09.12.2004

REISEPÄSSE

Funkchips mit starker Verschlüsselung

In der Frage der Datensicherheit in den neuen Reisepässen gelte es zwischen dem Chip selbst, also der Hardware, und der Applikationsebene zu differenzieren, sagt Johannes Lehrhofer vom Chiphersteller Philips Semiconductor. Der Grad der Sicherheit sei vorrangig von der Implementation durch die Behörden abhängig.

Will heißen: Es kommt darauf an, welche der in der Hardware schon jetzt angebotenen Sicherheitsmechanismen auch genützt werden.

Die "kontaktlosen sicheren Smartcards" wie man in Gratkorn diese Nahbereichs-Funkchips nennt, ermöglichen nicht nur den Einsatz sicherer Verschlüsselung mit dem starken AES-Algorithmus, Triple-DES ist bereits direkt in der Hardware integriert.

Der momentane Stand der Dinge sei, sagt Lehrhofer, der beim Weltmarktführer für Nahbereichs-Funkchips [aka: proximity RFIDs] im steirischen Gratkorn für den Bereich E-Government zuständig ist, dass die JPEG-Bilder - ein Passfoto und zwei Fingerabdrücke - nicht verschlüsselt abgelegt würden.

Passdaten-Freigabe nur mit Zahlencode
Die Absicherung der Daten im Pass ist momentan so angelegt, dass der Chip grundsätzlich erst dann Daten freigibt, wenn er zuvor die Zahlenkombination aus dem OCR-Feld des Passes erhalten hat. Das heisst: Der Pass wird entweder von einem kombinierten Lesegerät [OCR und Chip] automatisch eingelesen, oder die Zahlenkombination wird vom Beamten manuell eingegeben.

Wie Funkchips im Pass gesichert werden

Nicht verschlüsselt, sondern signiert

Wegen der noch fehlenden Public-Key-Infrastruktur [PKI] müsse sich die Behörde damit begnügen, eine gewisse Anzahl von Pässen mit ein- und demselben amtlichen Schlüssel zu signieren. Von diesen Schlüsseln stehe in jedem EU-Land ein Kontingent zur Verfügung, so Lehrhofer weiter.

Neben der eingebauten Triple-DES-Verschlüsselung werde der AES-Agorithmus unterstützt und bald ebenfalls komplett in die Hardware integriert. Dazu kämen noch eine Reihe von weiteren Signatur- und Verschlüsselungsverfahren wie SHA1 oder RSA.

"Smartcard" und Lesegerät könnten auch ihren gesamten Datenaustausch mit starker Verschlüsselung durchführen, wenngleich dies wegen der extrem kurzen "Funkstrecke" von wenigen Zentimetern eigentlich nicht notwendig sei.

Bei Tests mit dem langen 2.048-Bit-RSA-Key habe man den gesamten Kommunikationsvorgang unter 500 Millisekunden halten können, heißt es aus Gratkorn.

Die Gratkorner "Smartcards" haben alle Anforderungen des deutschen Bundesamts für Sicherheit [BSI] bestanden und wurden folglich zertifiziert.

Die PKI-Infrastruktur des BSI

Steirische Standards

Bei Philips ist man nicht nur stolz darauf, im Bereich intelligenter Nahverkehrs-Funkchips den Weltmarkt anzuführen, sondern auch darauf, dass die MIFARE-Technologie in der steirischen Niederlassung des Philips-Konzerns entwickelt wurde.

Entlang dieses Industriestandards wurde der ISO-Standard 14443A, entwickelt, der für alle kontaktlosen Smartcards gilt.

Industriestandard MIFARE