Datenschleuder #87

8/9/2019 Datenschleuder #87

1/48

# 8 7

ISSN

0930 -1054

2005 2 ,50EUR

P o s

t v e r t r i e

b s s

t c k

C 1 1 3 0 1 F

di e

d at e n s chl e

ud e r

.


2/48

die datenschleuder. #87 / 2005

IMPRESSUM / INHALT C

Die Datenschleuder Nr. 87Herausgeber (Abos, Adressen, Verwaltungstechnisches etc.)Chaos Computer Club e.V., Lokstedter Weg 72,

20251 Hamburg, Fon: +49.40.401801-0,Fax: +49.40.401801-41, Fingerprint:1211 3D03 873F 9245 8A71 98B9 FE78 B31D E515 E06F Redaktion (Artikel, Leserbriefe, Inhaltliches, etc.)Redaktion Datenschleuder, Pf 64 02 36, 10048 Berlin,Fon: +49.30.28097470, Fingerprint:03C9 70E9 AE5C 8BA7 42DD C66F 1B1E 296C CA45 BA04DruckPinguindruck Berlin, http://pinguindruck.de/ViSdP und ProduktionTom Lazar,ChefredaktionDirk Engling und Tom Lazar

Redaktion dieser AusgabeZapf Dingbatz, Martin Haase, Constanze Kurz,Andreas Lehner, Frank Rosengart, starbug, Harald

Welte.Layouterdgeist, Antenne Springborn, Constanze Kurz,Roland KubicaCopyrightCopyright bei den Autoren. Abdruck fr nicht-gewerbliche Zwecke bei Quellenangabe erlaubtEigentumsvorbehaltDiese Zeitschrift ist solange Eigentum des Absenders, bis sie demGefangenen persnlich ausgehndigt worden ist. Zurhabenahme istkeine persnliche Aushndigung im Sinne des Vorbehaltes. Wird dieZeitschrift dem Gefangenen nicht ausgehndigt, so ist sie dem Absendermit dem Grund der Nicht-Aushndigung in Form eines rechsmittelfhigenBescheides zurckzusenden.

Bildquelle: http://www.bmi.bund.de/Internet/Content/Common/Bilder/Themen/Informationsgesellschaft/DatenundFakten/Biometrie__ePass,property=poster.jpg

Inhalt

Die sichersten Psse der Welt 2

Spa mit dem ePass 5

Sicherheit durch Biometrie? 8

Biometriepa Glossar 12

Fingerabdrcke nachmachen leichtgemacht 14

Inside ePassports 17

Die Auswertung der BioP II Studie des BSI 20

Annex G of ICAO MRTD Specs 30

Eigentumsverhltnisse der Bundesdruckerei 33

Besonders intensive Prfung 36

Die Welt von morgen: iPass 42


3/48

die datenschleuder. #87 / 2005 11

das wissenschaftliche fachblatt fr datenreisendeein organ des chaos computer club

die datenschleuder.Dieses Sonderheft der Datenschleuder ist demneuen deutschen ePass gewidmet. Wir betrach-ten die technischen und politischen Details ingroer Ausfhrlichkeit, die wir angesichts die-ses ersten groen Schrittes hin zur Totalber-wachung der Bevlkerung fr geboten halten.

Unter dem Deckmntelchen der Terrorismus-abwehr werden mit dem ePass gnzlich ande-

re Ziele verfolgt. Mit gengender Terrorfurchtwurde die ffentliche Meinung so weichge-kocht, da alles, wo Sicherheit draufsteht,kritiklos hingenommen wird. Selbst die DDR-Staatssicherheit hatte sich nicht getraut, einechendeckende Erfassung der Fingerabdrckeihrer Bevlkerung vorzunehmen. Das Innenmi-nisterium unseres demokratischen Rechtsstaatshat da weniger Skrupel.

Demokratie ist eine feine Sache - wenn sichdenn die Regierenden daran halten. Die Ent-scheidung zur Totalerfassung wurde nichtdemokratisch legitimiert. ber den UmwegICAO und EU drckte das Innenministeriumein Verfahren durch, das im Deutschen Bun-destag bei rationaler Diskussion kaum durchge-kommen wre. Eine sachliche Begrndung zurNotwendigkeit fand selbst auf direkte Nachfra-ge von Abgeordneten nicht statt. Es gibt einfachkeine guten Argumente dafr, nur sehr viele

dagegen.Der berwachungsstaat ist nicht mehr nur einSchreckgespenst der fernen Zukunft. Er stehtdirekt vor der Tr. Unsere Politiker haben eineVision von einer Zukunft, die den dramatischenAusbau von Repressions- und berwachungs-mglichkeiten erfordert. Biometrie in allen Aus-weisdokumenten ist nur ein Puzzlestein dabei.Der Reisepa ist nur der erste Schritt, die Perso-nalausweise werden folgen.

Da es jetzt noch keine zentrale Biometrie-Datenbank gibt, bleibt kein Dauerzustand. Sp-testens nach dem nchsten Anschlag in Euro-pa wird die Legitimation da sein. Wer regt sichschon ber eine klitzekleine Datenbank auf,wenn es denn der Sicherheit dient... Beson-ders widerlich an der Angelegenheit ist derZusammenhang mit der fehlgeschlagenenPrivatisierung der Bundesdruckerei und den

Bedrfnissen der deutschen Biometrie- undChipkartenindustrie. Um schnden nanziellenInteressen des Staates und der Industrie nach-zukommen, wird sehenden Auges ein sicher-heits- und technologiepolitisches Desaster ers-ter Ordnung in Kauf genommen, das obendreindie Grundfesten der Informationellen Selbstbe-stimmung massiv unterminiert.

Der Hang zu technischen Groabenteuern istden deutschen Politikern offenbar nicht aus-zutreiben. Die Redaktion ist, wie immer, sehrinteressiert an technologischen Forschungenunserer geneigten Leser, an Dokumenten, diedas gemeine Volk eigentlich nicht in die Fingerbekommen sollte, und natrlich an Erfahrun-gen mit dem neuen Reisepa. Zuwendungenbitte wie immer an oder im braunenUmschlag an die bekannte Postadresse.

Auch auf dem 22. Chaos Communication Con-

gress vom 27. bis zum 30. Dezember 2005 wirddas Vorgehen gegen den Biometrie-Wahn einegroe Rolle spielen, dann schon mit erstenErfahrungen und Ergebnissen aus der HandsOn-Forschung mit den neuen Pssen


4/48


...WITH A GOVERNMENT THAT RESPECTS PRIVATE ENTERPRISE C

Die sichersten Psse der Weltvon starbug und

46halbe

Die Bundesdruckerei macht mit Otto Schilys neuestem Sicherheitsplacebo den groen Rei-bach. Seit einigen Wochen ist es ofziell. Ab dem 1. November 2005 werden in Deutsch-land trotz massiver Kritik von vielen Seiten neue Reisepsse (sog. ePass) mit biometri-schen Merkmalen auf RFID-Chips ausgegeben. Deutschland unterbietet dabei bei weitemden vorgegebenen Zeitrahmen der europischen Verordnung, die ohne Beteiligung desdeutschen Parlamentes zustandekam.

Wirtschaftsfrderung ohne Rcksicht

auf VerlusteMehr als ein halbes Jahr frher als notwendigwird der Reisepa nun eingefhrt. Die Grn-de fr die Hast, die das Bundesinnenministeri-um (BMI) an den Tag legte, liegen auf der Hand.Wer in Europa zuerst ein funktionierendes bio-metrisches Gesamtsystem zur Grenzkontrol-le hat, kann mit Auftrgen in Milliardenhherechnen. Gerhard Schabhser vom Bundes-amt fr Sicherheit in der Informationstechnik(BSI) antwortete entsprechend auf die Frage,warum die Einfhrung der neuen Psse derartberstrzt vorgenommen wird: Das hat indus-triepolitische Grnde. Martin Schallbruch,IT-Direktor des Bundesinnenministeriums,verweist zwar auf einer Informationsveranstal-tung zum ePass gem der ofziellen Sprach-regelung seines Arbeitgebers darauf, da die-ser primr der Erhhung der Sicherheit diene.Es sei aber ohne Frage gewinnbringend fr die

deutsche Wirtschaft, weltweit fhrend auf demGebiet der Biometrie und der Chipkartentech-nik zu sein, betont er gleich mehrfach.

Die Frderung der Wirtschaft ist ein verstnd-liches Ziel deutscher Politik. Doch was bedeu-tet der neue Pa fr den deutschen Reisenden?Er mu zunchst die deutlich gestiegenen Kos-ten von 59 Euro (heute 26 Euro) fr den nor-malen Pa bzw. 91 Euro fr den Express-Patragen. Weit schwerer wiegt aber, da er dieKontrolle ber seine persnlichen biometri-schen Daten abgeben mu. Denn was an inter-

nationalen Grenzen aus seinem Pa ausgelesen

und gespeichert wird, wer Datensammlungenanlegt und fr welchen Zweck, ob Abgleichemit kriminalistischen oder Terroristen-Fahn-dungs-Datenbanken vorgenommen werden alldas kann niemand kontrollieren und unterliegtselbstverstndlich nicht der datenschutzfreund-lichen Gesetzeslage in Deutschland. Die digi-talen Daten seines Gesichtsbildes und seinerFingerabdrcke sind zur globalen Speicherungfreigegeben.

Die offiziellen GrndeOfziell stehen die Terroristen mal wieder anerster Stelle der Grnde fr die Einfhrungdes ePasses. Seit dem 11. September 2001 trittbereits ein gewisser Gewhnungseffekt ein, damit der Terrorabwehr einfach jede Manahmebegrndet werden kann. So soll die Verbesse-rung des behrdlichen Informationsaustau-sches die Einreise von Terroristen verhindern,

indem biometrische Hilfsmittel bei der Perso-nenfahndung genutzt werden. Dazu soll an denGrenzen zweifelsfrei festgestellt werden kn-nen, ob der Besitzer des Reisepasses auch derInhaber ist. Da die Tter in der Vergangenheitstets gltigen Psse besessen haben, wird hiereinfach ignoriert. Auch der Umstand, da jederBombenleger sich weiterhin einfach auerhalbEuropas einen gltigen Pa oder ein Visumbesorgen kann, bleibt unerwhnt. Diese unlo-gische Argumentation wird vom BMI auf jederVeranstaltung gebetsmhlenartig wiederholt,was sie natrlich nicht wahrer macht.


5/48


...WITH A GOVERNMENT THAT RESPECTS PRIVATE ENTERPRISE

Das zustzliche Sicherheitsmerkmal, also derkontaktlose Funk-Mikrochip, soll auerdemdie Flschung erschweren und die Feststellungder Echtheit des Dokuments gewhrleisten.Der Bundesinnenminister Otto Schily behaup-tet, Flschungen von Pssen wrden mit derSpeicherung biometrischer Daten unmglichgemacht oder mindestens erschwert. Da dieBundespolizei (frher BGS), der PaherstellerBundesdruckerei wie auch das BSI bereits denbisherigen deutschen Pa als hochsicher ein-stufen, wird geissentlich verschwiegen. NachAngaben von Jrg Radek, Bundesvorstand derGewerkschaft der Polizei, sind Totalflschun-gen hierzulande eine seltene Ausnahme; sol-che in einer guten Qualitt, die nicht schon von

Grenzbeamten-Azubis erkannt werden, schlichtnicht vorhanden. Der Gipfel des Widersinns istaber die Tatsache, da der ePass vollstndig gl-tig bleibt, wenn der Funk-Chip den Geist auf-gibt.

Die computergesttzte biometrische Identika-tion von Personen soll weiterhin zur Effektivie-rung der Grenzkontrollen dienen und somit freine Erleichterung des Reiseverkehrs mit dementsprechenden Zeitgewinn fr die Reisendenund fr die Bundespolizei sorgen. [1] Dies kann

nach den Ergebnissen einer jngst verffent-lichten BSI-Studie (sog. BioP-II-Studie) zu denErkennungsleistungen biometrischer Systeme(siehe auch den entsprechenden Artikel in die-ser Ausgabe) zumindest in naher Zukunft alsausgeschlossen gelten. Jrg Radek, ebenso wiedie Pressestelle des BMI, betont, da die Tech-nik stets zustzlich eingesetzt, eine Kontrolleder Reisenden nach den Schengen-Standardsjedoch weiterhin erfolgen wird. Von einer Effek-tivierung kann also keine Rede sein, die Viel-ieger und die Urlauber erwartet vielmehr einerhhter Zeitaufwand.

Zudem sind die biometrischen Verfahren nochderart fehlerbehaftet, da zu erwarten ist, da

viele Pabesitzer von den Gerten an den Gren-zen flschlich zurckgewiesen werden. Genau-eres zu den aufgetretenen Unzulnglichkeitender vier in der BSI-Studie getesteten biometri-schen Systemen kann auf ber 170 Seiten nach-gelesen werden. Zu anderen schwerwiegendenProblemen wie der berwindungssicherheitder Verfahren ndet der geneigte Leser der Stu-die jedoch keine Angaben. Eine Lebenderken-nung etwa ist in den getesteten Verfahren ent-weder nicht implementiert oder wurde fr dieTestdauer deaktiviert, um die Erkennungsleis-


6/48


...WITH A GOVERNMENT THAT RESPECTS PRIVATE ENTERPRISE

tungen zu verbessern. Ebenso waren die Kostender Systeme nach wie vor kein Thema. So rei-hen sich die ungelsten Schwierigkeiten mit derbereilt eingefhrten Technik aneinander.

Wichtige Fragen danach, ob die fr die Signa-tur und Authentisierung verwendeten krypto-graphischen Algorithmen zehn Jahre lang dieIntegritt der Daten auf dem Chip garantierenknnen, geraten so in den Hintergrund. Auchdie Frage nach der Ausgestaltung der bentig-ten Public Key Infrastruktur (PKI) fr die Zer-tizierung der internationalen Lesegerte istnoch immer ungelst. Die technische Spezika-tion wird erst fr den Dezember 2005 erwartet.(Siehe dazu auch den Artikel zum Annex G der

ICAO-Spezikation in dieser Ausgabe.)Die traurige Wahrheit

Es mu deutlich ausgesprochen werden: DieBiometrie in Pssen lst keine Probleme. Wieaus der BioP-II-Studie hervorgeht, an der weni-ger als 700 regelmig aktive Probanden teil-nahmen, ist die Technik bei weitem noch nichteinsatzbereit. So werden auf absehbare Zeit dieePsse nicht zur biometrischen Authentikati-on verwendet.

Die ebenfalls vom BSI zuvor durchgefhrte Stu-die BioP I [2], die sich mit der Verwendung derautomatischen Gesichtserkennung im Grenz-verkehr beschftigte, ermittelte beispielswei-se Falschrckweisungsraten (FRR) von 24 bzw.52 Prozent (bei Falschakzeptanzraten von 0,002bzw. 0,005 Prozent). Das bedeutet, da jedevierte bzw. sogar jede zweite Person bei einer

Grenzkontrolle flschlicherweise zurckge-wiesen wrde. Bei den Fingerabdrcken sah esnicht besser aus. So konnten bei ca. zwei Pro-zent der Bevlkerung gar keine Abdrcke abge-nommen werden, da sie keine ausreichend aus-geprgten Merkmale besaen. [3]

Die neue BioP-II-Studie lt die Gesichts-, Fin-gerabdruck- und Iriserkennungssysteme wie-derum nicht gut aussehen. Besonders beider Gesichtserkennung wird erneut die star-ke Abhngigkeit der Erkennungsleistungenvon Umwelteinssen wie dem Umgebungs-

licht deutlich. Die Interpretation der Ergebnis-se unterlag offensichtlich einer politische Ein-unahme, die eine unabhngige Beurteilungder Erkennungsleistungen verhinderte. Diekonkrete Datensammlung der Studie bleibt wei-ter unverffentlicht. Die vom BSI ermitteltenWerte im niedrigen Prozentbereich erscheinenauf den ersten Blick nicht problematisch, rech-net man diese aber auf die GesamtbevlkerungDeutschlands oder Europas hoch, erkennt manschnell, da es sich hier um mehrere MillionenProblemflle handelt.

Und die Personen werden nicht nur einmalbetroffen sein, sondern bei jeder Pakontrol-le erneut die Rckweisung durch die biometri-

schen Gerte erleben mssen. Die damit jeweilsverbundenen Extrakontrollen drften klar gegenden Gleichheitsgrundsatz, verankert im Grund-gesetz, verstoen.

Folgen fr alle Pabesitzer

Im vielzitierten Volkszhlungsurteil des Bun-desverfassungsgerichtes von 1984 wurde fest-gestellt, da jeder Brger ber die Preisgabeund Verwendung seiner personenbezogenenDaten selbst bestimmen darf. Ob die Abnah-me biometrischer Merkmale und deren durchden Pabesitzer nicht mehr kontrollierba-re Speicherung in Datenbanken rund um dieWelt diesem Urteil zuwiderluft, ist unter Juris-ten fraglich. Wnschenswert wre ein brger-freundliches Urteil des Bundesverfassungsge-richt zur Frage der ePsse. Als Einzelpersonist eine Klage gegen die Einfhrung der ePs-se jedoch erst dann mglich, wenn man direkt

betroffen ist. Man mu sich erst durch die nati-onalen Instanzen klagen, bevor ein Urteil desBundesverfassungsgericht oder des europi-schen Gerichtshof erwartet werden kann. Einbetrchtlich langer Zeitraum ginge ins Land,ehe entschieden wrde. Die biometrische Tech-nik wird dann lngst alltglich und unter erheb-lichen Kosten eingefhrt worden sein.

[1]http://www.heise.de/newsticker/meldung/60149[2]http://www.bsi.de/literat/studien/biop/index.htm[3]http://www.tab.fzk.de/de/projekt/zusammenfassung/ab93.pdf


7/48


WO BLEIBT DAS VGELCHEN?

55

C

Spa mit dem ePassvon starbug und

46halbe

Ihr habt unsere seit einem Jahr regelmig wiederholten Hinweise berhrt und keinenalten Reisepa beantragt? Jetzt steht ihr vor der Entscheidung, einen neuen ePass mitdigitalem Gesichtsbild und RFID-Chip fr mehr als doppelt soviel Geld zu holen oder nicht mehr auerhalb Europas verreisen zu knnen?

Wenn ihr euch fr den ePass entscheidet, gibt eshier ein paar Hinweise zum sicheren Umgangund fr Spa am Gert. Wie ihr in diesem Heft

schon gelesen habt oder noch lesen werdet, gibtes ab dem 1. November diesen Jahres eine neueGeneration des deutschen Passes. Er beinhaltet,neben den bisher schon vorhandenen Daten undSicherheitsmerkmalen, zustzlich einen RFID-Chip, auf dem der Inhalt der Maschinenlesba-ren Zone (MRZ) und ein digitales Foto gespei-chert werden.

Das Frontalfoto

Das Foto ist dafr ausgelegt, von einer automa-tischen Gesichtsbilderkennung verwendet zuwerden. Daher wird es nicht, wie bisher blich,im Halbprol im Pa erscheinen, sondern inder Frontalansicht. Deshalb nun einige Hinwei-se, was ihr beachten mt, wenn ihr zum Pho-tographen geht. Schminken solltet ihr dringendunterlassen, starke Lidstriche oder das Nachzie-hen der Augenbrauen verwirrt die Software undknnte euch flschliche Rckweisungen an der

Grenze bescheren. Eure Persnlichkeit kommtauch ohne Farbe sicher gut zur Geltung.

Auch Piercings oder Ttowierungen im Gesichtsollten gut berlegt sein, denn 10 Jahre sind einelange Zeit. Man mchte schlielich auch in vie-len Monaten noch erkannt werden. Frisuren mitvielen ins Gesicht hngenden Haaren, beson-ders in der Stirn, sind out, zumindest wenn ihrgern um den Globus reisen wollt.

Zwar sollten solche Hinweise inzwischen allePhotographen mitbekommen haben, in der Rea-

litt wird das aber sicherlich nicht der Fall sein.Der Prsident des Centralverbandes DeutscherBerufsfotografen, Hans Starosta, wirkt jeden-

falls bei seinem Vortrag auf einer Informations-veranstaltung der Bundesdruckerei noch reich-lich unvorbereitet. Auf Nachfragen reagierte ermit Schulterzucken. Und selbst wenn die Foto-graphen es wissen, ist nicht davon auszugehen,da sie sich an jedes Detail halten werden, dafrsind die Vorgaben einfach zu ungenau.

Aber es kostet euch ein Lcheln, ihn mit eurenneuen Kenntnissen ber Gesichtserkennungetwas aufzuklren. Dieses Lcheln spart ihreuch aber bitte beim Shooting, die Software istnoch nicht so ganz ausgereift.

brigens, Geld sparen amFotoautomaten istkeine gute Idee. DieFotos aus den Auto-maten entsprechenallein von der Grund-qualitt der Kameras

kaum den Vorgabenfr die automatischeGesichtserkennung.Nach neues t enRechercheergebnis-sen wurden zumin-dest einige der Auto-maten aber schon mitden aktuellen Mus-tertafeln ausgestattet.Fr Spa in der Kabi-ne ist also auf jeden Fallgesorgt.


8/48



6 6

Und auch auf mehr oder weniger Spa mitden Grenzbeamten kann man sich einstellen,wenn man die sowieso kaum funktionieren-de Gesichtserkennung zustzlich mit mani-pulierten Bildern beglckt. Mit bloem Augekaum sichtbare Vernderungen des Augenab-stands oder der Nasenposition werden mit gro-er Sicherheit zum Nichterkennen fhren. Dasist natrlich nur was fr die Hartgesottenenunter euch, die normalerweise viel Zeit beimVerreisen haben. Zwar ist es nicht erlaubt, Bil-der in digitaler Form abzugeben, aber da manheutzutage Pabilder auch zuhause ausdruckenkann, scheint nicht bekannt zu sein. Lustig wrauch, wenn ihr mal versucht, mit ausgedruck-tem Foto und sogar mit einem Foto auf dem

Handy die biometrischen Systeme an der Gren-ze zu berlisten.

Gesichtserkennungstechnisch kaum auswert-bare Bilder erzielt man durch das Tragen einerBrille. In der BioP-II-Studie des BSI beispiels-weise trugen ber 90 Prozent der flschlicher-weise erkannten Personen eine Brille mit dunk-lem Rand. Tja, die Algorithmen suchen sicheben sehr markante Punkte des Gesichts. Einschner Bart tut es brigens auch.

Allgemein ist anzunehmen, da die ungen-gende Information der Bevlkerung zu mas-siven Spannungen auf den Meldemtern fh-ren wird. Also, bereitet euch auf etwas Strevor, wenn ihr zum Beantragen geht. Es kanndavon ausgegangen werden, da alte Pafotosschon ab dem 20. Oktober von den Angestell-ten zurckgewiesen werden, sollten diese schonvon der Neuerung erfahren und eine Schulung

erhalten haben. Auch die dringendntige Fortbildungluft wahrschein-

lich aus Geld-

grnden bisher nur schleppend. Dafr lieman eine Software schreiben, welche die Qua-litt der abgegebenen Pabilder berprfen soll.Natrlich dauert es einige Zeit, bis alle Melde-mter damit ausgestattet sein werden. Aus ano-nymen Quellen ist auch leider schon bekannt,da diese derzeit noch weit von ihrer optimalenFunktionsfhigkeit entfernt ist. Sie ndet teil-weise nicht einmal die Augen in den Bildern,was eigentlich nur der erste Schritt zur Erken-nung ist. Aber das wird sicher noch besser inVersion 1.0.

Der RFID-Chip

Trotz des stolzen Betrages von 59 Euro, den

jeder bei der Ausstellung eines ePasses bezah-len mu, bleibt der Pa selbst weiterhin Eigen-tum der Bundesrepublik Deutschland. Deshalbdarf man ihn natrlich nicht absichtlich kaputtmachen. Was man also nicht machen darf, wer-den wir sicherheitshalber mal auisten:

Wer den Pa nach dem versehentlichen Mitwa-schen in die Mikrowelle legen will, dem ratenwir zur Vorsicht. Ein ungut aussehendes Brand-loch knnte die Folge sein. Aber auch Leucht-stoffrhrentester und elektrische Schweiger-te arbeiten auf Basis von 13,56 MHz - hier kannman die in den Chip eingetragene Leistungdurch den Abstand zum Gert sehr gut steuern.Daher sollte der Chip kaputt gehen, ohne Spu-ren zu hinterlassen. Natrlich sollte man sowasvermeiden! Obwohl, der Pa bliebe ja weiterhingltig. Damit knnte man wahrscheinlich auchmehrere Psse, die sich um das Gert herumbefinden, gleichzeitig zerstren. Also bitte

besondere Vorsicht walten lassen.Und wenn solch ein Gert durch Zufall anGrenzbergngen oder in den Meldemtern


9/48



77

steht (da wodie Antrag-stel ler dieDaten auf ihrem Paberprfenknnen), wr-den die St-rungen denAuslesevor-gang unmg-lich machen. Und das will ja wirklichniemand.

Eine andere unbedingt zu vermeidende Mg-lichkeit ist das huge Knicken der Padecke

(die flscherlicherweise immer als Deckelbezeichnet wird). Die Stelle, an welcher derChip mit der Antenne verbunden wird, ist sehrempndlich und geht wahrscheinlich schonnach ein paar Biegungen kaputt. Also lieber garnicht berhren. Selbst wenn man den Pa nurnormal mit sich fhrt, drfte die Lebensdauerunter 10 Jahren liegen, daher ist eine vorsichtigeHandhabung dringend anzuraten.

Man kann sich nun die Fragen stellen: Was pas-siert, wenn man einen Pa mit kaputtem Chipumtauschen will? Machen die das? Mu mandas dann extra bezahlen? Wie oft kann man dasdenn machen? Fr diese Fragen empfehlen wirdie Hotline beim Service-Center des BSI: 01805-274-300 (8-17 Uhr fr 12 Cent pro Minute).

Man braucht den Pa aber nicht kaputt zumachen, wenn man befrchtet, jemand willungefragt an die biometrischen Daten ran. Ein-

faches Mittel um das Auslesen zu verhindern,ist schlichte Alufolie. Dabei mu man diesemeist nicht mal komplett um das Dokumentwickeln, eine Lage in das Pabuch zu legen,sollte gengen. Fr Verwirrung beim Lesege-rt sorgt auch das Einbringen von zustzlichenChips in den Lesebereich. Deshalb sind sie bri-gens auch davon abgerckt, die Visa auf einemseparaten RFID-Chip auszustellen.

Warum sollte man sich aber mit Alufolie vordem Auslesen schtzen sollten? Der Grund ist,da unberechtigtes aktives und passives Abh-

ren mg-lich sein knnte. Aktiv hiee, da

der Angreifer Energie erzeugt,um den Chip zu aktivieren, ihnalso selbst anspricht. Bis zu einer

Entfernung von 10 Metern ist dies mglich. Also

empehlt es sich, ab und an die Verhaltenswei-sen der Personen auf der anderen Straensei-te zu beachten. Passives Abhren bedeutet, dader Angreifer die ofzielle Kommunikation zwi-schen dem Pa und dem Lesegert (zum Bei-spiel an der Grenze) mithrt. Dieses ist bis zu30 Metern und unter Laborbedingungen sogarschon bis zu 50 Metern mglich. Es sollten alsoauch die Personenkraftwagen, die vor dem Flug-hafen warten, beobachtet werden.

Natrlich hat das BSI vorgesorgt. Um das Ausle-sen der biometrischen Daten zu verhindern, gibtes kryptographische Sicherungen. Fr die digi-talen Gesichtsbilder und alle Daten der maschi-nenlesbaren Zone (MRZ) gengt die sogenann-te Basic Access Control. Diese ist keineswegssicher und kann gebrochen werden. (Siehe auchden Artikel zum Annex G der ICAO-Spezika-tion in dieser Ausgabe.) Sollte ein Angreifer dieverschlsselten Daten erhalten haben, kann er

sich zuhause in Ruhe an die Brute-Force-Ent-schlsselung machen. Hilfreich wre, wennder Angreifer die Daten der MRZ in Kopie bes-e. Dazu mu er nur einmal kurz den Pa indie Hand bekommen. Man denke an die Pa-kopie bei der Hotelanmeldung im Ausland oderdie Anmeldung fr eine Karte der Fuball-WM2006.

Vielleicht sollte man doch berlegen, ob Mikro-welle und Alufolie gegen diese Unterwande-rung der Informationellen Selbstbestimmungzu erwgen wren...


10/48


BER SINN UND UNSINN VON OTTO SCHILYS LIEBLINGSPROJEKT.

8 8

C

Sicherheit durch Biometrie?von Quintus Dalemicus und 46halbe

Die Verpichtung jeden Brgers, seine biometrischen Daten in Ausweispapieren anzuge-ben, stellt in juristischer Hinsicht einen schweren Eingriff in das Grundrecht auf Informa-tionelle Selbstbestimmung dar. Vor dem 11. September 2001 wre eine solche Manahmein Deutschland wohl undenkbar gewesen. Nun wird sie jedoch von den meisten Menschenohne Aufruhr hingenommen, die allgemeine Sicherheitshysterie macht es mglich.

Offenkundig nutzte der scheidende Bundesin-nenminister Otto Schily die Gelegenheit, im

Schatten der Anschlge der letzten vier Jahrevorschnell eine berwachungstechnologie ein-zufhren, die noch nicht einmal richtig funkti-oniert. (Siehe dazu den Artikel zur BioP-II-Stu-die in dieser Ausgabe.)

Die biometrische Technologie kann in eini-gen Jahren serienreif sein, doch dann knntesich die politische Landschaft bereits genderthaben. Vielleicht wird Osama bin Laden danngeschnappt sein. Vielleicht wird die Hysterieum den Terrorismus nicht mehr so frisch in denKpfen der Menschen sein. Vielleicht wrdengar biometrische Ausweise, eingefhrt mit demArgument der Sicherheit, auf Widerstand sto-en. Auch gegenwrtig scheint die Akzeptanzbegrenzt, schlielich mute Schily sein Lieb-lingsprojekt ber den Umweg des EU-Minister-rats auf den Weg bringen und mit Rechtsverord-nungen am Bundestag vorbei umsetzen, da ihmVertrauen und Untersttzung der rot-grnen

Bundestagsfraktionen fehlten. Das ganze Vor-gehen ist nur ein weiterer Beleg fr die schlei-chende Entmndigung der nationalen Par-lamente durch die undemokratische EU. DieBedenken und Einwnde des EU-Parlamenteswaren bereits zuvor per Erpressung aus demWeg gerumt worden.

Die innewohnenden Probleme der biometri-schen Systeme lassen sich in zwei Kategorienunterteilen; erstens die Verizierung vom rea-len Menschen mit dem gespeichertem Merkmal,obwohl diese nicht bereinstimmen (Falschak-

zeptanz), zweitens die Abweisung einer geprf-ten Person, obwohl das gespeicherte Merkmal

zu dieser Person gehrt (Falschrckweisung).Beide Kategorien von Fehlern bedingen anei-nander und sind unakzeptabel, sobald siegehuft vorkommen. Fehler der ersten Katego-rie fhren den angeblichen Sicherheitsgewinnad absurdum, die Fehler der zweiten Kategoriestellen die betreffenden Personen unter unbe-grndeten Verdacht. Fr diesen Verdacht istes unerheblich, ob er nun 25, 10 oder 5 Prozentder Menschen betrifft. Fr sie wird eine ange-kndigte verschrfte Kontrolle, wie immer dieauch aussehen mag, ntig. Das ist fr die Betrof-fenen erstens ungerecht, zweitens zeitaufwen-dig und drittens recht unangenehm, denn freinmal flschlich zurckgewiesene Pabesit-zer ist die Wahrscheinlichkeit hoch, da sie vonnun an fter betroffen sein werden.

Sinnvoll gegen Terrorismus?

Was bringt nun der Einsatz biometrischer Aus-

weispapiere im Kampf gegen den Terrorismus?Kurz gesagt: nichts. Es handelt sich vielmehrum ein Sicherheitsplacebo, mit dem Aktivittsuggeriert wird. Die neuen Dokumente sollenangeblich flschungssicherer sein als bisherigeund die Benutzung echter Papiere durch jeman-den anderes als den Eigentmer verhindern.Den ersten Punkt kann man getrost als schlech-ten Scherz verbuchen. Wie weithin bekannt,zhlen die deutschen Ausweispapiere heutebereits zu den flschungssichersten Dokumen-ten der Welt. In den letzten Jahren gab es nurwenige Flschungsversuche, und die waren alle-


11/48



99

samt reichlich erfolglos. Das Bundesinnenmi-nisterium behauptet jedoch, es gbe ein groesGeflle innerhalb der EU, was die Flschungs-sicherheit angeht. Das ist wahr, auch hinlng-lich bekannt. Die Frage aber, warum dann nichteinfach alle EU-Staaten den jetzigen deutschenStandard bernehmen, bleibt unbeantwortet.Wre ja auch ein schnes Geschft fr die pro-tegierte Bundesdruckerei. Auch die AussageSchilys, da der 21. Attentter des 11. Septem-ber monatelang mit einem geflschten franz-sischen Pa durch Europa gereist sei, rechtfer-tigt wohl kaum die Einfhrung biometrischerPsse. Der Kriminelle hatte nmlich schlichteinen Meldebeamten bestochen und sich einenPa ausstellen lassen. Warum Biometrie dies

in Zukunft verhindern soll, kann auch Schilynicht erklren.

Der Test auf bereinstimmung zwischenPainhaber und Pabenutzer ist etwas inter-essanter. Hierbei unterstellt man dem Inhabereines EU-Ausweisdokumentes, da er seinenPa an einen Doppelgnger, der beispielsweisegesucht wird oder kein EU-Staatsbrger ist, wei-tergeben knnte, der damit umherreisen wrde.Dies zu unterbinden, knnte illegale Einrei-sen verhindern. Htte es jedoch die Anschlgein den USA, in Madrid oder in London verhin-dert? Sicher nicht, da die Tter nicht polizeilichgesucht wurden, legal einreisten und folglichihre echten Psse benutzen konnten, biome-trisch oder nicht. Das Argument, die neuenDokumente seien ein Werkzeug gegen den Ter-rorismus, ist somit in jeder Hinsicht unhaltbar.

Gute Geldanlage bei knapper Kasse?

Ein weiterer Aspekt sind die enormen nanziel-len Kosten der ganzen Manahme. Dabei ndeteine gigantische Fehlallokation von Ressour-cen statt. Denn die Milliarden fr die Herstel-lung der Psse, die Herstellung und Wartungder Lesegerte, die Schulung des Grenzperso-nals etc. fehlen an anderer Stelle. Die Bereitstel-lung nanzieller Mittel fr die Integration vonMenschen mit Migrationshintergrund, die Kon-trolle an Grenzen auf Waffen und Sprengstoffe,die Ausrstung und das Training von Rettungs-krften, die Resozialisierung von Strafflligen

und vieles mehr wre gesamtgesellschaftlicheine sinnvollere Investition als die Verschwen-dung fr nicht funktionierende biometrischePsse oder Ausweise.

Sollte die Technologie eines Tages doch funk-tionieren, drohen uns noch grere Schwie-rigkeiten. Biometrie und RFID bieten mannig-faltige Mglichkeiten der berwachung vonMenschen. Beides wird nun Schritt fr Schritteingefhrt. Erst das digitale Gesichtsbild, danndie Fingerabdrcke, erst im Reisepa, dann imPersonalausweis - die klassische Salami-Taktik.

Gefahren fr Freiheit und Demokratie

Die RFID-Chips sind nicht umsonst auch alsSchnffelchips bekannt. Mit der entsprechen-den Infrastruktur an Lesegerten, etwa in jederTr, in jeder Straenlaterne oder unter Gehweg-platten, kann man die Bewegungen eines Men-schen, der einen solchen Chip bei sich trgt,mhelos verfolgen und archivieren. BeliebigeOrwellsche Szenarien kann man sich vorstel-len. Ob die kryptographischen Sicherungen dieGefahr, die in den RFID-Chips steckt, dauerhafteindmmen kann, darf bezweifelt werden.

Neben der Gefahr durch die Schnffelchipsbirgt auch der Einsatz biometrischer Merkmaleenorme Risiken. Durch die Interventionen desEU-Parlaments konnte gerade noch verhindertwerden, da alle biometrischen Daten in einerzentralen Datei gespeichert werden. Dies hattendie Innenminister der EU in der ihnen eigenendreisten Selbstverstndlichkeit gefordert. Dochauch ohne eine zentrale Referenzdatei besteht

die Mglichkeit, da staatliche Bedarfstrgerdie biometrischen Daten jedes Menschen einse-hen knnen, wenn diese dezentral in den Mel-destellen gespeichert und beispielsweise bereine Suchmaschine abgefragt werden. Das wrepraktisch dasselbe wie eine zentrale Daten-sammlung, es klingt nur nicht so nach DrittemReich und Zentralkartei.

Ein digitalisiertes Gesichtsbild kann mit derGesichtserkennungssoftware von berwa-chungskameras, die sich in Europa wie einePlage ausbreiten, kombiniert werden. Bisher


12/48



1010

werden Menschen vielerorts einfach anonymgelmt, man knnte mit den Kameras jedochan das Gesicht der Person auch heranzoomen,es mit biometrischen Daten abgleichen und diePerson identizieren. Hiermit lieen sich dieBewegungen von Menschen berwachen oderdie Teilnehmer einer Demonstration identizie-ren. Da der einmal bekanntgewordene Einsatzsolcher Techniken Menschen davon abhaltenknnte, noch an Demonstrationen teilzuneh-men, wre ein Sndenfall der Demokratie.

Neben dem Bild kommt ab 2007 die Aufnahmedes Fingerabdrucks hinzu. Pltzlich mssengesetzestreue Menschen ihre Fingerabdrckeabgeben wie gewhnliche Kriminelle. Da jeder

Mensch seinen Fingerabdruck an vielen Stellenhinterlt, ffnet dies der Kreativitt von Krimi-nellen, falsche Fhrten am Tatort zu legen, Trund Tor. So knnten aber auch zufllig die Fin-gerabdrcke eines Menschen an einem Gegen-stand sein, der ber irgendwelche Umwege amSchauplatz eines Mordes oder einer Entfh-rung landet. Obgleich diese Person nichts mitder Tat zu tun hat, wird sie pltzlich zum Ver-dchtigen.

Der ePass wird das Recht auf InformationelleSelbstbestimmung noch weiter aushhlen. DieEinfhrung der biometrischen Ausweisdoku-

mente reiht sich ein in eine Folge von Verletzun-gen dieses Grundrechtes. Die sich immer weiterausdehnende Videoberwachung, die automa-tische Kennzeichenerfassung, der groe Lau-schangriff, die Jahr fr Jahr steigenden Telefon-berwachungsmanahmen, die Speicherungvon genetischen Informationen in digitalerForm, die Aufhebung des Bankgeheimnisses,die noch immer diskutierte Vorratsdatenspei-cherung von Telefon- und Internetdaten; dieListe auf dem Weg zum berwachungsstaatliee sich noch fortsetzen. Das alles wird imNamen der Sicherheit durchgefhrt, und vieleMenschen akzeptieren das aufgrund der gestie-genen Angst vor Terrorismus oder Verbrechen.Wohlgemerkt, aus bloer Angst, denn tatsch-

lich sinkt die Kriminalitt real seit Jahren.Durch immer mehr berwachung in Kombi-nation mit den Mglichkeiten durch biometri-sche Erfassung wird ein Datennetz gesponnen,das die freie Entfaltung der Menschen nachhal-tig verndert und zunehmend verhindert. Diesstellt eine Gefahr fr die ohnehin durch dieSchleichwege ber EU-Verordnungen gefhrde-te Demokratie dar. Wer sich immerzu berwachtwei, der wird alles tun, um nicht aufzufallen.Die Demokratie lebt jedoch vom Mitmachenund von der Auseinandersetzung.

Schlagbaum am BahnhofWinsen an der Luhe


13/48


14/48


I WILL NOT BUY THIS RECORD, IT IS SCRATCHED

1212

C

Authentifikation:

Authentikation ist der Vergleich eines vorherenrolten biometrischen Merkmals gegenein aktuell vorgezeigtes Merkmal. Dabeiunterscheidet man zwischen Verikation und

Identikation.BAC (Basic Access Control):

Die BAC ist ein einfaches kryptographischesVerfahren zur verschlsselten Kommunikati-on des ePasses mit dem Lesegert. Der Key wirddabei aus den Daten der MRZ generiert. Da derSchlsselraum nicht besonders gro und auchrelativ leicht zugnglich ist, werden auf dieseWeise nur vorgeblich wenig sensitive Informa-tionen, das digitale Gesichtsbild und der Inhaltder MRZ, geschtzt.

Biometrie:

Der Begriff Biometrie setzt sich aus den griechi-schen Worten bio (das Leben) und metron (dasMa) zusammen und bedeutet die Vermes-sung des Lebens. Heutzutage bezeichnet derBegriff die Erfassung oder Erkennung von Per-

sonen anhand von spezischen Krpermerkma-len.

EAC (Extended Access Control):

Die EAC ist ein kryptographisches Verfahrenzur zustzlichen Verschlsselung der Kommu-nikation fr sensitivere Daten des ePasses, wiez.B. die Fingerabdruck- oder Irisbilder. Grund-lage ist RSA/DSA mit elliptischen Kurven undHashes von 224 Bit (in Deutschland). Dabeimu einzelnen Staaten der Zugriff auf die

Daten explizit erlaubt werden. Das Keymanage-ment ist durch eine PKI realisiert.

Enrolment:

Das Enrolment bezeichnet den Vorgang, biome-

trische Merkmale in das System aufzunehmen.Dabei werden in der Regel mehrere Bilder desMerkmals gemacht. Sie werden in gemittelterForm als Template hinterlegt.

Fehlerraten:

FTA (Failure To Acquire): Die FTA gibt dieWahrscheinlichkeit an, mit der ein Merkmalnicht vom Sensor aufgenommen werden kann.

FTE (Failure To Enrol): Die FTE gibt die Wahr-scheinlichkeit an, mit der die Erkennungssoft-ware aus den Daten des Sensors keine Merkma-le extrahieren kann.

FRR (False Rejection Rate): Die Falschrckwei-sungsrate gibt die Wahrscheinlichkeit an, mitder der rechtmige Besitzer der biometrischenReferenzdaten flschlicherweise zurckgewie-sen wird.

FAR (False Acception Rate): Die Falschakzep-tanzrate gibt die Wahrscheinlichkeit an, mit derein fremdes Individuum bei der Prsentation

seines biometrischen Merkmals flschlicher-weise als der rechtmige Eigentmer der Refe-renzdaten erkannt wird.

Biometriepa GlossarFr die Experten im Chaos Computer Club ist der Umgang mit den Fachworten der Bio-metrie inzwischen Alltag. Um dem Interessierten Neuling auf diesem Gebiet den Einstiegin das Thema zu erleichtern, haben wir die wichtigsten Begriffe kurz zusammengefat.


15/48


I WILL NOT BUY THIS RECORD, IT IS SCRATCHED

1313

ICAO (International Civil AviationOrganization):

Die internationale Zivilluftfahrtsorganisation ist eine Sonderorganisation der VereintenNationen, welche mit der Planung deszivilen Luftverkehrs beauftragt ist. Sie wurde1944 gegrndet, hat ihren Sitz in Montrealund verfgt ber sieben Regionalbros.Zu ihren Aufgaben gehrt die Regelungder internationalen Verkehrsrechte, dieStandardisierung und der Aufbau vonInfrastrukturen.

Identifikation:

Die Identikation ist der 1:n Abgleich gegenmehrere, in einer Datenbank gespeichertenTemplates.

LDS (Logical Data Structure):

Standardisiertes Datenformat fr weltweiteInteroperabilitt bei der Speicherung der biome-trischen Informationen

MRTD (Machine Readable TravelDocuments):Als maschinenlesbare Reisedokumente nachder ICAO-Spezikation verstehen sich auch derdeutsche Reisepa sowie der Personalausweis.Beide beinhalten zwei Textzeilen in einer OCR-optimierten Schriftart (OCR-B). In der neu-esten Fassung beinhalten die Spezikationenauch die Aufnahme eines RFID (siehe Artikel).

MRZ (Machine Readable Zone):Maschinenlesbarer Bereich auf Ausweisdoku-menten. In Deutschland beinhaltet er die Aus-weisnummer, das Geburts- und das Gltigkeits-datum sowie Prfziffern. Diese Daten sind inder Schriftart OCR-B aufgedruckt und knnenoptisch ausgelesen werden. Sie dienen der Ver-schlsselung der Kommunikation zwischenLesegert und RFID-Chip im ePass.

OCR (Optical Character Recognition):

Texterkennung oder auch Optische Zeichener-kennung ist ein Begriff aus dem IT-Bereich undbeschreibt die automatische Texterkennung voneiner gedruckten Vorlage.

OCR-B

Eine 1968 von Adrian Frutiger fr Monotypeentworfene Schriftart, die ebenso wie die lte-re OCR-A fr das rechnergesttze Auslesenoptimiert wurde, aber im Gegensatz zur OCR-A eine bessere Lesbarkeit fr Menschen bringt.OCR-B ist zum ISO 1073/II-1976 (E) Standardkonform.

PKI (Public Key Infrastructure):

Eine PKI ist eine zertikatsbasierte Technologiezur Verwaltung und Verteilung von kryptogra-phischen Schlsseln. Sie dient dem Zugriffs-schutz.

RFID (Radio Frequency Identification):

RF-Chips sind winzige Transponder. Sieknnen per Funk Daten zu einem Lesegertbermitteln und von diesem zu empfangen.RF-Chips sind in verschiedensten Bauformenund Leistungseigenschaften am Markterhltlich.

Template:

Als Template wird der Datensatz bezeichnet, derbeim Enrolment angelegt wird und das biome-

trische Merkmal der Person enthlt. Templa-tes knnen entweder in Datenbanken oder auf SmartCards gespeichert werden.

Verifikation:

Die Verikation beschreibt einen 1:1 Abgleichzwischen dem aktuell gemessenen Merkmalund einem Template. Vor Beginn mu dem Sys-tem das Merkmal oder eine eindeutige ID ber-geben werden, die ein Template reprsentiert.


16/48


ALWAYS ASK YOURSELF: "WHAT WOULD MACGYVER DO"!

1414

C

Fingerabdrcke nachmachenleichtgemachtEine Anleitung zum Kopieren von Fingerabdrcken mit Haus- und Bromitteln.

Zum Erstellen einer Fingerspitzenattrappebentigt man natrlich zuerst ein Original.Gute Quellen fr Fingerbilder sind Glasober-chen, Hochglanzpapier und poliertes Metall.

Die Fett- und Schweirckstnde ergeben ent-lang der Kapillaren das Muster. In Kriminalis-tenkreisen ist die blichste Methode zum Sicht-barmachen des Bilds farbiges feines Pulver,welches mit einem weichen Pinsel aufgetragenwird:

Da wir uns jedoch auf Hausmittel beschrnkenwollen, benutzen wir die niederschlagendenDmpfe von Sekundenkleber. Dessen Hauptbe-standteil, Cyanoacrylat, reagiert hervorragendmit dem Fett im Fingerabdruck. Wer schoneinmal Sekundenkleber an den Fingerspitzenhatte, wird das besttigen knnen.

Um den Dampf auf dem Fingerabdruck zu kon-zentrieren, hlt man einfach eine Kappe vollKleber darber und wartet, bis er aushrtet.


17/48



1515

Fr die weitere Bearbeitung am Rechner kannund mu das Bild nun digitalisiert werden.Pro-Equipment ist dazu nicht vonnten, einehandelsbliche Digitalkamera gengt.

Nun kann am Bildbearbeitungsprogamm dieQualitt des Bilds verbessert werden, Kantendeutlicher hervorgehoben und der Kontrasterhht werden.

Da unsere Fingerattrappe wie ein Stempel funk-tioniert, mu ein deutliches Relief in die Massegebracht werden. Der einfachste Weg ist, miteinem Laserdrucker das Negativ des Fingerbildsauf Folie zu drucken.

Der Toner schichtet sich, je nach Helligkeit, inunterschiedlicher Dicke auf der Folie auf. Wirerhalten das gewnschte Relief.

Die Masse, in die wir das Relief prgen, braucht

Eigenschaften, die uns unter anderem Holzleimmitbringt: plastisch formbar bis zum Aushr-ten, danach elastisch auf der Fingerkuppe undnatrlich leicht klebend.

Um die optimale Viskositt zu erhalten, kannman gerne noch etwas Glycerin beigeben. Dieentstehende Mischung bringt man nun gleich-mig in dnner Schicht auf die Folie auf.

Nach ein paar Minuten ist der Kleber ausge-hrtet und bringt bereits alle Eigenschaftenfr eine gute Maskierung des eigenen Finger-bilds mit: hohe Elastizitt, geringe Dicke (damitdie Attrappe nicht auffllt) und natrlich eineKopie des Fingerbilds, mit dem wir uns verklei-den wollen.


18/48



1616

Nun mu die Attrappe nur noch in Fingerab-druckgre ausgeschnitten und mit ein wenigKleber (am unbedenklichsten: Maskenkleber,aber nicht in jedem Haushalt zu nden) xiertwerden.

Der Chaos Computer Club wnscht viel Spamit ihrer neuen Identitt.


19/48


KNOWLEDGE BRINGS FEAR

1717

C

Inside ePassportsvon Harald Welte

Electronic passports that are deployed arond the world (including Germany) will be basedon RFID technology. To understand its implication, knowledge about those technologiesis essential.

Introduction

Technically speaking, ePassports are ICAO com-pliant MRTDs. ICAO is an international body

that already species the current OCR readab-le lines on travel documents. The ICAO MRTDspecications are publicly available from theICAO homepage.

From a technical point of view, ePassports areISO 14443-1,2,3,4 compliant contactless smartcards. On top of 14443-4 transport layer protocol,APDUs according to ISO 7816-4 are exchanged.For those readers who are not familiar withsmart card technology: ISO 7816-4tries to spe-cify interindustry commands for interchangewith ID cards.

The ISO 7816-4 smartcard provides a lesys-tem based interface to the information stored onthe ePassport. The application software issueshigh-level commands such as SELECT FILE,READ BINARY to theMRTD. The ICAO recom-mends a minimum memo-

ry size of 32kBytes. Howe-ver, it recommends as muchmemory as possible, andindicates 512kBytes as a tar-get. As of now, the MRTDchip has to operate in a writeonce, read many fashion.After the document is issu-ed, it must not be allowedto change any data. Futurestandards may include thepossibility to store electro-nic visa data. Passport-Sample (14443-B) and CM5121 Reader PCB

Organization of Data

Data on the ePassport is organized accordingto a specication called LDS (logical data struc-

ture). LDS specifies a number of DG (DataGroups), as well as the encoding of the data. Themost important data groups are:

DG1 (mandatory) contains the same data asprinted on the cover page like name, date of birth, expiration date, document number, nati-onality, etc. DG2 (mandatory) contains the JPEG2000encoded facial image and corresponding biome-tric data DG3 (optional) contains biometric ngerprintdata - not in German passports DG4 (optional) contains biometric iris data -not in German passports

ICAO requires data in DG1 and DG2 to be storedunencrypted, since it only resembles the data


20/48



1818

that is human-readable on the printed pages of the passport. Additional biometric data suchas iris and/or ngerprint information may bestored in an encrypted format. As of now, this isup to the issuing country. Any form of encryp-tion is outside the ICAO MRTD specicationsand will thus not work interoperable on an inter-national level.

All biometric information stored within LDSis further encoded according to CBEFF (Com-mon Biometric Exchange File Format, NISTIR6529-A), a common le format that facilita-tes exchange and interoperablity of biometricdata. Each data group is cryptographically sig-ned. The signature is stored in EF.SOD (Securi-

ty Object Data).Security FeaturesRandomization of unique serial number All ISO14443 compatible RFID chips disclose aunique serial number during the anticollisionprocedure. This poses the potential threat of pseudonymised tracking. The German BSItherefore requires this randomization of theserial number.

Passive Authentication (mandatory)Passive authentication performs verication of

the EF.SOD signature(s). This assures that thecontent of the data groups is signed by the issu-ing country. However, passive authenticationdoes not prevent copying of a MRTD.

Active Authentication (optional)Active authentication can be employed to verifythat the chip has not been substituted. It isbased on a challenge response protocol. TheMRTD chip contains an active authenticationpublic key pair (KPrAA and KPuAA). A hashrepresentation of KPuAA is stored in EF.SODand therefore authenticated by the issuingcountry certiate. KPrAA is stored in on-chipsecure memory.

Basic Access Control (optional, implementedin Geman ePassports)Basic access control denies access to the MRTDchip until the inspection system proves that itis authorized to access the chip. This proof of authorization is done by deriving a pair of keys(Kmac and Kenc) from the OCR-read machinereadable zone (MRZ). BAC can therefore pre-vent unauthorized harvesting of passportdata without being noticed by the passport hol-der. BAC also mandates that any communica-tion following-up to BAC has to be encryptedvia ISO 7816-7/8 secure messaging (SM). This


21/48



1919

transport level security can be somewhat com-pared to running TLS on top of a TCP session.

Extended Access Control (optional)Extended Access Control prevents unauthorizedaccess to additional biometrics. It is similar toBasic Access Control, but requires separate keysand key management. There is no ICAO MRTDstandard on how it is implemented or used, andtherefore subject to the issuing state.

The Public Key Hierarchy

The PKI hierarchy is obviously nothing thatdirectly affects the passport itself. However, itis integral to the security of the system, so this

paper provides a quick overview:All keys are issued in the familiar form of X.509certicates. Each issuing state operates its ownCountry Singing CA. There is no supernati-onal Root CA. This is neccessary, since everycountry decides on its own if it recognizes a par-ticular other country. This also means that everyreader (inspection system) has to store theDocument Signer Certicate of every recogni-zed issuing country.

The individual ePassports are signed usingDocument Signer Keys. The Document SignerKeys are in turn signed by the Country SigningCA. Document Signer keys have limited lifeti-me, and it is recommended that issuing coun-tries delete the private key after the last passportfor that key has been issued. Issuing coun-tries have to provide certicate revocation lists(CRLs) at least every 90 days, but not more often

than every 48 hours.The ICAO operates a public key directorywhich will be set up as X.500 directory, updatesare performed over LDAP. All communicationwith the PKD is SSL authenticated. The PKDstores Document Signer Certicates, but notCountry signing CA certicates. ICAO veri-es signatures of all incoming Certicates andCRLs before making them available. The PKDhas public read access on the internet. Coun-try signing CA certicates will be provided bila-terally between countries.

Crypto Algorithms

The ICAO MRTD specification allows RSA,DSA and Elliptic Curve DSA with various mini-mal key lengths:

Algorithm ActiveAuth

Document Signer

Country Signing CA

RSA 1024 2048 3072

DSA 1024/160 2048/224 3072/256

ECDSA 160 224 256

Security threatsSmall Keyspace of basic access controlThe entropy of the MRZ data used to deriveKenc and Kmac for basic access control is verylimited. The nine digit document number isconcatenated with the date of birth and theexpiration date of the document.

Since ICAO MRTD specications recommendePassports not to be valid for more than veyears, the expiration date can only be one out of (365*5 = 1325) values.

The date of birth can realistically assume onlyvalues between 18 and 90 years old (365*72 =26280). Also, in case of a specic person, therange of the DOB can often be estimated to acertain range.

Document Numbers are issued sequentially insome countries, and can therefore be reduced tocertain ranges. In Germany, the rst four digits

specify the issuing department, and the follo-wing ve digits increment sequentially.

Grandmaster Chess Attack

The Active Authentication mechanism is meantto prevemt chip substitution (e.g. carbon copy-ing). However, it cannot prevent a grandmasterchess attack, where the inspection system talksto a proxy chip that would temporarily com-municate with the original MRTD.


22/48


BSI BERRASCHT: BIOMETRIE FUNKTIONIERT NICHT!

2020

C

Die Auswertung der BioP IIStudie des BSI

von Zapf Dingbatz und 46halbe

Auf die 170-seitige Studie BioP II, die vom BSI beauftragt wurde, um die Praxistauglich-keit biometrischer Systeme zu testen, lohnt ein etwas lngerer Blick. Wir haben ihn gewagtund wollen euch die Ergebnisse nicht vorenthalten.

Vor dem Gesetzemachen sollte die Sachkundekommen. So wre es zumindest idealerweise.

Biometrie ist ein recht neues und unerforsch-tes Feld. Also, dachte sich der Gesetzgeber, wrees eine gute Idee, vor der massenweisen Ein-fhrung von biometrischen Merkmalen in Per-sonaldokumenten erstmal zu prfen, ob dasGanze berhaupt funktioniert. Da das Ergebnisder ersten Studie des Bundesamtes fr Sicher-heit in der Informationstechnik (BSI) dazu nichtso ganz praxisnah war, wurde nunmehr ein gr-er angelegter Feldtest angesetzt, die BioP-II-Studie. Durchgefhrt von der Secunet Securi-ty Networks AG, dem Dienstleister fr (fast) alleFlle des BSI.

Nun interessiert sich aber der dazumaligeInnenminister, der allseits beliebte und bekann-te Otto Schily, nicht allzusehr fr Fakten. Dadie ganze hochgelobte Biometrie nicht funkti-onieren knnte, war keine in Frage kommen-de Mglichkeit. Es ging ja schlielich um dieSicherheit des Abendlandes vor den Gefahren

des internationalen Terrors und die Frderungder darniederliegenden deutschen Industrie.Also drckten seine Ministerialen unter Schilysgide ber den Umweg EU und ICAO am Bun-destag vorbei durch, da Fingerabdrcke undGesichtserkennung in die Reisepsse kommen.Wohlgemerkt, bevor die Ergebnisse der BioP-II-Studie ofziell vorlagen, die dochHilfestel-lung fr die Art und Weise der Einfhrung der neuen ePsse geben sollten. Nicht, da Schilydie Ergebnisse der Studie nicht schon gekannthat; Mitarbeiter des BSI zeigten bereits ab Frh-

jahr 2005 Teilergebnisse auf Symposien undInformationsveranstaltungen herum.

Das BSI, eine deutsche Behrde mit allen Vor-und Nachteilen, publizierte mit mehrmonatigerVersptung dann das Ergebnis mit dem lapida-ren Hinweis, da die politischen Gegebenhei-ten die Zielsetzung der Studie leider berholthtten. Nun ist aber das BSI eine nachgeord-nete und damit weisungsgebundene Behrdedes Innenministeriums. Dies schlug sich dannauch deutlich in der Interpretation der Studi-enresultate und der Flle der nicht publizier-ten Details nieder. Das Amt stellte die Version1.8 der Studie fr einige Stunden online, zog siedann wieder zurck und publizierte Tage spterdie Version 2.0.

Durch diesen Zufall ist ein gewisser Einblickin den Proze der Bearbeitung mglich. Leidergehen die daraus zu gewinnenden Erkenntnis-se nicht ber die Besttigung des Verdachts derdramatischen politischen Einunahme hin-

aus. Eine Version 1.0 oder so mit allen Anhn-gen wre sehr interessant (falls die jemandrumliegen hat: email an [email protected] oder im vor-geschriebenen neutralen braunen Umschlag andie bekannte Adresse aus dem Impressum).

Hier nun eine Auswertung der Studie unterBercksichtigung beider Versionen. Dergeneigten Leser kann die Studie als Referenzhinzuziehen, da wir fr einige Anmerkun-gen die Seitenzahlen der Version 2.0 angeben:http://www.bsi.de/literat/studien/biop/biopabschluss2.pdf


23/48



2121

Aufbau der Studie

Je ein Iris-, ein Gesichts- und zwei Fingerab-druckerkennungssysteme wurden an vier Test-standorten am Flughafen Frankfurt/Main voninsgesamt 2081 Mitarbeitern der Fraport AG,der Lufthansa AG und des Bundesgrenzschut-zes (heute Bundespolizei) getestet. Der Feld-test gliederte sich in zwei Testzyklen von jeweilsacht Wochen.

Es handelte sich um vier bereits am Marktbefindliche Produkte. Der sogenannte Test-sieger der vorangegangenen BioP-I-Studie derFirma Cognitec Systems GmbH wurde als einzi-ges Gesichtserkennungssystem geprft. Offen-

bar hoffte man, sie htten ihr Produkt mit-tlerweile verbessert.Auerdem wurden ausacht nicht in der Stu-die benannten Anbie-tern nach unklarenAuswahlkriterien zweiFingerabdrucksystemeder Firmen DermalogIdentication SystemsGmbH und Bundes-druckerei GmbH aus-gewhlt. Der vier-te Kandidat war dasIriserkennungssys-tem von SD IndustriesGmbH (heute takeIDGmbH). Man kann nurspekulieren, was dieTester bewegte, gera-de diese Anbieter aus-

zuwhlen. In der Stu-die findet sich nurder Hinweis auf eineMarktsichtung ohneAngabe der Kriterien.

Die Probanden erhiel-ten eine SmartCard(RF-Token) mit einerUserID. Diese sollteden Chip im Pa simulieren. Die verwendetenChips waren jedoch aufgrund der Verfgbar-keit und Kostensituation leider nicht ICAO-

konform. Schade, war die ICAO-Konformittdoch gerade eine wesentliche Zielsetzung derStudie. Die eigentlich vorgesehenen Untersu-chungen zur RF-Technik und deren Sicherheits-mechanismen muten daher nun in eine sepa-rate Projektreihe ILSE ausgelagert werden.

Ganz zeitgem wurde aber die Teilnehmermo-tivation angegangen. Im Rahmen des Enrol-ments konnten die Testpersonen an einer Verlosung teilnehmen, bei der es Uhren mit

projektspezischem Design zu gewinnen gab.Um einem Sinken der Bettigungszahlen ent-

gegenzuwirken, wurde whrend des Feldtestseine Incentivierung fr Teilnehmer ausge-lobt, die eine Mindestanzahl von Bettigun-

gen erreichen. Wie genau die Incentivie-rung aussah, bleibt leiderunklar. Stilecht wren Kaf-feetassen, Kalender, Kugel-schreiber und Klopapiermit projektspezifischemDesign gewesen. Trotzdieser umfangreichenMotivationsmanahmensprangen etwa 400 Teil-nehmer nach dem Enrol-ment ab, 1600 Probandensind also die eigentlicheGesamt-Testpopulation.

Enrolment

Die Failure to Enrol (FTE)Rate zeigt an, wieviel Pro-zent der Teilnehmer nichterfat werden knnen. Bei

der Fingerabdruck- undIriserkennung sind 0,4 bis0,99 Prozent der Teilneh-mer bereits beim Enrol-ment gescheitert. Fr dieGesichtserkennung konn-ten zwar alle Proban-den enrolt werden, jedochweist die Studie auf denUmstand hin, da es in

der Praxis Personen geben wird, bei denen ausreligisen oder kulturellen Grnden keine Auf-nahmen des Gesichtes mglich sein werden.

Hygiene muss grogeschrieben werden


24/48



2222

Da war ihnen wohl die null Prozent FTE beider Gesichtserkennung selbst unheimlich. Dasunrealistische Enrolment-Setup (speziell vonExperten angefertigte Bilder, Nachbearbeitungmit Adobe Photoshop) drfte aber der eigentli-che Grund fr die unrealistisch niedrige FTE-Rate sein.

Doch nicht nur das, denn die Messung der FTEin der Studie schliet Fehler, die durch falscheBedienung der Systeme beim Enrolment ent-standen sind, explizit aus. Sie werden gar nichtals Fehlversuch ausgewiesen. In der Praxis istdaher natrlich eine hhere FTE zu erwarten.Hinzu kommt, da die Ergebnisse der FTEnochmals dadurch geschnt wurden, da ein

Re-Enrolment vorgenommen wurde. Man mach-te kurzen Proze und erfate bis zu 5 Prozentder Teilnehmer einfach nochmals. Die Begrn-dung ist so einfach, wie sie vermutlich gelo-gen ist: Systemfehler. Behauptet wird, dawhrend des ersten Enrolments teilweise keineTemplates in der Datenbank gespeichert wor-den wren. Dies erscheint ziemlich zweifelhaft,da jeweils nach einem Enrolment immer eineTestverikation stattndet. Diese kann ohneein Template aber nicht funktioniert haben. Esbleibt also der Verdacht, da die in der Einfh-rungsphase besonders hug zurckgewiese-nen Personen re-enrolt wurden, um die Ergeb-nisse der FTE zu verbessern. Gnstig ist dabeiauch der Mitnahmeeffekt - die Falschrckwei-sungsrate sinkt ebenfalls. Praktisch bedeute-te dieses Vorgehen jedoch, da 5 Prozent derPersonen jeweils einen neuen Pa bekommenwrden. Der geneigte Leser darf sich die auf dieGesamtbevlkerung hochgerechneten Zahlen

selbst berlegen.Weitere Probleme zeigten sich bei der Aufnah-me der biometrischen Merkmale in die Daten-banken. Die Positionierung vor dem Iriserken-nungssystem erwies sich fr die Probandenals auerordentliche Schwierigkeit. Besondersbei den Brillentrgern (42 Prozent der Popula-tion), die ihre Brille zur Prsentation der Irisabnehmen muten, zeigte das System von SDIndustries whrend des Enrolments sowie imgesamten Feldtest seine Schwchen. Die Benut-zerfhrung war einfach untauglich (die Sehhil-

fentrger konnten schlicht die Positionierungs-markierungen ohne Brille nicht sehen).

In der Studie klingt das dann so: Bei SD Indus-tries traten Positionierungsschwierigkeiten

gehuft auf, da Teilnehmer gleichzeitig denrichtigen Abstand zum Gert und den Fokus-

punkt (Positionierung des Auges in der Mittedes Spiegels der Sensoreinheit) nden muten.Teilnehmer muten sich oft ein Auge zuhal-ten, um zu fokussieren. Die Kopplung mit einer trgen akustischen Rckmeldung bzgl. desAbstands fhrte zu Schaukel-Bewegungen.Auerdem wurde von einer Reihe von Teilneh-mern die Sensoreinheit nicht auf die der Kr-

pergre angemessene Position eingestellt.

Viele grere Teilnehmer bckten sich, anstatt die Einstellung zu verndern. Wenn man dasmal vor seinem inneren Auge ablaufen lt, soscheint es an der Grenze in Zukunft auch lusti-ge Momente zu geben.

Personen, die kleiner als 1,55 m waren, konn-ten gar nicht oder nur unter groen Mhen amTest teilnehmen. Warum auch, der Brger kannschlielich seine Krpergre oder Sehstrkeden Gerten anpassen, und nicht umgekehrt.

berwindungssicherheit

Der geneigte Hacker fragt sich bei biometri-schen Systemen natrlich als erstes: Kommtman da durch? So ging es offenbar auch denStudienbetreuern beim BSI und den Durchfh-rern bei Secunet. In den Kriterien zur Bewer-tung der getesten Systeme heit es denn auch:Fake-Resistenz: Biometrische Systeme ms-

sen insbesondere bei unberwachtem Betriebeine ausreichende Resistenz gegen Kopien desbetreffenden Merkmals aufweisen. In Abhn-

gigkeit des verwendeten Verfahrens kann aber auch bei berwachtem Betrieb eine ausrei-chende Fake-Resistenz erforderlich sein. Des-halb stellt die Fake-Resistenz ein wichtigesBewertungskriterium dar. Deswegen iet die-ses Kriterium dann auch mit atemberauben-den 4 Prozent in die Gewichtung der Gesamt-bewertung ein. Eine hhere Gewichtung httewohl sonst die Auswertung nachhaltig versaut.Die Ergebnisse der Versuche waren offenbar


25/48



2323

hnlich erschreckend wie jene aus den (bereitshinlnglich in der Datenschleuder publizierten)Forschungen des CCC.

Bei den hier erfolgten berwindungsversu-chen handelt es sich ganz berwiegend umLabortests, die nur vorluge Aussagen zulas-

sen. Auf eine detaillierte Darstellung wird indiesem Bericht daher verzichtet. So lautet derpeinlich drre Kommentar zum Thema ber-windungssicherheit in der Studie, in verschiede-nen Formulierungsvarianten. Da die Systemeberwindungssicher sind, konnte also wieder-einmal nicht gezeigt werden. Der IT-Direktordes BMI, Martin Schallbruch, merkte auf einerInformationsveranstaltung an, man wolle

schlielich den Flschern keinen Vorschub leis-ten. Warum deshalb aber nicht mal die Ergeb-nisse der berwindungssicherheitstests publi-ziert werden, bleibt sein Geheimnis. Er wollte esauch auf Nachfrage nicht lften. AufmerksamesLesen der Studie frdert jedoch ein paar Hin-weise zu Tage.

Die beiden Fingerabdrucksysteme und dasGesichtserkennungssystem wurden in derAbschluauswertung (Seite 161) in der RubrikFake-Resistenz jeweils mit der Note 4 bewer-

tet. Die Erluterung auf Seite 158 gibt die Note 4wie folgt an:berwindung mit mittlerem Auf-wand erfolgreich (mit Zugriff auf das Merkmaleines Berechtigten). Um das etwas besser ein-ordnen zu knnen, hier der Klartext der nchst-besseren Note 3:berwindung mit mittleremAufwand sowie Spezialwissen und/oder spezi-ellen Hilfsmitteln erfolgreich.

Zu deutsch: eine Note 4 bedeutet, da ohne Spe-zialwissen und spezielle Hilfsmittel eine ber-windung problemlos mglich ist. Das deckt sichmit unseren Erkenntnissen, auch wenn das BSIvermutlich die in der Datenschleuder beschrie-bene Vorgehensweise zum Nachbau eines Fin-gerabdrucks als Spezialwissen sowie Holz-

kaltleim, Digitalkamera und Sekundenkleberals spezielle Hilfsmittel einstufen wrde.

Der Kommentar des Innenministeriums, daDetails zur berwindungssicherheit nichtpubliziert wrden, um Flschern keine Anlei-tung zu geben , ist also absolut wrtlich zunehmen. Die getesteten Fingerabdruck- undGesichtserkennungssysteme sind allesamt alsso unsicher einzustufen, da sogar nur moderatclevere beltter kein Problem beim berwin-den haben werden. Beide Fingerabdrucksyste-


26/48



2424

me wiesen nicht einmal eine Lebenderkennungauf. Beim Gesichtserkennungssystem wurdedie Lebenderkennung mit der Begrndungabgeschaltet, da sonst die False Rejection Rate(FRR) so ansteigen wrde, da ein Praxisein-satz unmglich wird (S. 63, Funote 2).

Ein weiterer interessanter Aspekt ist die Beno-tung fr die Systemsicherheit. Dabei sah esoffenbar noch schlimmer aus als bei der ber-windungssicherheit. Systemsicherheit: DiesesKriterium bewertet die bereitgestellten Syste-me hinsichtlich physischer Sicherheit, Sicher-heit der Verarbeitungseinheit und Sicherheit der Anwendungssoftware. Da es sich bei denin BioP II eingesetzten Systemen um Proto-

typen handelt, geht dieses Kriterium nur mit geringem Gewicht in die Bewertung ein. DasBSI rechnete also von vornherein damit, nurSysteme geliefert zu bekommen, bei denen dieHersteller froh sind, wenn sie gerade mal sofunktionieren. Die Noten weisen hier auf einTotalversagen aller Systeme, mit Ausnahme derCognitec Gesichtserkennung.

Die ausgeprgte Paranoia der Studiendurch-fhrer, was die Ergebnisse der bwindungssi-cherheitstests betrifft, ist bemerkenswert. DieSchwchen der Systeme sind ja hinlnglichbekannt. Jeglicher Hinweis auf die entsprechen-den Anlagen wurde durchgehend in Version 2.0der Studie getilgt. Da die Endbenotung frSystemsicherheit und Fake-Resistenz noch inder Studie verblieb, ist vermutlich wohl einzigdem Umstand zu verdanken, da die Autorensich nicht komplett lcherlich machen wollten.

ErkennungsleistungenIn der ofziellen Auswertungszusammenfas-sung werden vorwiegend die Zahlen zur Erken-nungsleistung verwendet, die sich auf die soge-nannten Normalnutzer beziehen. Aufgrundder Tatsache, da die Probanden die Syste-me mit sehr unterschiedlichen Hugkeitenbenutzten, wurden sie in Benutzerklassen ein-geteilt. Normalnutzer sind als solche Testteil-nehmer deniert, die wenigstens 30 Bedien-vorgnge durchgefhrt haben. Das ist natrlichfr einen durchschnittlichen Reisepabesitzer

hochgradig unrealistisch. Normale Reisendepassieren selten mehr als 30 mal pro Jahr eineSchengen-Auengrenze. Somit wenden wirunsere Aufmerksamkeit den Wenignutzern (0 bis 10 Bedienvorgnge) und densporadi-

schen Nutzern (10 bis 30 Benutzungen) zu, dieeher dem Prol des normalen Reisenden ent-sprechen drften.

In dieser Nutzergruppe nden sich False Rejec-tion Rates jenseits von allem, was noch alsakzeptabel schngeredet werden knnte. Jenach verwendetem System (Gesicht und Finger)wurden in der Studie unter optimalen Bedin-gungen zwischen 4 und 10 Prozent der Nut-zer flschlich zurckgewiesen. Die Iriserken-

nung wurde selbst nach BSI-Matben totaldeklassiert, mehr als 20 Prozent der Wenig-nutzer wurden nicht korrekt erkannt. Das wrewohl selbst fr die hinsichtlich Technikverpei-lung in industriellem Mastab sehr tolerantenDeutschen im Alltag an den Grenzbergngenundenkbar. Rechnet man beispielsweise maldie ermittelten Zahlen der FRR auf alle poten-tiellen Pabesitzer hoch, so wrden mit denvorgeblich recht akzeptablen Ergebnissen derGesichtserkennung ber 5 Millionen Menschenflschlich zurckgewiesen, wenn man sie rea-listischerweise in die Gruppe der sporadischenNutzer einordnet.

Die besonders ganz am Anfang des Feldtestsauftretenden signifikant schlechten Erken-nungsleistungen gingen dabei erst gar nichtin die Ergebnisse ein. Die Datenbasis verklei-nert sich aber noch weiter, denn bei der geteste-ten Gesichtserkennungssoftware von Cognitec

war offenbar auch dadurch nichts mehr zu ret-ten. Kurzerhand wurde hier im laufenden Feld-test eine Umkonguration vorgenommen. Zwarwaren die geforderten Parameter des Herstel-lers eingehalten worden, es gab aberSystem-fehler. Also mute mitten im Test ein zweiterTestzyklus begonnen werden. Alles noch malauf Null. Der Schwellwert, ab welcher eine Veri-kation als erfolgreich bewertet wird, wurdebei der Gelegenheit gleich noch von 0,7 auf 0,5gesenkt.


27/48



2525

Die Masterreferenz zur Messung der Erken-nungsleistungen blieb dennoch entgegen derZielsetzung der Studie das jeweilige Systemtem-plate des Herstellers. Die Gesichtserkennungvon Cognitec in Testzyklus 2 ist hier die einzi-ge Ausnahme. Das Systemtemplate schneidetnatrlich gegenber dem ICAO-Bild bei allenanderen Verfahren hinsichtlich der FRR besserab. Es ist daher nicht schwer zu erraten, warumbei der Ermittlung der Erkennungsleistungenvom eigentlich zu untersuchenden ICAO-Stan-dard abgewichen wurde. Es ist offenbar jedesMittel recht, die Ergebnisse zu verschnern.

Dennoch ergab die Auswertung der Ergebnissenoch einiges erstaunliches: Bei allen Systemen

wurde ein Teil der Wenignutzer einfach immerzurckgewiesen. Bei der Iriserkennung betraf dies sogar ber 50 Personen, bei denen die FRRbei 100 Prozent lag. Diese Teilnehmer hattensicher wenig zu lachen. In der Studie wird dahervermutet, da besonders bei der Fingerabdruck-und Iriserkennung das Training fr die Merk-malsprsentation schwieriger und langwieri-

ger sein wird als fr die Gesichtserkennung.Bis zum Ende des achtwchigen Testzyklusist jedoch ein Sinken der FRR in allen Nutzer-klassen zu beobachten. Das lt doch hoffen.Offenbar auch die Macher der Studie, denn siebehaupten bei der Gelegenheit, da mit einererhhten Kooperationsbereitschaft sei-tens der Brger sowie mit Gewhnungseffek-ten gerechnet werden kann. Der Reisende willschlielich schnell in sein Flugzeug und kannsich also ruhig etwas anstrengen.

Die ohnehin drftigen Ergebnisse der

Erkennungsleistungen mssen allerdingsmit Vorsicht betrachtet werden, da eini-ge Entscheidungen getroffen wurden, welche

die ermittelten Werte noch weiter verschnerthaben. In der Studie wird hier von einer gewis-sen Bereinigung gesprochen. Zunchst gin-gen keine Messungen in die FRR ein, die durchsignikant variierte Testbedingungen beein-ut worden waren. An den Grenzbergngenmten demnach also recht homogene Bedin-gungen herrschen - eine reichlich praxisferneAnnahme.

Auerdem prsentierten viele Teilnehmer denfalschen Finger (5 bis 7 Prozent) oder das fal-sche Auge (23 Prozent). Sicher ein Verhalten,das auch in der Praxis oft vorkommen wird.Dieses verschlechtert aber natrlich die Erken-nungsleistungen weiter. Also wurde die FRR-

Ermittlung sowohl bei dem Fingerabdruck- alsauch bei den Iriserkennungssystemen kurzer-hand auf Basis eines 1:2-Vergleiches vorgenom-men. Das heit, der Vergleich des aktuell pr-sentierten Merkmals wurde mit dem primrenund dem sekundren Referenzmerkmal (bei-spielsweise das andere Auge) durchgefhrt.Dies senkt wie gewnscht die FRR, fhrt jedochgleichzeitig zu einer hheren Falschakzeptanz-rate (False Acceptance Rate, FAR).

In die Auswertung gingen auerdem die Ergeb-nisse der Startphase nicht mit ein. Im Testzyk-lus 1 war die Dauer dieses sogenannten Teach-Ins immerhin sieben Tage. Die signifikant

schlechteren Ergebnissedieses Zeitraumswurden fr das Ergebnis der FRR komplett weg-gelassen. Auch im zweiten Testzyklus wurdenwieder keine Ergebnisse von ganzen 5 Tagen


28/48



2626

Teach-In in die FRR aufgenommen, obgleich dieTestteilnehmer mit den Systemen ja bereits ver-traut waren und ihnen zustzlich von Betreuernstets Hinweise und Hilfestellungen angebo-ten wurden. Der zuknftige Pabesitzer kannin der Praxis keine derartigen Trainingsphasenerwarten, schon gar nicht, wenn er zu den ers-ten Testern im Realszenario gehrt. Da winktdann eher die angekndigte intensive Pr-fung an der Grenze.

Weitere ungelste Probleme, neben den schonerwhnten Brillen, waren Brte und Kontakt-linsen. Beispielsweise wurden Voll- oder Teil-barttrger von der Cognitec-Software signi-kant besser erkannt. Da die Psse ja 10 Jahre

gelten werden, ist anzunehmen, da die Abnah-me eines Bartes zu vermehrten Rckweisungenfhren wird. Bei den Brillentrgern zeigte dieGesichtserkennung von Cognitec whrend desgesamten Tests sehr ausgeprgte Unzulnglich-keiten. 97 Prozent der Personen, die unberech-tigt veriziert wurden, trugen eine Brille. DieWeiterentwicklung des Algorithmus brachte lei-der auch keine Besserung, das Problem bliebin gleichem Mae vorhanden und ist weiterhinungelst.

In den Empfehlungen der Studie heit esschlielich, eine grndliche Untersuchung der Funktionstchtigkeit, der Erkennungsleis-tung und der berwindungssicherheit derVerfahren sei angeraten. Dem knnen wir unsnur nachdrcklich anschlieen. Die Aussage-kraft der Ergebnisse der Studie ist begrenzt und

die Testresultate sind so desastrs, da ohneeinen echten und wirklich umfangreichen Feld-test ein Einsatz der Systeme unverantwortlicherscheint.

Als Hot Fix ist in der neuesten Version desICAO-Standards die Aufnahme von Templatesin die Daten auf dem RFID-Chip vorgesehen(vorerst nur fr den nationalen oder bilatera-len Einsatz). Damit sollen die drftigen Erken-nungsleistungen bei den ICAO-Bildern umgan-gen werden. Fr die Gesichtserkennung sollenbeim Enrolment manuell diverse Klassikati-onsdaten (Bart, hohe Stirn, Augenklappe usw.)erfat werden, damit die Herausforderung frdie Erkennungssysteme nicht gar zu sportlich

ist. Damit ist dann aber die Behauptung, dabis auf den Fingerabdruck nur Daten erfatwerden, die ohnehin im Reisepa vorhandensind, hinfllig. Die systematische Erfassungderartiger Merkmale ffnet ein komplett neuesProblemfeld fr den Datenschutz, da somit eineeinfache Rasterung beispielsweise fr Fahn-dungszwecke mglich wird.

Praxistauglichkeit

Die Studienergebnisse hinsichtlich der Praxis-tauglichkeit der getesteten Systeme sprecheneine klare Sprache. Eine Flle von Detailproble-men sorgte fr Frust. Zumindest an dieser Stel-le ist die Studie vergleichsweise ehrlich und gibtden Herstellern deutliche Mngellisten mit, dieschon sehr deutlich machen, welche Probleme


29/48



2727

die Systeme im harten Flughafenalltag plagenwerden.

Beim Gesichtserkennungssystem von Cog-nitec bedarf die Benutzeroberche dringend einer berarbeitung. Die jetzige Gestaltung

gengt den sthetischen Ansprchen der Teil-nehmer nicht und unterminiert das Vertrauenin die technische Zuverlssigkeit des Systems.Benutzerfhrung und Rckmeldung sind nahe-

zu nicht vorhanden. Obendrein waren etlicheKameras der Cognitec-Gesichtserkennung vonAnfang bis Ende der Studie unscharf (die ver-wendeten Philips-Plaste-Webcams haben keineMechanik zur Fixierung des Objektivs in einerFokuseinstellung).

Die beiden Fingerabdrucksystemehaben mit Bedenken hinsichtlich Hygiene zu kmpfen. Aber nicht nur die Reinigung machte Sorgen,es entstanden auch Probleme bei der Posi-tionierung durch die Auage des Fingers auf den Sensoren. Verschiedene Teilnehmer wu-ten nicht, wie der Finger aufzulegen war (Hheund Druck), und einige Frauen mit langen Fin-

gerngeln beschwerten sich ber die unbndi- ge Auage des Dermalog-Gertes.

Ein prinzipielles Problem, das bei praktischallen Systemen auftritt, sind die unterschied-lichen Erfordernisse der Benutzerfhrung frViel- und Wenignutzer. Entweder das Systemist hinreichend hndchenhaltend fr Wenignut-zer und nervt dadurch Vielnutzer mit langwie-rigen Anweisungen (Teilnehmer empndendie Stimme auf Dauer als lstig). Oder es ist sominimalistisch, da Vielnutzer schnell durch-

kommen, es stellt aber Wenignutzer vor verwir-rende Rtsel. Fr Farbenblinde ist die verwende-te Rot/Grn-Ampel fr die Ergebnisdarstellungnicht zu gebrauchen.

Im Klartext heit das, da die Systeme eigent-lich nur unter geduldiger Betreuung durch denGrenzbeamten einzusetzen sind. Eine Verwen-dung fr die do-it-yourself-Grenzpassage ver-bietet sich nicht nur wegen des deutlich erhh-ten Risikos von berwindungsversuchen,sondern auch wegen der mangelnden Bedien-barkeit.

Verarbeitungszeit

Im Rahmen der Studie wurde auch die Verar-beitungszeit fr die biometrische Identika-tion betrachtet. Zu diesen gemessenen Zeitenkommt jeweils noch die fr das Auslesen desRFID-Chips notwendige Zeit hinzu. Die soge-nannte Bedienzeit umfat dann den komplettenVorgang vom Auegen des RF-Token bis zumVerlassen des Gerts. Die gestoppten mittlerenWerte liegen hier zwischen 11,1 und 13,3 Sekun-den. Nochmal zur Erinnerung: Diese Bedien-zeit verlngert sich um weitere 4 bis 5 Sekun-den, wenn die SmartCard mit Secure Messagingeingesetzt wird, was dem optimistischsten Sze-nario fr das RFID-Auslesen entspricht (in der

Studie wurden die RFID-Chips durch Smart-Cards substituiert).

Begrndet werden die recht langen Bedienzei-ten wieder mit den Schwierigkeiten der Teilneh-mer, sich an den Gerten richtig zu positionie-ren, sowie mit dem mangelnden ergonomischenDesign und der Gestaltung der Benutzerober-chen. Whrend die minimalen und mittle-ren Verarbeitungszeiten fr die biometrischeIdentikation in der Grenordnung von 5 bis10 Sekunden bei allen Systemen noch halbwegspraxistauglich erscheinen, gibt es dramatischeWorst-Case-Flle, bei denen z.B. eine Fingerab-druckerkennung knapp zwei Minuten dauert.Welche Situationen oder Merkmale zu derarti-gen Schwierigkeiten fhrten, bleibt aufgrundder fehlenden Anhnge zur Studie leider kom-plett unklar.

Testpopulation

Ein Feldtest biometrischer Verfahren erfordertbesondere Sorgfalt in der Auswahl der Proban-den. Deren Zusammensetzung entscheidet, obdie Ergebnisse als reprsentativ betrachtet wer-den knnen. Es liegt in der Natur des Men-schen, da seine krperlichen Merkmale dahin-gehend variieren, wie gut diese ausgeprgt unddamit erfabar sind. Aufgrund der Tatsache,da die biometrischen Systeme diese Merkma-le nur unzureichend erkennen knnen, gilt frmanche Personen dann auch noch, da sie hu-ger von Rckweisungen betroffen sein werden.


30/48



2828

Eine Diskriminierung, gegen die man nichtsmachen kann - auer stets ein bichen mehrZeit einplanen. Beispielsweise bei der Finger-abdruckerkennung ergeben sich Schwierigkei-ten bei Personengruppe wie Senioren oder Men-schen, deren Fingerkuppen durch Arbeit oderHobby starker Abnutzung ausgesetzt sind.

In dieser Hinsicht ist die Auswahl der Teil-nehmer der Studie zwar der Verbesserung derErkennungsleistungen frderlich, die Testper-sonen reprsentieren jedoch in keiner Weise dieGesamtbevlkerung. Das rumen die Macherder Studie auch ein. Zunchst waren 70 Pro-zent der Probanden mnnlich. Dagegen istim Grunde nichts zu sagen, wre da nicht das

nicht unbedeutende Detail, da Mnner bei dengestesteten Systemen in der Studie wie auchin vorangegangenen Tests durchweg bessereErkennungsleistungen erzielten. Die unterre-prsentierten Frauen bewirken also eine weite-re Beschnigung der Ergebnisse.

Schlimmer noch die Alterszusammensetzung:Die hinsichtlich der biometrischen Merkmaledeutlich schlechter zu erfassenden Menschenab 60 Jahren tauchen in der Testgruppe kaumauf (lediglich ein Prozent), obwohl sie in derGesamtbevlkerung einen Anteil von 30 Prozenthaben. Betrachtet man nun die einzelnen Nut-zerklassen, kann man Zweifel bekommen, obnoch von einem Feldtest gesprochen werdenkann. Besonders die fr die Praxis relevanten

Wenignutzer waren weniger als 500 Probanden.Das BSI mu also statistisch aussagekrftigeDaten wohl mit den unfreiwilligen Betatesternan den Grenzbergngen sammeln.

Was kostet der berwachungsstaat?

Die Kosten der Biometrie-Einfhrng werdenvom Innenministerium in einer Weise vernied-licht, die stark an vorherige deutsche Technik-desaster erinnert. Auf Anfrage antwortet dasBMI, da die notwendige Hardware im Rahmenvon ohnehin anstehenden Ersatzbeschaffungendurchgefhrt werde. Das schtzen wir als sonicht haltbar ein.

Wie in der BioP-II-Studie klar dargelegt wird,sind auch nur annhernd praxistaugliche Ergeb-nisse bei der Gesichtserkennung nur zu erzie-len, wenn quasi Laborbedingungen am Grenz-bergang geschaffen werden. Um gleichbleibendeLichtverhltnisse und Hintergrundsituationenzu erzeugen, mssen umfangreiche Umbau-ten durchgefhrt werden. Das Gesichtserken-nungssystem erfordert einen schnellen Compu-ter, eine Kamera mit brauchbarer Qualitt undein spezielles homogenes Beleuchtungssystem.Schon der Ausfall einer der Ausleuchtungslam-pen wrde den jeweiligen Grenzbergangs-schalter auer Gefecht setzen.

Auf der Enrolment-Seite nden sich in der Stu-die auch diverse Merkwrdigkeiten. Die Fotos

fr die Gesichtserken-nung wurden aufwendigvon Experten des Bundes-kriminalamtes (BKA) mit

einer eigens beschafftendigitalen Spiegelreflexka-mera im Wert von etwa ein-tausend Euro erstellt unddann noch mit dem nichteben preisgnstigen AdobePhotoshop nachbearbeitet.Das ganze klingt so der-maen unrealistisch imPraxisbezug, da sich dieFrage stellt, warum die Not-

wendigkeit eines sol-chen Vorgehens nichtDas Diagramm zeigt die Altersstruktur der Testteilnehmer an der BioP2-Studie im Vergleichzur Verteilung in der Gesamtbevlkerung Deutschlands.


31/48



2929

schon als Disqualikationskriterium ausreich-te. Wenn man das Verfahren auf die Meldestel-len extrapoliert, kommen selbst bei Substitutionder BKA-Experten durch den Fotografen an derEcke erhebliche Summen fr Software-Lizen-zen, Schulungen und Personalaufwand fr diezustzlichen Bearbeitungsschritte zusammen.Wenn jedes Bild nicht nur eingescannt, son-dern auch noch nachbearbeitet und (wie in deraktuellen ICAO-Spezikation vorgesehen) nachverschiedenen Kriterien klassifiziert werdenmu, wird es kaum ohne zustzliches Personal,zustzliche Computer usw. abgehen.

Die bermittlung der Daten von den Meldestel-len zur Bundesdruckerei soll mit Hilfe der fr

deutsche Regierungsverschlsselung standar-disierten SINA-Boxen erfolgen (die rein zuflligdie Firma Secunet herstellt, die auch die BioP-II-Studie durchgefhrt hat). Inwieweit zustzlichzu den bisher in den Meldestellen vorhandenenSINA-Boxen neue beschafft werden mssen, istderzeit noch unklar.

Bei Einfhrung von Fingerabdrcken ist frjede Meldestelle und jeden Grenzbergangs-schalter ein schneller Computer mit zustzli-cher Sicherheitshardware (sicheres Speicher-modul, SINA-Box fr Certicate Updates etc.)fr die Extended Access Control, kostenpich-tigem Betriebssystem (freilich alles Windows2000 Professional) und weiterem Zubehr zubeschaffen. Hinzu kommen natrlich die Kos-ten fr den Fingerabdruck-Scanner. Der Ver-schlei der Fingerabdruckscanner ist derzeitunklar. Wie jeder Gegenstand, der nicht aussolidem Metall besteht und einige tausend Mal

am Tag von Menschen angefat wird, drftehier deutlicher Verschlei anzunehmen sein.In der Studie wird von einem Grauschleier auf den Fingerabdruckbildern der Bundesdrucke-rei-Gerte nach 4 Monaten berichtet, und das,obwohl die Scanner mehrmals tglich gereinigtwurden. Wir knnen also davon ausgehen, dadie Scanner an den Flughfen nur eine rechtbegrenzte Haltbarkeitsdauer haben werden.Whrend der Studie wurden im Schnitt etwa15.000 Sensorbenutzungen pro System durch-gefhrt, eine Zahl die an einem Flughafen innur einigen Tagen zustandekommt.

Wenn ca. 6000 Meldestellen im Schnitt mit jevier Gertestzen fr das Enrolment ausgestat-tet werden, an den 419 Grenzbergangsstel-len im Schnitt je 15 Erfassungssysteme aufge-stellt werden (konservative Annahme) und manca. 5000 Euro pro System ansetzt (ebenfallsuerst konservativ), ergeben sich alleine frdie Hardware Investitionskosten von mindes-tens 150 Millionen Euro. Hinzu kommen War-tungskosten, Ersatzbeschaffungen, Umbautenfr die Gesichtserkennung und die Kompensa-tion der lngeren Abfertigungszeiten, zustzli-ches Personal, Ausbildungskosten etc. pp. DieWeiterentwicklung und die Anpassung der bio-metrischen Systeme mssen ebenfalls in eineserise Kalkukation eingehen. Hier sollte auch

der RF-Chip in Betracht gezogen werden, des-sen Lebensdauer fr zehn Jahre ohnehin frag-lich ist. Die geplante Ausweitung der biometri-schen Technik auf den Personalausweis wrdezustzlich auch die Ausstattung mit Gertenfr die Polizei bercksichtigen mssen. Alles inallem war die Einfhrung der Autobahn-Mautdagegen ein Schnppchen.

Folgerichtig nehmen die Autoren der Studieauch Abstand davon, sich zu den Kosten zuuern (welcher Beamte widerspricht schongern Otto Schily). Wie selbstverstndlich wirddie marode Bundesdruckerei die Herstellung derneuen Psse bernehmen. Der Rahmenvertrag,den die Bundesregierung alle drei Jahre verln-gert, sichert dem vormals dem Bund gehren-den Privatunternehmen den lukrativen Auftrag.Eine EU-weite Ausschreibung des krisensiche-ren Geschfts fand nicht statt. Trotz professio-neller Produktprsentation im eigens errich-

teten Showroom der Bundesdruckerei werdenFragen nach den Kosten fr Hard- und Softwa-re auch dort nicht beantwortet. Zu den Gesamt-kosten der Einfhrung des ePasses wollte Schilynatrlich noch immer keine Angaben machen.Die erhhte Pagebhr soll aber wenigstens diejhrlichen Betriebskosten fr die biometrischeErfassung bei der Neuausstellung decken. Dieeinmaligen Kosten fr die Gerte sollen 2006im Haushalt der Bundespolizei enthalten sein.Aber auch ber deren Hhe schweigt sich Schi-ly aus.


32/48


WIR BRAUCHTEN DAS GELD!

3030

C

Annex G of ICAO MRTD SpecsDer Annex G der ICAO-Spezikation fr maschinenlesbare Reisedokumente (MRTD) fatwunderbar kompakt die Schwchen des Systems zusammen. Die an der Erstellung desStandards beteiligten Fachleute wollten wohl ihre Reputation nicht leichtfertig riskierenund haben deshalb die wesentlichen Angriffszenarien relativ ungeschminkt dargestellt.Der Annex liest sich ein bichen wie wir wissen, da es nicht funktionieren wird, aber wir brauchten das Geld.

Technical ReportPKI for Machine Readable Travel Documentsoffering ICC read-only accessRelease : 1.1

Date : October 01, 2004Annex G PKI and Security Threats

G.1 Key ManagementG.1.1 Country Signing CA andDocument Signer KeysTo protect the private keys it is RECOMMEN-DED to use secure hardware devices for sig-nature generation (Secure Signature CreationDevice SSCD), i.e. the SSCD generates newkey pairs, stores and destroys (after expirati-on) the corresponding private key securely. Toprotect against attacks on the SSCD includingSide-Channel Attacks (e.g. timing, power con-sumption, EM emission, fault injection) andattacks against the random number generator itis RECOMMENDED to use SSCDs that are suc-cessfully certied/validated under a CCRA-com-pliant certication body according to a suitableCommon Criteria Protection Prole with EAL

4+ SOF-High.When distributing self-signed Country SigningCA Certicates by diplomatic means extre-me care must be taken to prevent insertion of arogue Country Signing CA Certicate. Further-more, it is RECOMMENDED that States storethe received Country Singing CA Certicates insecure hardware devices (Card Acceptor Device CAD) accessible by the reader devices in asecure manner. To protect against attacks onthe CAD, it is RECOMMENDED to use CADsthat are successfully certied/validated under a

CCRA-compliant certication body according toa suitable Common Criteria Protection Prolewith EAL 4+ SOF-High.

G.1.2 Active Authentication KeysIt is RECOMMENDED to generate key pairsfor Active Authentication on the chip of theMRTD. As the private key is stored on the chipin secure memory, and the chip hardware hasto resist attacks for the whole validity period of the MRTD, it is RECOMMENDED to use chipsthat are successfully certied/validated under aCCRA-compliant certication body according toa suitable Common Criteria Protection Prolewith EAL 4+ SOF-High.

The available chip technology inuences themaximum key length of keys used inside thechip for Active Authentication. Many chips cur-rently do not support key lengths that exceed asecurity level of 80 bits, which was the reasonfor choosing this value as recommended mini-mum. This is a rela