Seit Juli 2006 gibt die belgische Regierung Reisepässe mit RFID-Chips heraus, die durch BAC gegen das unautorisierte Auslesen geschützt seien. Allerdings soll sich der Zugriffsschlüssel, der sich aus Geburtstag, Ablaufdatum und Passnummer zusammensetzt und als maschinenlesbarer Code auf dem Pass aufgebracht ist, mehr oder minder leicht erraten lassen, da die Passnummern in steigender Folge vergeben würden und die Gültigkeitsdauer sich auf fünf Jahre beschränke. Ein ähnliches Problem weisen auch die Reisepässe anderer Länder auf; beispielsweise ist beim niederländischen Reisepass die theoretischen Schlüssellänge von 56 Bit auf 35 Bit zusammengeschrumpft, da Ausgabedatum und Passnummer dort linear zusammenhängen.
Besonders prekär an dem nun aufgedeckten Problem sei nach Angaben der Mitglieder der Forschungsgruppe Gildas Avoine, Kassem Kalach, and Jean-Jacques Quisquater, dass der Außenminister Karel De Gucht noch am 9. Januar vor dem belgischen Parlament behauptete, die Daten auf den elektronischen Pässen seien sowohl durch Basic Access Control als auch durch Active Authentication geschützt. Avoine, Kalach und Quisquater fordern nun, dass die Reisepässe der ersten Generation zurückgezogen werden. Für die zweite Generation fordern die Forscher, in den maschinenlesbaren Zugriffsschlüssel Zufallszeichen einzufügen – dazu sei aber offenbar eine Änderung des ICAO-Standards erforderlich. Zudem könne man auch dem amerikanischen Beispiel folgen und den Pass in eine metallene Schutzhülle stecken.
Siehe dazu auch: Belgian Biometric Passport does not get a pass..., Bericht der UCL Crypto Group
Zum ePass, dem neuen elektronischen Personalausweis und den Auseinandersetzungen um Ausweise mit digitalisierten biometrischen Merkmalen siehe den Online-Artikel in c't – Hintergrund: Die Auseinandersetzung um Ausweise mit digitalisierten biometrischen Merkmalen
Autor(en)/Author(s): (dab/c't)
Quelle/Source: Heise online, 11.06.2007