ePass bereits gehackt

Man kann kaum so schnell denken, da passiert es auch schon: Niederländische Hacker haben im niederländischen Fernsehen den neuen ePass gehackt. Ja, die Bedingungen waren etwas vorteilhaft, aber 56 Bit sind in absehbarer Zeit auch nicht mehr das Problem, wir hatten noch keinen *richtigen* Spaß mit RFID (WEP wurde auch erst nach einigen Jahren “einfach” knackbar) und die Niederländer haben sich an die ICAO-Richtlinien gehalten. Die Kommunikation zwischen Pass und Lesegerät ist also auf 10 Meter Entfernung noch abfangbar, soso. Aber keine Angst:

“Aktive Angriffe, bei denen der Angreifer versucht, die Daten selbst aus dem RFID-Chip auszulesen, sollten ohnehin nicht möglich sein: Laut Spezifikation ist dazu zwingend die Kenntnis des Schlüssels erforderlich.”

Dann sind wir ja alle sicher! Denn der Schlüssel besteht eh nur aus Passnummer, Geburtsdatum, Ablaufdatum, ähm… aus völlig geheimen Informationen halt. Dass man diese ab und zu sogar auf wildfremde Formulare schreiben muss und damit an Einrichtungen gibt, welche problemlos Datenbanken damit füllen können, ist ja nicht so schlimm.

Man hat denke ich wieder einmal eindrucksvoll bewiesen, dass der simple Einbau von “Verschlüsselungstechnologien” Produkte nicht unbedingt sicherer macht. Im Gegenteil, allzu unbedarfter Umgang damit macht alles nur noch schlimmer. Und je größer das Einsatzgebiet, je größer der mögliche Nutzen, desto mehr Mittel werden eingesetzt, um den “Schutz” zu brechen. Kriminelle Organisationen werden weit mehr Energie in einen Hack stecken als ein kommerzieller Sicherheitsdienstleister.