Wednesday, August 28, 2013 - 00:35

Report München findet (alte) Schwachstelle im nPA

Report München hat einen Beitrag aus der letzten Sendung online, in dem mal wieder das alte bekannte Scheunentor-Problem des nicht mehr ganz so neuen Personalausweises demonstriert wird.

Das Problem ist eigentlich gar kein Problem mit dem Ausweis sondern mit dem Lesegerät. Genauer. Mit den Cat-B Lesegeräten. Diese Geräte zeichnen sich durch einen günstigen Preis, keine vorhandene Tastatur und grundsätzlich völliger Nutzlosigkeit aus. Die Sicherung des nPA durch eine externe Authentifizierung ist anders als Ministerien, Gemeinden und auch das BSI behaupten, nicht optional.

Ein Gerät der Kategorie S (Standard) oder K (Komfort) ist Pflicht! Der Grund dafür ist die dort vorhandene Tastatur zur Eingabe der PIN. Ein Basislesegerät ist nicht ausreichend und sollte bei dieser sensiblen Anwendung auch überhaupt nicht zugelassen sein.

Hat ein Angreifer Zugriff auf die PIN, die man bei den Basislesegeräten entsprechend einfach abgreifen kann, hat er vollen Zugriff auf die Funktionen des Ausweises. Was das heißen kann sieht man schön im Beitrag von Report München.

Wer so ein Basislesegerät besitzt ( eines ohne Tastatur ) sollte diesen Fehler umgehend korrigieren oder auf die Nutzung des nPA für diese Zwecke verzichten.

Die Vermutung Mein PC ist sauber ist in Anbetracht der Tragweite dieses Problems keine günstige Arbeitsgrundlage.

Add new comment

This form is protected by Google Recaptcha. By clicking here you agree to include Google Recaptcha for this session. The page will reload and the form will become avaiable.