Gedanken zu Ausweisen mit biometrischen Daten, die über Funk ausgelesen werden können, und zur «Freiheitsinitiative».
Ich erhielt folgende Frage per Email: «Sag mal, ist die Technologie der RFID-Chips wirklich so schlecht wie behauptet wird? http://www.freiheitskampagne.ch/»
Meine Antwort wurde etwas ausführlich. Meine Antwort gilt immernoch und ich gebe gerne diese öffentlich kund:
«Die Technologie [Anm. d. Red: RFID] ist auf dem aktuellen Stand, das ist nicht das Problem. Das Problem ist mehr der Einsatzzweck für RFID. Dieses wurde ursprünglich für drahtlose Preisetiketten für Supermärkte entwickelt. Drei Sachen zum drüber nachdenken:
Funktechnik: Innerhalb der Reichweite des Chips können alle auf deinen Chip zugreiffen, ohne dass Du je was davon bemerken wirst. Natürlich ist das ganze verschlüsselt, so dass nur authorisierte Systeme darauf zugreiffen können.
Kryptographie: Es gibt viele Verfahren bei der Kryptographie und deren Umkehrfunktion Kryptoanalyse (knacken). Das meiste hängt davon zusammen, dass a) ein geheimer Schlüssel geheim bleibt (wie bei der Enigma [1]) und dass b) die Rechenkapazität von Computer immernoch exponential steigt. Oder anders, vor 10 Jahren noch weigerte sich die USA Tools für SSL Schlüssel über 24Bit Länge zu exportieren (Kriegsmaterial Exportgesetz der USA). Derzeit nutzen wir im Internet 128 Bit Schlüssel, da auch 64Bit Schlüssel zu schnell geknackt werden können. Auch einen WLAN WEP Schlüssel ist innert 10 Minuten mit einem normalen PC geknackt und WEP durch WPA ersetzt worden. Das hätte man sich vor 4 Jahren noch nicht vorstellen können. Die Möglichkeiten der Kryptoanalyse sind unbegrenzt und somit _kein_ Kryptoverfahren sicher sicher.
Authorisation: Es liegt nicht in Deiner Gewalt zu entscheiden, wer auf die Daten Deines Personalausweises zugreiffen darf und wer nicht. Damit meine ich nicht nur den Fall, wenn der Zugriffsschlüssel knackbar sein sollte, sondern auch der Umstand, dass ich weder VBS, EDI noch EDA traue. Dass danach der ND sofort auf alles Zugriff hat ist klar. Aber dass dann später private, sicherheitsbeauftragte Firmen wie Securitas, Bahnpolizei etc. nachfolgen können, oder das Ganze noch weiter ausgedehnt wird (Migros Diebstahlprotektion als Beispiel), ist ein Gedanke wert. Und von den Datensammlern in der USA oder sonst wo auf Reisen sprechen wir schon gar nicht.
Es ergibt sich daraus, dass Du nicht mehr entscheiden kannst, wer – drahtlos und von Dir unbemerkt – auf Deinen Personalausweis zugreift. Derzeit kannst Du entscheiden, wem Du Deine ID zeigst und wem nicht.
Der Deutsche Chaos Computer Club (www.ccc.de) – ursprünglich ein Hackerclub – ist ein riesiger Gegner biometrischen Pässen und hat IMO auch bereits die ersten erfolgreichen Knackversuche machen können [2].
Das Referendum hat meine uneingeschränkte Unterstützung.
[1]: http://de.wikipedia.org/wiki/Enigma_(Maschine)
[2]: http://www.heise.de/newsticker/Datenschuetzer-warnen-vor-neuem-elektronischen-Personalausweis–/meldung/113284