Elektronischer Personalausweis

Kritik am elektronischen Personalausweis 


Was ist denn nun eigentlich der Kritikpunkt an dem Elektronischen Personalausweis? Etwa nur dass ein Trojaner man mit dem Billig Lesegerät die PIN ausspähen könnte? Da würde ich ja eher sagen selber Schuld und hätte als Linuxuser keine Sorgen. Ansonsten klingt das alles doch recht komfortabel, Ummelden ohne lange Wartezeit am Amt, digitale Signatur für Mails - warum die Kassandrarufe? Und wie ist der Stand der Technik, hatte der CCC da nicht schon wieder quasi alles gehackt? Vor allem der Punkt mit der Auslesbarkeit der PIN macht mich nervös, so wie ich es verstanden habe, ist kein hash o.ä., oder ein Querverweis auf eine Onlinedatenbank wo der hash drinsteht, sondern die PIN in Klartext in E-Perso abgespeichert ist. Das ist doch schon arg fahrlässig 

Bin mir aber ziemlich sicher, dass es früher oder später umgangen wird. Das hört sich nach einer simplen Verschlüsselung an, und wie schwer kann es sein, die Daten verschlüsselt zu laden und dann später die 6-stellige Nummer zu finden? Das ist ungefähr so sicher wie das Passwort 123456. Wenns von Idioten designt wurde lauscht man auf den Stromverbrauch und kann dadurch erahnen was gerade im Mikrocontroller abgeht. Und es kommt sicherlich irgend ein Freak vorbei der seine Karte opfert, als gestohlen meldet, und dann zur Not erstmal den Die freilegt um zu wissen was da abgeht.

 Als "Sicher" würde ich es sehen wenn die Karte nach Militärspezifikationen erstellt worden wäre, so ist es aber nur nach Consumerspezifikation gebaut und somit irgendwie knackbar. Zum Glück hat meiner einer erst vor einigen Monaten einen neuen alten Personalausweis bekommen und kann so warten, bis der E-Perso- Shitstorm abgeflaut und die Technik hoffentlich besser ausgereift ist.

Datenintegrität

Integrität von Daten sicherstellen


Eine Prüfung der Integrität stellt sicher, dass die Daten sich nicht verändert haben. Das beinhaltet das Sicherstellen , dass niemand die Daten modifiziert hat und diese somit nicht verfälscht wurden. Gesamtheitlich betrachtet, bedeutet es das Veränderbarkeit von Informationen, Systemen und Netzen nicht unbemerkt von statten gehen kann. Idealerweise sollen nur autorisierte Nutzer Daten bearbeiten können, jedoch können unbeabsichtigte Veränderungen auftreten durch bspw. schädliche Software oder durch menschliche bzw. systemkritische Fehler.

Als Techniken zur Vermeidung von Datenverlust kommen unter anderem Hashing Algorithmen zum Einsatz. Bei einem Hash handelt es sich einfach um eine Zahl, welche beim Ausführen des Algorithmus im Bezug auf die Datei kreiert wird und wie Message Digest(MD5), Secure Hash Algorithm 1 (SHA-1) und Hash-based Message Authentication Code(HMAC). Weitere Methoden der Sicherstellung von Integrität beinhalten Digitale Signaturen, Zertifikate etc. Digitale Signaturen, Zertifikate und Nachweisbarkeit bzw. Unleugbarkeit . Bei den sogenannten digitalen Signaturen handelt um eine quasi Nachbildung einer analogen, schriftlichen Signatur wie bei einem Vertrag. Digitale Signaturen werden meistens im Email-Verkehr genutzt und sie können Authentifizierung bereitstellen bzw. gewährleisten.

Die digitale Signatur des Senders wird an die zu übermittelten Daten, in diesem Fall Nachricht, angehängt und gewährleistet dem Empfänger die Authentizität des Senders sowie die Integrität der Nachricht. Angreifer werden davon abgehalten die Identität einer Person zu imitieren. Darüber hinaus gewährleistet solch eine Technik die sogenannte Unleugbarkeit oder im englischen geläufig als non-repudiation. Es wird somit bewiesen, dass Informationen von der angegebenen Quelle stammen und die Identität korrekt ist. Dabei werden unterschiedliche Methoden verwenden.