27C3 - Version 1.6.3

27th Chaos Communication Congress
We come in peace

Speakers
Dominik Oepen
Frank Morgner
Schedule
Day Day 1 - 2010-12-27
Room Saal 1
Start time 21:45
Duration 01:00
Info
ID 4297
Event type Lecture
Track Hacking
Language used for presentation German
Feedback

"Die gesamte Technik ist sicher"

Besitz und Wissen: Relay-Angriffe auf den neuen Personalausweis

Für den neuen elektronischen Personalausweis sind drei verschiedene Lesegeräteklassen spezifiziert, von denen die einfachste bereits einige Kritik erfahren hat. Nach der Diskussion um die Sicherheit des Personalausweises stellt sich die Frage: Können zertifizierte Lesegeräte den neuen Ausweis schützen?

Die Authentisierung mit dem neuen Personalausweis basiert auf dem Prinzip der Zweifaktorauthentisierung durch Besitz und Wissen. Notwendig sind der Besitz des Ausweises und die Kenntnis einer PIN. Mögliche Angriffe auf diese Faktoren wurden bereits vor der Einführung des neuen Personalausweises vorgestellt und als unrealistisch oder unvollständig zurückgewiesen.

Wir untersuchen die Machbarkeit und Auswirkung von Relay-Angriffen in Hinblick auf die verschiedenen Lesegeräteklassen und Anwendungsszenarien des neuen Personalausweises. Nach dem derzeitigen Stand der Spezifikationen lassen sich solche Angriffe kaum verhindern. Einige der Probleme erweisen sich als unlösbar, für andere existieren Lösungsansätze, welche von simpel, aber unzureichend bis komplex, aber kaum umsetzbar reichen.