Schwäche oder nicht Schwäche des nPA?

nPAZunächst muss ich sagen, was der nPA eigentlich ist. Ich meine damit den neuen Personalausweis, der ab dem 1.11.2010 in Deutschland eingeführt wird. Der Ausweis ermöglicht im Prinzip eine Menge neuer Anwendungen wie z.B. eine Identifikation bei Internetgeschäften. Wie nicht anders zu erwarten war, stürzen sich Interessierte, Fachleute und Bösewichte auf das, was da kommt und versuchen, Schwachstellen zu finden.

Wie erdgeist vom CCC berichtet, hat man nun die erste Schwachstelle gefunden. Naja. Das Problem ist wohl, dass man Card Reader ohne PINpad verteilt. Dummerweise muss man die PIN dann am PC eingeben. Und wenn sich dieser einen Keylogger gefangen hat … eben. Die Lösung wäre natürlich, nur Reader mit integriertem PINPad anzubieten, aber aus mir unbekannten Gründen ist das nicht passiert.

Unterhaltsam ist auf jeden Fall das mediale Ping-Pong, das darauf folgt (siehe z.B. hier, hier oder hier).

Eigentlich ist das Problem nicht wirklich groß und man könnte damit argumentieren, dass ja schließlich auch Online-Banking ausreichend sicher mit am PC eingegebenen PINs funktioniert. Wenn man bedenkt, dass Phishing genau darauf (offenbar erfolgreich) abzielt, ist das jedoch kein gutes Argument.

Wie auch immer: Aus heutiger Sicht und bei richtiger Nutzung ist der nPA konzeptionell sicher. Ob das so bleibt, werden die kommenden 10 Jahre zeigen, denn so lange ist er gültig. Ich bin mir nicht sicher, ob das wirklich gut ist, denn 10 Jahre sind eine Ewigkeit in IT-Maßstäben.

© Copyright schulten.net