Äpfel, Birnen, Pässe und Bin Laden

Berichte, dass die als unsicher bekannten britischen Chip-Pässe mit einem Konterfei von Osama bin Laden erfolgreich manipuliert wurden, erweisen sich zumindest als übertrieben. Die echten Herausforderungen lauern in der Infrastruktur, nämlich wie international die Schlüssel ausgetauscht werden.

Wenn immer er derartige Meldungen über geklonte Chips in Reisepässen gelesen habe - die neueste dazu brachte die Londoner "Times" am Mittwoch -, dann seien dabei "Äpfel und Birnen zusammengeschmissen" gewesen, sagte Wolfgang Rosenkranz von der österreichischen Staatsdruckerei zu ORF.at.

So auch in der "Times" und allen anderen Medien, die den Bericht inhaltlich im Wesentlichen übernommen hatten.

Bin Ladens Bild auf Chip

Das britische Blatt hatte am Mittwoch unter dem Titel "'Fälschungssicherer' E-Pass geklont" berichtet, wie ein holländischer Programmierer das Foto eines Kindes in einem britischen Chip-Pass durch eines von Bin Laden ersetzt hatte.

Sozusagen als Beweis dafür wurde der Umstand gewertet, dass der "Golden Reader" genannte Kartenleser den Pass akzeptiert hatte.

Diese Lesegeräte der internationalen Organisation für Zivilluftfahrt werden von Technikern der ausstellenden Behörden dazu benutzt, ihre Passchips auf Standardkonformität zu testen.

Die "Interoperabilität"

Da es sich um eine neue, gerade in Aufbau befindliche Technologie samt Infrastruktur handelt, sei nämlich die "Interoperabilität" das größte Problem, so Rosenkranz.

"Der 'Golden Reader' ist ein rein technisches Tool, um die Funktionsfähigkeit des Passes zu testen, und keine Sicherheitsüberprüfung." Dafür diene vielmehr das "Country Signer Certificate". Dabei handelt es sich um eine staatliche Signatur, mit der die Integrität der Daten auf dem Chip bestätigt werde.

Österreich und Transnistrien

Damit ist man bei der Kernfrage angelangt: Wie kann der britische Beamte am Zoll vor seinem Passlesegerät sichergehen, dass diese Signatur auf dem österreichischen Passchip tatsächlich von der Republik Österreich verfertigt wurde und nicht von der Republik Transnistrien?

Hier kommt die Public-Key-Infrastruktur ins Spiel. Kernelement des gesamten Kryptographie-Verfahrens ist ein elektronisches Schlüsselpaar, über das die Republik verfügt.

Wege des öffentlichen Schlüssels

Während der geheime Schlüsselteil dazu dient, die Pässe an einem ungenannten, hochsicheren Ort elektronisch zu signieren, reist der miterzeugte öffentliche Schlüssel in die weite Welt.

Mit dem lässt sich die zugehörige digitale Signatur in jedem Pass auf ihre Echtheit überprüfen, man muss allerdings sichergehen, dass der "Public Key" auf sicherem Weg übermittelt wurde, also tatsächlich aus Wien kam.

Eine zentrale Schlüsseldatenbank

Laut "Times" sei es das größte Problem, die Pässe derart zu überprüfen, da es an der Bereitschaft der meisten Staaten mangle, ihre "Country Signer Certificates" im "Public Key Directory" [PKD] abzulegen.

Diese Schlüsseldatenbank wird im Auftrag der Internationalen Organisation für Zivilluftfahrt [ICAO] von einer Firma namens Netrust in Singapur betrieben. Nur Australien, Neuseeland, Singapur, die USA und Japan machen derzeit schon operativ mit, Großbritannien stößt Ende des Jahres dazu.

Der Spin

Diese Darstellung ist glatter Spin, denn sie erwähnt nicht, dass die Schlüssel längst bilateral ausgetauscht werden, und zwar auf diplomatischem Weg, per Kurier.

So seien die österreichischen "Public Keys" bzw. die zugehörigen Zertifikate längst den britischen Behörden übermittelt worden, sagt Rosenkranz.

Auch für die Anmeldung bei der Schlüsseldatenbank PKD würden die Schlüssel auf physischer Ebene durch Angehörige des diplomatischen Dienstes abgeliefert.

"Nicht notwendig"

Eine solche zentrale Datenbank "macht sicher Sinn, ist aber nicht unbedingt notwendig", sagt Rosenkranz.

Das PKD solle es "nur erleichtern, zum Beispiel Folgezertifikate auszustellen. Man muss halt nur schauen, dass das wirklich sicher ist", sagte der Kryptographie-Experte der Staatsdruckerei abschließend.

Die Vorbehalte

Das deutsche Bundesamt für Sicherheit in der Informationstechnik hatte vor gut einem Jahr Vorbehalte gegen die Schlüsselablage in einer zentralen Datenbank angemeldet.

Mehrere andere Staaten schlossen sich dem an. Kern der Vorbehalte: Bei der über die Jahre zu erwartenden Menge an Schlüsseln und Folgezertifikaten könne man kaum sicherstellen, dass bei jedem einzelnen Schlüssel die Integrität garantiert sei.

Die "üblichen Verdächtigen"

Will heißen, dass sich unter allen als integer gehandelten Schlüsseln nicht einer befindet, der ein ganz anderes Land ausweist, aber jemandem in Transnistrien oder sonstwo gehört.

Und:

Gerade die "üblichen Verdächtigen", die das Projekt "PKD" antreiben, nämlich allen voran die USA und Großbritannien, sind notorisch bekannt für klaffende Lücken in den eigenen "Ketten der Sicherheit".

3.000 Blankopässe weg

In Großbritannien wurden nach dem Rekorddatendiebstahl des Frühjahrs - 25 Millionen ausführliche Datensätze der Sozialversicherung - gerade erst 3.000 Blankopässe gestohlen.

Der US-Behörde für Transportsicherheit kam vor Wochenfrist ein Laptop abhanden, der erst jetzt wieder aufgetaucht ist.

33.000 Datensätze, Iris und Fingerprint

Der Laptop enthielt 33.000 Datensätze von persönlichen Daten eines Programms für Vielflieger, das zumeist Geschäftsreisende nutzen.

Die üblichen langen Warteschlangen auf den US-Flughäfen lassen sich umgehen, so man sich einmal mit Fingerprint und Irisscan hat perlustrieren lassen.

Welche Datenfelder in der Datenbank des wieder aufgetauchten Laptops tatsächlich enthalten waren, gab die US-Transportbehörde nicht bekannt.

• 5.8.2008: 33.000 Datensätze in den USA

• 29.7.2008: 3.000 britische Reisepässe gestohlen

• 12.7.2008: Finnland: Polizei will zentralen Fingerprint-Speicher

• 27.11.2007: USA beginnen mit Zehn-Finger-Scans bei Einreisen

• 11.6.2008: Österreich: Fingerprint-Pässe im Ministerrat

• 12.3.2007: AT: Mittelfinger für den Reisepass

• 7.8.2006: "Österreichs Pass-Chips nicht klonbar"

• 6.12.2006: Heathrow startet Biometrie-Testlauf

Fazit

Großbritannien hatte von Anfang an die technisch primitivste Variante für die Absicherung der Daten auf dem Passchip favorisiert, um möglichst bald mit dem "Roll-out" beginnen zu können.

Und was die Manipulation des Chips betrifft, so würde ein Blick des Zöllners auf das physisch im Pass vorhandene Foto genügen, um festzustellen, dass der vor ihm stehende Sprössling eines Redakteurs der "Times" nicht ident mit dem Foto aus dem Lesegerät ist, das unzweifelhaft Bin Laden darstellt.

Abgesehen davon wäre in jedem anderen europäischen Passlesegerät irgendeines Landes, das mit London bereits Schlüssel getauscht hat, jeder solcherart manipulierte Pass auch von der Maschine allein als "nicht gültig" eingestuft worden.

(futurezone | Erich Moechel)