Dominik und Frank erklären die gängigen Angriffsszenarien gegen den neuen Personalausweis, insbesondere die Angriffe mit Schadprogrammen auf dem Client bei Verwendung eines Basislesers (d.h. PIN-Eingabe an der normalem PC-Tastatur) sowie Relay- bzw. Man-in-the-Middle-Angriffe bei der mittels virtueller Smartcard die Informationen der realen Smartcard an einen fremden Rechner relayed werden.
Ich denke den Vortrag sollte sich jeder Nutzer eines neuen Personalausweises anhören.
Fazit:
- Authentisierung mit nPA sicherer
- Zugriff auf ein physisches Objekt notwendig
- Starke Kryptographie
- Signatur mit nPA sicherer
- Kommunikation zum Ausweis ist verschlüsselt
- Attraktives Angriffsziel
- eSign und eID auf derselben Chipkarte
- höherer Schaden bei Missbrauch
Wichtigste Empfehlung: Vermeidung des Basislesers und öffentlicher Terminals, nur Nutzung von Standardleser und Komfortleser aus vertrauenswürdiger Quelle.
Offen bleiben die rechtlichen Implikationen. Ist die Nutzung der eID bereits ein rechtssicherer Identitätsnachweis der anstelle einer digitalen Signatur genutzt werden kann? Wenn ein Händler die eID ausliest, muss dann der Eigentümer des Ausweises den Missbrauch nachweisen weil die eID gleiche Rechtswirksamkeit wie die digitale Signatur erhält? Die Betreiber von Online-Shops fordern das bereits.
Meine persönliche Meinung ist ja, in den nächsten 3-5 Jahren kristallisiert sich heraus, was da passiert und bis dahin werde ich mit meinem noch länger gültigen alten Ausweis einfach die Füße still halten. Einen neuen Ausweis kann ich ja immer noch beantragen wenn es Sinn für mich macht
Kommentare gesperrt wegen Spam
Comment by Christian — 7. Juni 2012 @ 17:39