„Die gesamte Technik ist sicher“Besitz und Wissen: Relay-Angriffe auf den neuen Personalausweis

Frank Morgner und Dominik Oepen{morgner|oepen}@informatik.hu-berlin.de

Humboldt-Universität zu BerlinInstitut für Informatik, Lehrstuhl für Systemarchitektur

Unter den Linden 6, 10099 Berlin

Zusammenfassung—Die Authentisierung mit dem neuen Per-sonalausweis basiert auf dem Prinzip der Zweifaktorauthenti-sierung durch Besitz und Wissen. Notwendig sind der Besitzdes Ausweises und die Kenntnis einer PIN. Mögliche Angriffeauf diese Faktoren wurden bereits vor der Einführung desneuen Personalausweises vorgestellt und als unrealistisch oderunvollständig zurückgewiesen. Wir untersuchen hier die Mach-barkeit und Auswirkung von Relay-Angriffen in Hinblick aufdie verschiedenen Lesegeräteklassen und Anwendungsszenariendes neuen Personalausweises. Nach dem derzeitigen Stand derSpezifikationen lassen sich solche Angriffe kaum verhindern.Einige der Probleme erweisen sich als unlösbar, für andereexistieren Lösungsansätze, welche von simpel, aber unzureichendbis komplex, aber kaum umsetzbar reichen.

I. ÜBERBLICK

Der am 1. November in Deutschland eingeführte neuePersonalausweis (nPA) beinhaltet einen Chip, welcher übereine drahtlose Schnittstelle kommuniziert und drei verschie-dene Funktionen zur Verfügung stellt. Neben der hoheitli-chen Identifikation stehen eine über das Internet nutzbareAuthentisierungsfunktion und die Möglichkeit der Erstellungqualifizierter elektronischer Signaturen (QES) durch die eID-bzw. eSign-Funktion des Ausweises zur Verfügung.

Zur Nutzung dieser Funktionen sind prinzipiell zwei Fakto-ren notwendig: Besitz des Ausweises und Kenntnis (mindes-tens) eines Geheimnisses. Wir untersuchen die Möglichkeiteneines Angreifers, Zugriff auf diese beiden Faktoren zu erhaltenund betrachten die sich daraus ergebenden Konsequenzen fürdie eID- und eSign-Funktion.

Zur Verwendung des nPA ist ein Lesegerät notwendig.Dieses realisiert im einfachsten Fall lediglich den Datenaus-tausch mit dem Ausweis mittels einer ISO-14443 konformenFunkschnittstelle, kann aber auch noch weitere Funktionenanbieten. Es existieren drei verschiedene Kategorien von Le-segeräten: Basis-, Standard- und Komfortleser. Tabelle I listeteinige Merkmale der verschiedenen Klassen auf.

Diese Aufteilung entspricht weitgehend der bisher üblichenEinteilung von kontaktbehafteten Lesegeräten in die Geräte-klassen eins bis drei. Die wesentlichen Unterschiede beste-hen in der kontaktlosen Schnittstelle, in der Notwendigkeiteines Sicherheitsmoduls zur Speicherung des privaten TA-Schlüssels im Komfortleser und in der Fähigkeit von Standard-und Komfortleser einen verschlüsselten Kanal zum Ausweisaufzubauen.

Im Rahmen dieser Arbeit wollen wir uns auf zwei Anwen-dungsfälle konzentrieren: die Verwendung der eID-Funktionüber das Internet und die lokale Nutzung der eSign-Funktion.In beiden Fällen liegt der Personalausweis auf einem Lese-gerät, welches wiederum an einen Computer angeschlossenwird. Bei Verwendung der eID-Funktion kommuniziert die-ser Computer mit dem eigentlichen Dienstanbieter über dieSchnittstellen der eCard-API. Dazu benötigt der Dienstanbieterein Terminalzertifikat (und den zugehörigen privaten Schlüs-sel) und stellt somit das eigentliche Authentisierungstermi-nal zur Verfügung. Der am PC des Nutzers angeschlosseneReader übernimmt als lokales Terminal lediglich die RFID-Kommunikation.

Bei Verwendung der eSign-Funktion ist hingegen das Si-gnaturterminalzertifikat inklusive des privaten Schlüssels imLesegerät selbst gespeichert. Das Lesegerät stellt in diesemFall als integriertes Terminal den Endpunkt der Kommunika-tion mit dem Personalausweis dar.

Zur Absicherung der Datenübertragung kommen die Proto-kolle der Extended Access Control (EAC) [1] zum Einsatz.PACE etabliert dabei einen gesicherten Kanal zwischen demAusweis und dem Ort der PIN-Eingabe, die Terminal Authen-tication authentisiert und autorisiert den Dienstanbieter, derauf den nPA zugreifen möchte und die Chip Authentication(CA) dient dem Nachweis der Authentizität des nPA. Nachder CA ist ein Ende-zu-Ende verschlüsselter Kanal zwischenDienstanbieter und Ausweis etabliert, über den die gesamteweitere Kommunikation erfolgt.

Zur Durchführung von PACE ist die Kenntnis eines Ge-heimnisses (zumeist eID-PIN oder CAN) notwendig, es wirdalso der Authentisierungsfaktor „Wissen“ überprüft. Um die

Tabelle IUNTERSCHIEDLICHE OPTIONALE (O) ODER OBLIGATORISCHE (X)

MODULE DER LESEGERÄTEKLASSEN

Basisleser Standardleser Komfortleser

RFID X X XTastatur O X XPACE O X XFirmware-Update O X XDisplay O O XQES (nPA) O O X

CA durchzuführen, wird der im Personalausweis gespeicherteprivate CA-Schlüssel benötigt. Unter der Annahme, dass esnicht möglich ist, diesen Schlüssel aus dem Ausweis zuextrahieren, soll die CA also unter anderem den Besitz einesPersonalausweises sicherstellen.

II. RELAY-ANGRIFFE

Bereits im Vorfeld der Einführung des nPA gab es ersteKritik an der Sicherheit. Der Chaos Computer Club wiesdarauf hin, dass ein Angreifer über einen auf dem PC desOpfers installierten Keylogger die eID-PIN des Ausweisesabgreifen könnte, falls sie über die Tastatur des PCs einge-geben wird [13]. Später führten Max Moser und ThorstenSchröder einen sogenannten Relay-Angriff auf die SchweizerSuisseID vor [12] und wiesen darauf hin, dass dieser Angriffgrundsätzlich auf den nPA mit Basislesegerät übertragbar sei.Ihr Angriff basierte auf der Weiterleitung von USB-Paketenüber das Internet. Auch hierfür ist eine Schadsoftware auf demPC des Opfers notwendig. Bemerkenswert ist dabei vor allemdie Einfachheit des Angriffes. Die zum Schutz des Auswei-ses verwendeten EAC-Protokolle werden komplett ignoriert.Durch einfaches Weiterleiten von Paketen erhält der AngreiferZugriff auf die Chipkarte, ohne ihn selbst zu besitzen.

A. Angriff auf die eID-Anwendung

Die Interaktion zwischen Chipkartenapplikationen und Kar-tenlesern ist Betriebssystem übergreifend durch den PC/SC-Standard beschrieben. Morgner und Oepen haben im Rahmender Virtual Smart Card Architecture [11] einen Treiber fürdie Unix-Implementation des PC/SC-Dienstes erstellt, der fürChipkartenapplikationen wie ein einfacher Smartcardleser er-scheint. Tatsächlich ist es aber keine reale Smartcard, mit derdieser Leser kommuniziert, sondern die virtuelle Smartcard.Virtueller Smartcardleser und virtuelle Smartcard tauschenAPDUs über das Netzwerk aus. Die virtuelle Smartcard kannnicht nur existierende Smartcards nachbilden1, sondern dievom virtuellen Smartcardleser erhaltenen Daten auch an einelokal verfügbare Chipkarte weiterleiten. APDUs fließen inunserem Versuchsaufbau (siehe Abbildung 1) also von derApplikation beim Angreifer über den virtuellen Smartcardleserzur virtuellen Smartcard beim Opfer und von dort zur realenChipkarte des Opfers und wieder zurück. Die AusweisAppbeim Opfer wird nicht verwendet oder modifiziert.

Die beim Angreifer gestartete AusweisApp erkennt denvirtuellen Leser als gültigen Smartcardleser2. Nachdem sichdie virtuelle Smartcard mit dem nPA und dem virtuellenSmartcardleser verbunden hat, initialisiert die AusweisAppden weitergeleiteten Ausweis des Opfers. Der Angreifer kannnun wie gewohnt über den Browser eine Verbindung zumDienstanbieter aufbauen. Das Browser-Plugin leitet Anfragenweiter an die AusweisApp des Angreifers und diese führtPACE mit dem entfernten nPA durch. Nachdem TA und CA

1Unter anderem kann die virtuelle Smartcard einen deutschen Reisepassnachbilden

2Zur Erkennung zertifizierter Smartcardleser siehe III.

Angreifer

VirtuellerSmartcardleser

PC/SC

AusweisApp

VirtuelleSmartcard

AusweisApp

PC/SC

Opfer

Dienstanbieter

Inte

rnet

Abbildung 1. Angriff auf die eID-Funktion

erfolgreich abgeschlossen sind, werden die Daten aus demneuen Personalausweis des Opfers ausgelesen.

Dabei werden hier folgende Annahmen getroffen:A1 Ein Lesegerät ist für den Betrieb beim Opfer vorbereitet,

der nPA eingelegt.A2 Der Angreifer kann beim Opfer die virtuelle Smartcard

starten und mit dieser kommunizieren.A3 Der Angreifer ist im Besitz der für die Chipkarte benö-

tigten Geheimnisse.Mit Mitteln aus dem Konjunkturpaket II versucht die Bundes-regierung, „eine signifikante Anzahl an Lesegeräten für dieNutzung elektronischer Chipkarten verfügbar“ [5] zu machen.Es werden bereits zahlreiche kostenlose Basisleser verteilt.Die Ausgabe von vergünstigten Standard- oder Komfortlesernist geplant. Damit ein Angreifer auch den Ausweis in ei-nem betriebsbereiten Lesegerät verwenden kann, muss diesereingelegt sein. Automatisiert könnte ein Angreifer vor odernach der regulären Nutzung des nPA einen den elektronischenIdentitätsnachweis innerhalb von etwa fünf bis zehn Sekundendurchführen. Annahme A1 ist also durchaus gerechtfertigt.

Für die Nutzung der eID-Funktion ist eine Internetanbin-dung zwingend erforderlich. Zur Absicherung des verwen-deten PCs empfiehlt das BSI daher technische und organi-satorische Maßnahmen wie Firewall, Virenscanner und dasständige Einspielen aller System- bzw. Softwareupdates [3].Es ist jedoch utopisch anzunehmen, dass ein 100-prozentigerSchutz möglich ist. In einem aktuellen Test [9] erreichte selbstdas beste der getesteten Virenschutzprogramme bei neuenSchadprogrammen lediglich eine Erkennungsquote von 54,9%.Bei breiter Nutzung des neuen Personalausweises sollte esalso einem Angreifer möglich sein, bei entsprechend vielenOpfern ein speziell für den nPA entwickeltes Schadprogrammplatzieren und starten zu können. Ein infizierter Computer(A2) ist also kein unrealistisches Szenario.

Die dritte Annahme zielt auf den zweiten Schutzfaktor

ab, das Wissen um die geheime PIN. Bei Verwendung ei-nes Basislesers beim Opfer und ausgehend von einem kom-promittierten Computer (A1, A2), wurde gezeigt, dass dasAbgreifen der eID-PIN durch einen Keylogger bzw. Tro-janer möglich ist [13]. Das Erfassen der PIN beim Opferkönnte ein Standard- oder Komfortleser verhindern. Aber esbesteht auch hier erwiesenermaßen die Gefahr, dass die spezi-ell getesteten Chipkartenleser trotz Zertifizierung manipuliertwerden können [7]. Generell sollten aber in diesem Fallklassische Betrugsmethoden wie Social Engineering, Phishingoder Skimming für Angreifer leichter umzusetzen sein. DieeID-PIN könnte z. B. ausgespäht oder missbraucht werden,wenn diese im öffentlichen Raum genutzt wird. Weiterhinkönnte ein Angreifer auch schlicht versuchen, die eID-PINzu erraten. Zwar bleiben dafür nur zwei bzw. drei Versuche,aber bei einer besonders breiten und großen Nutzerschicht, istes wahrscheinlich, dass für die frei wählbare eID- oder eSign-PIN gelegentlich auch beliebte Passworte wie „123456“ oderdie aufgedruckte CAN verwendet werden.

Standard- und Komfortleser schützen den Authentisierungs-faktor „Wissen“, indem sie eine gesonderte Eingabemöglich-keit für die PIN bieten. Grundsätzlich ist auch mit einemsolchen Lesegerät das Weiterleiten von APDUs an einenAngreifer möglich. Wir stellten dieses Szenario mit einemnicht zertifizierten Testmuster nach. Bei einer bekannten PINwar es uns auch mit diesem Lesegerät möglich, den elek-tronischen Identitätsnachweis aus der Ferne mit einem nPAdurchzuführen.

Die Möglichkeit, auch bei der Verwendung eines höherwer-tigen Lesegeräts das Geheimnis über die Tastatur des PCs ein-zugeben, ist in der Technischen Richtlinie 3119 sogar explizitvorgesehen [2, 47f]. Die Chipkartenapplikation kann demnachPIN, PUK oder CAN an den Komfortleser übermitteln, sodass dieser damit selbstständig damit das PACE-Protokolldurchführt. Dieses Verhalten konnten wir ebenfalls mit demLesermuster mit PIN-Pad testen.

Für einen Angreifer ist es entscheidend, dass der betriebeneAufwand im Verhältnis zu seinem Nutzen steht. Hier stehtder Personalausweis besonders als sichere Signaturerstellungs-einheit im Fokus. Dabei ist es in diesem Falle unvorteilhaft,dass die QES mit sehr hohem Schutzbedarf auf derselbenChipkarte vorhanden ist wie die eID-Funktion mit niedrigembis mittlerem Schutzbedarf.

B. Angriff auf die eSign-Funktion

Bisher wurden für die Erzeugung von einer QES üblicher-weise dedizierte kontaktbehaftete Signaturkarten in Kombina-tion mit einem Klasse-3-Lesegerät verwendet. Die Förderungder Verbreitung der QES ist eines der erklärten Ziele der Bun-desregierung. Da in absehbarer Zeit nahezu jeder Bundesbür-ger mit einem neuen Personalausweis ausgestattet sein wird,besitzt damit auch jeder eine sichere Signaturerstellungseinheit(SSEE). Um den neuen Personalausweis für eine QES nutzenzu können, müssen drei Voraussetzungen erfüllt sein:

1. Nachladen der QES und Bereitstellung des qualifiziertenZertifikats durch einen ZDA

2. Kenntnis der eSign-PIN3. Zugriff auf den nPA: Verifkation der eSign-PIN und

Signaturerstellung durch den AusweisDa die Bereitstellung der Zertifikate durch private Trust-

Center erfolgen soll, müssen sie nach der Ausstellung desAusweises vom Ausweisinhaber separat beantragt und auf denAusweis nachgeladen werden. Um den Anforderungen desSignaturgesetzes und der Signaturverordnung Genüge zu leis-ten, ist dabei die zuverlässige Identifikation des Antragsstellersdurch den Zertifizierungsdiensteanbieter (ZDA) zu gewährleis-ten. Laut TR-03117 [4, S. 31] genügt dafür der elektronischeIdentitätsnachweis des nPA. Im offenen Anwendungstest desnPA war oft die Rede vom „medienbruchfreien Nachladen“ derQES, also das Nachladen ohne die Verwendung eines weiterenKommunikationskanals, um die QES an den rechtmäßigenBesitzer zu binden. Auch ein entsprechender Dienst im Rah-men des Anwendungstests des ZDA D-Trust suggerierte, dassein erfolgreicher eID-Durchlauf die einzige Voraussetzung zurBereitstellung eines Zertifikats sei.

Mit der Änderung der Signaturverordnung vom 15. Novem-ber 2010 hat die Bundesregierung eine weitere Anforderungan den ZDA expliziert. Dieser muss nun nicht mehr nur die zu-verlässige Identifikation des Antragsstellers durchführen. DerZDA „hat sich vom Signaturschlüssel-Inhaber den Besitz dersicheren Signaturerstellungseinheit [. . . ] bestätigen zu lassen“.Die Form der Bestätigung kann vom ZDA gewählt werden.In der Signaturverordnung schlägt man unter anderem dieBestätigung in Schriftform vor. Hier könnte sich möglicher-weise zeigen, dass die Bestätigung des Besitzes doch voneinem Angreifer und nicht nur vom rechtmäßigen Besitzerdurchgeführt werden kann. Weil die konkrete Umsetzungdurch einen ZDA aber noch fehlt, können wir nicht genausagen, ob dies für einen Angreifer eine Hürde darstellen wirdoder nicht.

Mit dem in Abschnitt II-A beschriebenen Relay-Angriffauf die eID-Funktion ergibt sich für den Angreifer die Mög-lichkeit, den Ausweis des Opfers auch zum Nachladen einesqualifizierten Zertifikates zu verwenden. Die eSign-PIN kannder Angreifer dabei im Zuge der Aktivierung der eSign-Funktion selbst setzen, solange der Ausweis noch nicht fürdie QES vorbereitet wurde. Er benötigt dafür die Card AccessNumber (CAN) des Ausweises3.

Allerdings werden für das Setzen der eSign-PIN und das ei-gentliche Signieren Berechtigungen benötigt, wie sie in einemKomfortleser-Zertifikat zu finden sind. Daher ist die in Abbil-dung 2 dargestellte Modifikation des Angriffes notwendig. DerAngreifer benötigt nun selbst einen Komfortleser. Der Ausweisdes Opfers wird dann „virtuell“ in den Leser des Angreiferseingelegt. Dies kann durch das Einspielen der Antwort-APDUsdes Ausweises per NFC in den Komfortleser geschehen. Eineweitere Möglichkeit wäre es, einen Komfortleser per Softwarezu emulieren. Hierzu müsste man den privaten TA-Schlüssel

3Weil die CAN nicht durch einen Fehlbedienungszähler geschützt ist, ist einBrute-Force Angriff auf dieses Geheimnis prinzipiell möglich. Mit Ausweisenaus dem Anwendungstest haben wir dies erfolgreich getestet. Es dauertedurchschnittlich etwa 6 Tage, bis wir die CAN ermittelt hatten.

PCSC-relayAusweisApp

PC/SC

VirtuellerSmartcardleser

Virtuelle Smartcard

Angreifer

PC/SC

Opfer

ZDA

Abbildung 2. Relay-Angriff bei der Beantragung eines qualifizierten Zerti-fikats

aus einem Komfortleser extrahieren oder das Sicherheitsmoduleines Komfortlesers als Orakel nutzen.

Wir haben exemplarisch das Wiedereinspielen der Antwort-APDUs über die Luftschnittstelle mittels des in den Toucha-tag integrierten PN532 nachgestellt. Auf dem Computer desOpfers kam dabei wieder die virtuelle Smartcard im Relay-Modus zum Einsatz. Auf der Angreiferseite nahm wiederumder virtuelle Smartcardleser die Pakete entgegen, leitete siein diesem Fall aber nicht an die AusweisApp, sondern andas Programm PCSC-relay [11] weiter. Letzteres dient derAnsteuerung des PN532. Die AusweisApp und das uns vorlie-gende Muster eines Lesers mit PIN-Pad hielten die emulierteChipkarte für einen validen nPA.

Die tatsächliche Beantragung eines qualifizierten Zertifikatsund die Erzeugung qualifizierter elektronischer Signaturen ausder Ferne war aber aus Mangel an entsprechenden Dienstan-bietern noch nicht möglich. Aber wir konnten durch Durch-führung des PACE-Protokolls [10, 11] und Nachstellen derVerifikation der eSign-PIN feststellen, dass keines der von unsgetesteten Chipkartenlesermodelle beim Opfer dies verhindernkonnte. Das Muster verhielt sich wie ein Basisleser, obwohldieser die Möglichkeit zur Regulierung der APDUs hätte.

Da es sich bei unserem Komfortleser lediglich um einTestmodell handelt, haben wir den Relay-Angriff auf der Seitedes Opfers auch mit einem zertifizierten Klasse-3-Leser ge-prüft. Auch dieser zeigte sich verwundbar. Ungehindert konnteauch hier der Angreifer die in ISO-7816 standardisiertenKommandos für die PIN-Behandlung durchführen. Generellscheinen also Chipkartenleser mit PIN-Pad die Eingabe voneinem Geheimnis nicht am lokalen PIN-Pad zu erzwingen.Dies ist überraschend, da nach Auskunft des BSI im Rahmender Zulassung nach Signaturverordnung geprüft wird, dass derLeser zumindest die Verifikation einer PIN ausschließlich amlokalen PIN-Pad zulässt.

Wir haben gezeigt, dass es einem Angreifer möglich ist,einen Signaturschlüssel auf einem fremden Ausweis zu er-zeugen. Die eSign-PIN muss er bei einer noch nicht dafürinitialisierten Chipkarte nicht erraten oder ausspähen, sonderner kann diese selbst setzen. Weiterhin ist auf der Seite desOpfers der Datenverkehr zur Chipkarte nicht eingeschränkt,sodass das Signieren und Verifizieren der eSign-PIN problem-los möglich ist. Lediglich das Nachladen eines qualifizier-ten Zertifikats von einem ZDA kann an dieser Stelle nochnicht vollständig geprüft werden, weil noch keine konkretenUmsetzungen der geänderten Signaturverordnung vorliegen.Geht man davon aus, dass dieses Nachladen gelingt, so istein Angreifer in der Lage mit einfachen Mitteln in falschemNamen eine QES zu erzeugen.

C. GegenmaßnahmenWeil kein konkretes kryptografisches Protokoll gebrochen

wurde, ist es schwierig, sich gegen Relay-Angriffe zu wehren.Gegenmaßnahmen sollten sich daher auf den unbemerktenZugriff und die Kommunikation mit größerer zeitlicher Ver-zögerung konzentrieren [8, S. 11].

Der Besitzer des neuen Personalausweises könnte Datenver-kehr mit der Chipkarte folgendermaßen regulieren:

G1 Zerstörung des ChipsG2 Unterbinden der Kommunikation zum nPAG3 eID-Funktion deaktivierenG4 eSign-PIN setzen

Zwar kann man die Kommunikation zum nPA zuverlässigunterbinden, indem man ihn nicht in die Nähe eines Lesegerätslegt oder ihn gegen RFID-Signale abschirmt (G2). Wie aberschon angesprochen könnte sich für einen Angreifer vor odernach einer regulären Nutzung der Chipkarte ein Zeitfensterergeben, in welchem dieser seinerseits Chipkartenoperationenausführen kann. Die Maßnahmen G3 und G4 verhindern, dassein Angreifer selbst die eSign-PIN setzt und so in deren Besitzgelangt. Dies hat aber offensichtlich Nebenwirkungen: Derelektronische Identitätsnachweis ist nicht mehr nutzbar bzw.die eSign-PIN könnte bei Nichtbenutzung vergessen werdenoder verloren gehen. Bei G1 ist der Chip gar nicht mehrverwendbar.

Hinzu kommen Maßnahmen, die eine Modifikation vonLeser oder Chipkarte verlangen:

G5 Filtern der Authentisierungsprotokolle durch den Chip-kartenleser

G6 Physikalischer Umschalter an der Chipkarte für Kontexteunterschiedlichen Schutzbedarfs

G7 Einmal-PIN und Visualisierung des Anwendungskontex-tes durch Chipkartendisplay

Eine mögliche Lösung, die nicht nur Standard- oder Kom-fortleser, sondern alle Chipkartenleser mit PIN-Pad betrifft,ist das inhaltliche Filtern von APDUs. Man könnte bei diesenLesern verlangen, dass sie jegliche Authentisierung des Be-nutzers gegenüber der Chipkarte ausschließlich am eigenenPIN-Pad zulassen (G5). Dies betrifft sowohl in ISO-7816standardisierte Kommandos für die PIN-Behandlung als auchdie PIN-Eingabe im Rahmen von PACE.

Eine stärke Bindung des Chips an den Kartenkörper durchG6 und G7 könnte eine erhöhte Kontrolle der Chipkarten-kommunikation erreichen. Ein Umschalter zur Deaktivierungder Chipkarte, aber auch zur Auswahl zwischen Anwendungs-kontexten mit niedrigem (z. B. Altersverifikation), mittle-rem (Identitätsnachweis) und hohem Schutzbedarf (QES), istdenkbar. Der reguläre Besitzer kann so die Kommunikationder Chipkarte „mit den eigenen Händen“ kontrollieren. EinKartendisplay kann nicht nur den aktiven Anwendungskontextsignalisieren. Hier könnten auch Ziffern angezeigt werden,die der eID-/eSign-PIN bei einer Authentisierung vorange-stellt werden. Zugriff auf die Chipkarte und das Wissen desGeheimnisses genügen dann einem Angreifer nicht mehr. Ermüsste die Karte sehen können, um die temporären Ziffernauf dem Display zu erfahren. Selbst wenn ein temporäresGeheimnis von einem Angreifer abgefangen würde, ist diesesnur für eine einzige Transaktion nutzbar und das auch nur,während die Chipkarte sich noch im RFID-Feld befindet. Diesebeiden Modifikationen kommen wohl aber erst für die nächsteGeneration von Ausweisen in Frage.

Um über die größere Verzögerung der Daten bei einemRelay-Angriff eine Unregelmäßigkeit festzustellen, sehen wirfolgende Möglichkeiten:

G8 Distance-Bounding zwischen Leser und ChipkarteG9 Messung der Antwortzeiten im PACE-Kanal

Ausgehend von der Annahme, dass sich elektromagneti-sche Wellen mit Lichtgeschwindigkeit ausbreiten, kann einDistance-Bounding-Protokoll4 anhand sehr kleiner Verzöge-rungen bereits Unregelmäßigkeiten festgestellt werden (G8).Weder bei einem Komfortleser noch beim neuen Personalaus-weis ist es aber denkbar, dass die dafür notwendigen Rahmen-bedingungen realisierbar sind. Aber man könnte in der Firm-ware eines Standard- oder Komfortlesers die Antwortzeiten derChipkarte in einem etablierten PACE-Kanal auswerten (G9).Auf dieser Ebene sind Berechnungen wesentlich langsamerund Zeittoleranzen müssten so groß gewählt werden, dass manWeiterleitungen per Internet nur schwer erkennt.

Unter Beibehaltung bestehender Hardware ist ein vollstän-diger Schutz gegen das Weiterleiten ohne Einschränkung derFunktionalität nur für Besitzer eines Standard-/Komfortlesersmöglich (G5). Insbesondere kann ein Basisleser einen Relay-Angriff prinzipiell nicht verhindern, sodass deren Besitzer aufunzureichende Gegenmaßnahmen angewiesen sind (G2, G3).Für sie könnte zumindest ein erweiterter Schutz der eSign-Anwendung umgesetzt werden (G4, G9).

III. DER KOMFORTLESER MEINES VERTRAUENS

Mit der stetig zunehmenden Verbreitung des neuen Perso-nalausweises könnte die qualifizierte elektronische Signatureine breitere Anwendung finden. Damit könnten Angriffespeziell gegen Nutzer von Komfortlesern zunehmen. Zumeinen ist es denkbar, dass ein Angreifer die Sicherheit vonbestehenden Komfortlesern bricht (ähnlich wie in [7]). Zum

4Für einen Überblick von Distance-Bounding-Protokollen siehe [6]

anderen ist es denkbar, dass ein Angreifer einen bekanntenKomfortleser fälscht.

Ein Firmware-Update ist die wahrscheinlichste Ursache füreinen kompromittierten Komfortleser. Die Update-Funktionsoll die Authentizität, Integrität und Vollständigkeit der Da-ten sicherstellen [2]. Es ist zu erwarten, dass im Rahmender Zertifizierung eines Lesers nach prinzipiellen Lücken indem konkreten Protokoll und Implementierungsfehlern ge-sucht wird. Daher konzentrieren wir uns hier auf die Frage,wie ein (gefälschter) Komfortleser erkannt werden kann.

Die AusweisApp weist beim Start darauf hin, ob es sich beiden angeschlossenen Lesegeräten um zertifizierte Lesegerätehandelt oder nicht. Diese Prüfung täuscht eine Authentizitätvor, die in dieser Form nicht geprüft werden kann. Dennes ist lediglich die Bezeichnung des Lesers, welche mit derzertifizierter Lesegeräte verglichen wird. Je nach Betriebssys-tem stammt die verwendete Bezeichnung vom installiertenGerätetreiber oder gar vom Gerät selbst. In jedem Fall ist dieBezeichnung von einem Angreifer potenziell kontrollierbar.

Ein Angreifer könnte das Aussehen und die Funktionalitäteines Komfortlesers nachempfinden, sodass ein Opfer hierim Glauben einen validen Leser zu nutzen, die eID- odereSign-PIN eingibt. Der gefälschte Komfortleser kann dieseGeheimnisse und zugleich den Zugriff auf den neuen Perso-nalausweis des Opfers (siehe oben) weiterleiten. Ein Angrei-fer könnte damit den elektronischen Identitätsnachweis oderdas digitale Signieren im Namen des rechtmäßigen Besitzersdurchführen. Das Berechtigungszertifikat ist die einzige Kom-ponente des Komfortlesers, die ein Angreifer nicht nachbauenkann. Der Angreifer hat aufgrund der oben gezeigten Relay-Eigenschaften, die Möglichkeit die Daten an einen gültigenKomfortleser weiterzuleiten. Der gefälschte Komfortleser fun-giert hier also als klassischer Man-in-the-Middle.5

Ohne sich allein auf die Vertrauenswürdigkeit der Bezugs-quellen für Komfortleser verlassen zu müssen, hätte manals Nutzer über das Berechtigungszertifikat des Komfortleserssehr wohl eine Möglichkeit, diesen zu identifizieren. Das Be-rechtigungszertifikat kann zur Prüfung mittels einer emuliertenSmartcard [11] im Rahmen des PACE-Protokolls abgegriffenwerden. Sinnvoller wäre es aber, wenn diese Funktion direkt indie Update-Software für die Leser-Firmware integriert wäre.Mit dem extrahierten Zertifikat könnten so Plausibilitätsprü-fungen durchgeführt werden6.

Eine Prüfung des Berechtigungszertifikats vom Komfort-leser ist derzeit einzig von der Chipkarte während der Si-gnaturerstellung vorgesehen. Weil der Chipkarte der Zugangzu Revocation-Listen fehlt, gibt es keinen Mechanismus, einBerechtigungszertifikat zurückzuziehen. Für Berechtigungs-

5Alternativ gäbe es für einen Angreifer noch die Möglichkeit von einemechten Komfortleser das Modul mit dem privaten Schlüssel zu extrahierenund dieses in seiner Fälschung zu verbauen. Hier steht jedoch der Aufwandwahrscheinlich nicht im Verhältnis zum erwarteten Gewinn.

6Man hätte das Berechtigungszertifikat des Komfortlesers auch zu einemTeil der elektronischen Signatur machen können. Damit hätte man bei derSignaturprüfung auch feststellen können, mit welchem möglicherweise kom-promittierten TA-Schlüssel diese erstellt wurde. Derzeit sieht man aber einerSignatur nicht an, mit welchem Berechtigungszertifikat sie erstellt wurde.

zertifikate eines Dienstanbieters ist dies unproblematisch, weilsie nur wenige Tage gültig sind. Das Berechtigungszertifikateines Lesers soll aber für mehrere Jahre gültig sein. Einkompromittiertes Berechtigungszertifikat kann also nicht zu-rückgezogen werden.

Zusammenfassend kann man festhalten, dass die Prüfungder Authentizität eines Komfortlesers durch den Benutzernicht vorgesehen ist. Darüber hinaus kann die Fälschung einesKomfortlesers einem Angreifer den Zugriff auf den neuenPersonalausweis ermöglichen und die eID-/eSign-PIN kom-promittieren. Auf ein kompromittiertes Berechtigungszertifikatoder einen missbrauchten Komfortleser kann nicht adäquatreagiert werden.

IV. LESSONS LEARNED

Von den zwei Authentisierungsfaktoren, Besitz und Wis-sen, ist durch den Relay-Angriff der Besitzfaktor erheblichgeschwächt. Dies gilt unabhängig vom Anwendungskontext,also sowohl für die eID-Anwendung als auch für die eSign-Anwendung. Wir haben diesen Angriff gegen einen nPAdemonstriert, der beim Opfer auf einem Basisleser oder Le-sermuster mit PIN-Pad liegt. Weiterhin haben wir beschriebenwie gefälschte Chipkartenleser mit PIN-Pad den Wissensfaktorkompromittieren können. Ist dabei ein aus einem echten Kom-fortleser extrahierter TA-Schlüssel involviert, gibt es kaumChancen den Betrug zu erkennen geschweige denn daraufadäquat zu reagieren.

Das größte Problem erwächst aus einem Umstand, derzumeist als Vorteil gesehen wird. Der nPA vereinigt Anwen-dungen mit hohem, mittlerem und niedrigem Schutzbedarf ineiner Chipkarte. Für den Nutzer ist es aber nicht ersichtlich,in welchem dieser Anwendungskontexte der eigene Ausweiskommuniziert. Wir haben Möglichkeiten vorgestellt, um diesgreifbarer zu machen. Besonders interessant erscheint uns da-bei das Kartendisplay, da es hierfür auch weitere Nutzungsfällegibt. Weil dies aber höchstens für zukünftige Ausweisgene-rationen denkbar ist, muss man überlegen wie man diesesProblem mit der bestehenden Infrastruktur bewältigen kann.

Der Authentisierungsfaktor „Besitz“ wird für den neuen Per-sonalausweis (aber auch für die meisten anderen Chipkarten)reduziert auf die Möglichkeit zum Zugriff auf die Karte. Daein Basisleser genau dies bereitstellt und nicht mehr, kanndieser einen Relay-Angriff nicht verhindern. Ein Standard-oder Komfortleser hingegen wäre in der Lage, Kommandoszur PIN-Behandlung zu filtern und so eine entfernte Verbin-dung mit Authentifizierung zum nPA zu verhindern. DiesenAnspruch könnte man auch an andere Lesegeräte nach demSignaturgesetz und der Signaturverordnung haben.

Lösungsmöglichkeiten für gefälschte Lesegeräte und kom-promittierte TA-Schlüssel lassen sich nur schwer in die be-stehende Architektur zum neuen Personalausweis integrieren.Für Besitzer eines Komfortlesers könnte man die Möglichkeitschaffen, zumindest das Berechtigungszertifikat des Lesers zuprüfen und mit einer speziellen Revocation-Liste abzuglei-chen. Dennoch wird es schwierig sein, kompromittierte TA-Schlüssel überhaupt erst zu erkennen und die entsprechenden

Zertifikate zurückzuziehen.Obwohl der neue Personalausweis eine der sichersten Chip-

karten der Welt sein mag und auch an Komfortlesegerätehöhere Anforderungen gestellt werden als an existierendeChipkartenleser für Signaturkarten, gibt es im Zusammenspielder Komponenten Probleme, die mit keinem konkreten Versa-gen einer Komponente zusammenhängen müssen.

DANKSAGUNG

Besonderer Dank gebührt Dr. Wolf Müller für seine zahl-reichen Anregungen und stetige Unterstützung. Desweiterengilt unser Dank den Mitarbeitern von Bundesdruckerei, Bun-desministerium der Sicherheit in der Informationstechnik undBundesministerium des Innern, mit denen wir in konstruktivemDiskurs standen und die uns Lesegeräte und Test-Ausweise zurVerfügung stellten.

LITERATUR

[1] Bundesamt für Sicherheit in der Informationstechnik.Advanced Security Mechanisms for Machine ReadableTravel Documents. TR-03110. 2.05. 2010.

[2] Bundesamt für Sicherheit in der Informationstechnik.Anforderungen an Chipkartenleser mit ePA Unterstüt-zung. TR-03119. 1.1. 2009.

[3] Bundesamt für Sicherheit in der Informationstechnik.BSI weist Sicherheitsbedenken zum neuen Personalaus-weis erneut zurück. 2010.

[4] Bundesamt für Sicherheit in der Informationstechnik.eCards mit kontaktloser Schnittstelle als sichere Signa-turerstellungseinheit. TR-03117. 1.0. 2009.

[5] Bundesministerium des Innern. IT-Sicherheitskit fürBürgerinnen und Bürger. 2010.

[6] Jolyon Clulow u. a. „So near and yet so far: Distance-bounding attacks in wireless networks“. In: In Securityand Privacy in Ad-hoc and Sensor Networks. Springer,2006, S. 83–97.

[7] Colibri. Smartcard-Reader von Kobil geknackt. 2010.URL: http://colibri.net63.net/Smartcard-Reader-Hack.htm.

[8] Gerhard P. Hancke. A Practical Relay Attack on ISO14443 Proximity Cards. Techn. Ber. Cambridge: Uni-versity of Cambridge, 2005.

[9] Gerald Himmelein. „Fensterputzer: Sieben Antiviren-programme im Vergleich“. In: c’t 25/2010 (2010).

[10] Frank Morgner und Dominik Oepen. OpenPACE. URL:http://sourceforge.net/projects/openpace/.

[11] Frank Morgner und Dominik Oepen. Virtual SmartCard Architecture. URL: http://sourceforge.net/projects/vsmartcard/.

[12] Max Moser und Thorsten Schröder. SuisseID / Smart-card USB Takeover. 2010. URL: http://www.vimeo.com/15155073.

[13] N. Kohnert und R. Stumpf. Plusminus. WDR. Fern-sehmagazin, Sendezeit: 24. August 2010 21:50–22:15.2010.