der Fälle überzeugend der Bank rüberbringt, gibts jetzt aber keine. :D

Im Schadensfall, kannst mir ja mal a PM schicken ... :D
________________________________________________________


@Topic:

In diesem Thread geht es aber nicht um EC oder Sparkassenkarten sondern um TCPA oder viel mehr wie der Threadersteller im Eingangsposting vorherbestimmt hat, um den elektronischen Reisepass und somit um unsere biometrischen Daten. In direkten Zusammenhang mit dem letzteren, zerbreche ich mir über diese Artikel wirklich meinen kleinen unschuldigen Kopf:

Pläne der Bundesregierung - Roboter sollen vor Terror schützen (http://www.faz.net/s/Rub594835B672714A1DB1A121534F010EE1/Doc~E2B6F6023A8C845ED869DEBF23765562B~ATpl~Ecommon~Scontent.html)

Roboter gegen Terroristen (http://www.netzeitung.de/internet/478606.html)

Könnte das ganze dann irgendwann mal so (http://www.dailymotion.com/Alice_in_Wonderland/video/xg078_robot-sentinella) aussehen?

Und woher weiß der Geldautomat dass er eine "gefälschte" Karte vor sich hat, wenn die Magnetdaten identisch sind? :|

Weil in der orig. EC Karte ein Kryptochip ist, der mit einem im privaten Bereich der Karte abgespeicherten Schlüssel ein Challenge&Response mit dem Automaten macht. Aber eben nicht mit allen Automaten...

Worauf ich in diesem Thread mit der Fragerei hinauswollte und was letztendlich dann durch Klutob gebracht wurde:

Das Auslesen der Pässe, wenn ich ihn in meiner Hosentasche habe ist on the fly, mal mit dem Schleppi unter dem Arm einfach nicht möglich.
Basic Access Control ist bei den Pässen in der BRD verpflichtend. Und ich bezweifle, dass ihr eure Brieftasche beim Einkaufen einige viele Stunden in direkter Nähe zu einem RFID Lesegerät parkt.
Ich kenne den ganzen Schrumpes im RFID-Bereich, weil ich selbst in dem Bereich gearbeitet habe. Und ich habe hier auch einen Reader und das Golden Reader Tool für die Pässe. Ich weiß also, quasi aus direkter Hand, nämlich meiner, was geht und was nicht geht.
Und viele Artikel über die Problemtik der Reisepässe verschweigen bestimmte Tatsachen. Sehr gerne praktiziert bei Heise, die Basic Access Control gerne mal unter den Tisch fallen lassen.

Versteht mich hier klar richtig: Diese Kampagne "Wir machen Deutschland fit für den internationalen Terror" heiße ich nicht für gut. Der ePass, resp. biometrische Daten im Pass sind definitiv kein Mittel gegen Terrorismus.
Andernfalls hätte z.B. Spanien kein Terrorproblem, weil die haben seit Franco ihre Fingerabdrücke im Ausweis. In der kommenden Generation wandern diese dann auch in einen Kryptochip.
Die RFID-Technologie ist in vielen Bereichen ein Segen, in anderen Bereichen, wie im Passportbereich unnötig, weil technisch nicht ausgereift. Das gilt zumindest im Bereich biometrische Erkennung.

Wie jedes Jahr gab es auf dem 23C3 in Berlin den obligatorischen Vortrag über den ePass von starbug. Dieser schafft es imho als einer der wenigen, den Spagat zwischen technischer Exaktheit und erhobenen Zeigefinger gut hinzubekommen.

Glaubt bitte in diesem Bereich Artikel nur dann, wenn ihr euch gründlich informiert habt UND technische Details versteht.

Viele Grüße und Danke,
QFT

"Das beste" war ja mal, als 2 Studis (youtube?) einen Türrahmen gebastelt haben der in die Luft flog, wenn ein Rfid-Pass aus USA durchgeschickt wurde. Sicherheit pur.

Edit: Es gibt übrigens schon die ersten "freake" Brieftaschen die an entsprechenden Stellen mit Alufolie ausgelegt sind :)

Weil in der orig. EC Karte ein Kryptochip ist, der mit einem im privaten Bereich der Karte abgespeicherten Schlüssel ein Challenge&Response mit dem Automaten macht. Aber eben nicht mit allen Automaten...

Okay. Sowas hab ich mir schon gedacht.

die karte interferriert auch noch mit em-feldern.
eine "normale plastikkarte" mit eingeklebtem chip + magnetstreifen würde nicht durchgehen.