IITR Datenschutz Blog

Neuer Personalausweis mit eingebauter CPU?

13.11.2008

Ich weiss beileibe nicht, was ich von unseren Staatsdienern halten soll, wenn ich mir durchlesen muss, was sie sich so in ihrer Welt überlegen. Heute morgen habe ich einen Vortrag von Martin Schallbruch, IT-Direktor im Bundesministerium des Innern, gelesen und schlage die Hände über dem Kopf zu sammen.

Ers versucht die Pseudonymisierungsfunktion zum geplanten neuen Personalausweis zu erklären. Was da rauskommt verwirrt ein bisschen, denn bei ihm fängt der ePerso schon selber an zu rechnen.

Ich beziehe mich auf diesen Abschnitt seiner Rede:

Stellen Sie sich vor, dass jeder Ausweis über eine geheime, nicht aufgedruckte Zahl verfügt. Gleichzeitig verfügt jeder Diensteanbieter, der mit dem elektronischen Personalausweis arbeitet, über ein anbieterspezifisches Kennzeichen – ebenfalls eine Zahl. Diese beiden Zahlen werden nun über mathematische Verfahren miteinander verrechnet, so dass eine dritte, nicht rückrechenbare Zahl entsteht: das Pseudonym!

Dieses Pseudonym wird im Ausweis errechnet und liegt also immer dann vor, wenn ein bestimmter Ausweis (sprich Nutzer) und ein bestimmter Anbieter miteinander auf diese Weise kommunizieren. Wenn derselbe Ausweisinhaber mit einem anderen Anbieter in Kontakt tritt, entsteht ein anderes Pseudonym, weil ja der Rechenoperation ein anderes anbieterspezifisches Kennzeichen zugrunde liegt.

Frägelchen: Wie bitte wird denn “im Ausweis gerechnet”? Ist da nun ein Atom-Prozessor mit Schnittstelle eingebaut? Und warum erfährt man erst hier, zwischen den Zeilen, dass ein weiterer Identifikationsfaktor (noch eine eindeutige ID) auch noch bewusst versteckt enthalten ist? Oder hat er sich nur schlech ausgedrückt, versucht er hier einfach zu erklären, dass mittels der öffentlichen Schlüssel hantiert wird – nur dass die eben auch ausgelesen und dann extern verarbeitet werden müssen (der Ausweis rechnet nicht “intern”)?

Fakt ist, und das hatte ich bereits klar gestellt: Egal was man auf dem Perso speichert – man kann es auslesen. Und Missbrauchen. Es ist schlicht falsch, davon zu sprechen, dass “ein Ausweis” mit einem Anbieter in Kontakt tritt. Es treten die Daten auf einem Ausweis mit einem Anbieter in Kontakt – und diese Daten wird man kopieren können. Wer meine Hinweise liest, wird bemerken, dass unser Staat zudem einen Master-Schlüssel hat, um den ach so sicheren ePerso jederzeit auszulesen und vorhandene Schlüssel zu ersetzen. Auch mit Blick darauf ist es nur eine Frage der Zeit, bis das Dritte können.

Beitrag teilen:

4 Kommentare zu diesem Beitrag:

AusweisApp

Jetzt kommt er wirklich.. Das wird noch spannend...

Mathias Ruediger

Vielleicht sollte sich der Autor dieses Textes ueber die Funktionsweise einer Smartcard, wie sie schon seit Jahren zur Autentifizierung eingesetzt wird, informieren bevor er Behauptungen wie z.B.: Alle Daten koennen Ausgelesen werden oder im Ausweis kann nicht gerechnet werden, in den Raum stellt.

Mathias Ruediger

Ach ja, zum Thema Master Schluessel empfehle ich ausserdem noch folgenden Artikel: http://de.wikipedia.org/wiki/Public-Key-Infrastruktur

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif