Fragen? Antworten! Siehe auch: Alternativlos
BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer "den großen Fehler" mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten.DAS ist ihre Strategie jetzt? "Das ist alles sicher, aber tut die Karte nur in den Leser, wenn ihr wirklich müsst"? Bwahahahaha, was für eine Lachnummer!
Und ihre Verteidigung zu den Geschäften im Internet ist, dass man dafür eine digitale Signatur braucht und sich nicht nur ausweist. Aha. Soso. Hat das mal jemand dem Herrn de Maiziere erklärt? Der hat die Identifikationsfunktion nämlich schon als Funktion fürs sichere Einkaufen im Internet beworben.
So ein Personalausweis hat drei logisch getrennte Bereiche, den hoheitlichen Teil mit den Biometriedaten, den eID-Teil fürs Ausweisen, und als drittes die Signatur. Damit die aber rechtswirksam ist, muss laut Signaturgesetz die PIN am Smartcardreader eingegeben werden, man braucht also einen Reader mit PIN-Eingabefeld, der braucht dann auch eine richtige Stromversorgung und kostet richtig Geld, weil das a) RFID statt Kontakten ist wie bei den verbreiteten Readern mit Pinpad im Moment und b) gibt es solche Reader für den "nPA" (ePA ist nämlich verbrannt, müsst ihr wissen, deshalb nennen die das jetzt "nPA") noch nicht.
Kurz gesagt: ihre Verteidigung ist, dass der eID-Teil eh für den Fuß ist, und man halt den Signaturteil benutzen soll, den es noch nicht gibt (die beiden zertifizierten Leser sind in der Klasse "Basis", d.h. ohne Pinpad und ohne Display, der Rest sind nur Labormuster ohne BSI-Zertifizierung).
Und, um das nochmal ganz deutlich zu sagen: "dann lässt man die Karte halt nicht im Leser" ist unter dem Gesichtspunkt "das sind kontaktlose RFID-Karten" auch noch mal eine besonders … spaßige Aussage.
Angeblich haben sie schon ne Million Reader ohne Pinpad geordert, damit sie überhaupt was zum zeigen haben. Ohne Pinpad heißt natürlich unsicher, und weil wir, um das nicht zu kompliziert zu machen, als Gefahr "Keylogger" benannt haben, haben sie sich als Feigenblatt ein Software-Pinpad auf dem PC gemacht, wo man dann die Tasten mit der Maus klickt und nicht auf der Tastatur eingibt. Weil das natürlich was GANZ ANDERES ist und VÖLLIG UNABGREIFBAR durch Trojaner!1!! Da kriegt man echt abgenutzte Handflächen vom Fazialpalmieren.
An der Stelle sei auch auf die CCC-Presseerklärung zum Thema hingewiesen. Mein Lieblingssatz daraus:
"Was die da rauchen, hätten wir auch gern mal", kommentierte CCC-Sprecher Engling.
Update: Noch ein Detail: mit der eID-PIN kann man die Signatur-PIN setzen, wenn die noch nicht gesetzt wurde, was ja bei praktisch allen Anwendern zumindest initial der Fall sein wird.