27C3 - Version 1.6.3
27th Chaos Communication Congress
We come in peace
Referenten | |
---|---|
Dominik Oepen | |
Frank Morgner |
Programm | |
---|---|
Tag | Day 1 - 2010-12-27 |
Raum | Saal 1 |
Beginn | 21:45 |
Dauer | 01:00 |
Info | |
ID | 4297 |
Veranstaltungstyp | Vortrag |
Track | Hacking |
Sprache der Veranstaltung | deutsch |
Feedback | |
---|---|
Haben Sie diese Veranstaltung besucht? Feedback abgeben |
"Die gesamte Technik ist sicher"
Besitz und Wissen: Relay-Angriffe auf den neuen Personalausweis
Für den neuen elektronischen Personalausweis sind drei verschiedene Lesegeräteklassen spezifiziert, von denen die einfachste bereits einige Kritik erfahren hat. Nach der Diskussion um die Sicherheit des Personalausweises stellt sich die Frage: Können zertifizierte Lesegeräte den neuen Ausweis schützen?
Die Authentisierung mit dem neuen Personalausweis basiert auf dem Prinzip der Zweifaktorauthentisierung durch Besitz und Wissen. Notwendig sind der Besitz des Ausweises und die Kenntnis einer PIN. Mögliche Angriffe auf diese Faktoren wurden bereits vor der Einführung des neuen Personalausweises vorgestellt und als unrealistisch oder unvollständig zurückgewiesen.
Wir untersuchen die Machbarkeit und Auswirkung von Relay-Angriffen in Hinblick auf die verschiedenen Lesegeräteklassen und Anwendungsszenarien des neuen Personalausweises. Nach dem derzeitigen Stand der Spezifikationen lassen sich solche Angriffe kaum verhindern. Einige der Probleme erweisen sich als unlösbar, für andere existieren Lösungsansätze, welche von simpel, aber unzureichend bis komplex, aber kaum umsetzbar reichen.