Als das Bundesinnenministerium am 1. November den neuen E-Pass vorstellte, war klar: Die so genannte Basic Acces Control schützt vor dem unbefugten Auslesen der biometrischen Daten auf dem RFID-Chip. Doch nun stellte der US-Sicherheitsexperte Bruce Schneier in seinem Newsletter Cryptogram diese Woche fest, dass sich die Seriennummern der RFID-Passchips problemlos auslesen ließen. Die Seriennummern dienen unter anderem dazu, die Chips auseinander zu halten. "Falls mehrere RFID-Tags in der Reichweite eines Lesegerätes sind, kann es diese anhand ihrer Seriennummer auseinander halten", erklärt der RFID-Experte Jan Hennig von der Universität Bielefeld. Dieses Auseinanderhalten sei eine Standardprozedur der RFID-Technik und geschehe bei den Pässen noch bevor die Verschlüsselung der Basic Access Control greife.
Über die Seriennummer könnte also der Pass und damit auch sein Inhaber oder seine Inhaberin identifiziert werden. Jeder mit einem auf den entsprechenden Frequenzen arbeitenden Lesegerät könnte den Pass überwachen, selbst wenn er sich nicht Zugang zu den zusätzlichen Daten verschafft. Im deutschen Pass wird dies nach Angaben des Bundesamts für Sicherheit in der Informationstechnik jedoch vermieden (siehe dazu: Risiko Reisepass?, Schutz der biometrischen Daten im RF-Chip, c't 5/05, S. 84). So wird die Kommunikation mit einem RF-Chip immer von einem Lesegerät gestartet, indem das Lesegerät den RF-Chip mit einer nach ISO 14443 festgelegten Frequenz "anspricht". Damit das Lesegerät einen RF-Chip selektieren kann, sendet dieser eine Chip-Identifikationsnummer (Chip-ID) an das Lesegerät. Die Chip-ID wird vom RF-Chip zufällig gewählt und bleibt nur bis zum Ende des Kommunikationsvorgangs gültig. Damit zeigt sich der Chip bei jedem erneuten Kommunikationsvorgang mit einer anderen Chip-ID. Die Bildung von Bewegungsprofilen soll damit ausgeschlossen sein.
Eine weitere Lösung erarbeitet derzeit der dänische IT-Sicherheitsexperte Stephan Engberg mit dem Zero-Knowledge-Identification-System (PDF-Datei). Er versucht, die RFID-Technik so zu modifizieren, dass die Chips erst nach Zusenden eines passenden Schlüssels eine Antwort abgeben. Wird kein passender Schlüssel gesendet, so bleiben die Chips stumm, ein Lesegerät kann sie nicht entdecken.
Ein weiteres mögliches Verfahren wäre ein Kollisionsvermeidungsverfahren wie es in der Norm ISO 14443A beschrieben wird. Ein populäres Kollisionsvermeidungsverfahren (Tree-Walking) beruht darauf, dass das Lesegerät in die Runde fragt, welche Chip-Nummern anwesend sind. Die RFID-Tags geben sofort ihre Nummer preis. Doch wenn mehr als ein Tag angesprochen wird, kollidieren die Daten. Das Lesegerät erkundigt sich in diesem Fall nur noch, "wer aus dem Nummernbereich von x bis y anwesend ist" – die Nummernbereiche teilt es so lange auf, bis nur noch genau ein RFID-Tag antwortet.
Ein zweites, in der Norm angesprochenes Verfahren entspricht in etwa dem Aloha-Prinzip, nachdem ein frühes Funknetz zwischen den Hawaii-Inseln funktionierte und das heute auch noch beim Ethernet (Carrier Sense Multiple Access/Collision Detection, CSMA/CD) Verwendung findet. Dabei wartet eine sendewillige Station bei einer Kollision eine zufällige Zeitspanne bis zum nächsten Sendeversuch. Solange nicht sehr viele Tags senden wollen, können auf diese Weise die einzelnen Aussendungen gut getrennt werden. Der Vorteil des Verfahren ist, dass es ohne das Senden der Seriennummer auskommen könnte. "Bei passiven RFID-Tags allerdings mag die Zeitspanne vom Impuls der Anfrage des Lesegeräts, das die passiven Tags mit Energie versorgt, bis zu deren Antwort nicht beliebig lang sein. Ich kenne derzeit keinen Hersteller, der das Verfahren daher bei passiven Tags einsetzt", erklärt Hennig.
Hennig, der auch den Ausrichter des deutschen Big-Brother-Awards, den Bielefelder Foebud-Verein, in RFID-Fragen berät, plädiert dafür, von den RFID-Tags abzukehren: "Selbst wenn man unbedingt weitere Daten auf den ohnehin schon als sehr sicher geltenden Pässen unterbringen müsste, so gäbe es etwa mit zweidimensionalen Strichcodes risikoärmere Methoden dafür." Schweizer Bürger können übrigens wählen – zwischen den herkömmlichen und als sehr sicher geltenden Pässen und den für USA-Reisen entworfenen RFID-Pass.
Christiane Schulzki-Haddouti
Heise Online, Hannover, 16. November 2005
Original: http://www.heise.de/newsticker/meldung/66273