(endlich fertig)
K
Zeile 49: Zeile 49:
  
 
Letzte Vortragende des Programms war Dr. jur. Astrid Albrecht. Sie arbeitet im Referat II 2.1 des BSI und ist Leiterin der Arbeitsgruppe 6 "Biometrische Identifikationsverfahren" des TeleTrusT e.V., welcher sich mit biometrischen Verfahren unter Berücksichtigung interdisziplinärer Aspekte von Recht und Technik befaßt. Der Verein dient der Förderung der Vertrauenswürdigkeit in der Informations- und Kommunikationsgesellschaft (http://www.teletrust.de/ ). Ihr Thema war die Leistungsfähigkeit biometrischer Systeme und die BioP II Studie.
 
Letzte Vortragende des Programms war Dr. jur. Astrid Albrecht. Sie arbeitet im Referat II 2.1 des BSI und ist Leiterin der Arbeitsgruppe 6 "Biometrische Identifikationsverfahren" des TeleTrusT e.V., welcher sich mit biometrischen Verfahren unter Berücksichtigung interdisziplinärer Aspekte von Recht und Technik befaßt. Der Verein dient der Förderung der Vertrauenswürdigkeit in der Informations- und Kommunikationsgesellschaft (http://www.teletrust.de/ ). Ihr Thema war die Leistungsfähigkeit biometrischer Systeme und die BioP II Studie.
Die technische Durchführung der BioFinger II Studie oblag dem Informatiker Marco Breitenstein, IT-Sicherheitberater der Firma secunet AG.
+
Die technische Durchführung der BioP II Studie oblag dem Informatiker Marco Breitenstein, IT-Sicherheitberater der Firma secunet AG.
  
 
BioP II ist ein leistungsvergleichender Systemtest für die Merkmale Gesicht, Finger und Iris. Er fußt auf den gleichen Algorithmen und Sensoren wie BioP I (Öffentlicher Abschlußbericht http://www.bsi.bund.de/literat/studien/biop/biopabschluss.pdf ). Ziel der Studie war die Evaluierung hinsichtlich Performanz sowie Akzeptanz der Benutzer.
 
BioP II ist ein leistungsvergleichender Systemtest für die Merkmale Gesicht, Finger und Iris. Er fußt auf den gleichen Algorithmen und Sensoren wie BioP I (Öffentlicher Abschlußbericht http://www.bsi.bund.de/literat/studien/biop/biopabschluss.pdf ). Ziel der Studie war die Evaluierung hinsichtlich Performanz sowie Akzeptanz der Benutzer.

Version vom 26. Mai 2005, 19:55 Uhr

BSI-Vortragsprogramm auf der CeBit

Im Convention Center auf der diesjährigen Cebit bot das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 14. März ein zweistündiges Vortragsprogramm zu elektronischen Reisepässen und Biometrie an. Es folgt eine Zusammenfassung der Vorträge.

Der erste Vortragende war Uwe Seidel, Sicherheitstechnik- und Ausweisspezialist vom kriminaltechnischen Institut des BKA. Er führte aus, welche Sicherheitsmerkmale den jetzigen deutschen Reisepaß auszeichnen. Der BKA-Mann verwies auf die hohen Standards in der Produktion der zehn Jahre gültigen Pässe seitens der Bundesdruckerei. Diese produziere etwa 50.000 Dokumente pro Tag. Bezüglich der Anzahl der Fälschungen gab Seidel an, daß es nur wenige, vornehmlich digitale Totalfälschungen gäbe, jedoch viele Versuche der Verfälschung des Dokumenteninhalts (Bild, Unterschrift). Derartige Manipulationen seien jedoch zumeist leicht erkennbar, das Kopieren der Pässe sei durch die Verwendung optisch variabler Merkmale (Identigramm, Lasergravur unterhalb des Drucks, eingebettete Signaturen) kaum möglich. Er sagte weiterhin, daß derzeit 3,8 Millionen Ausweise bei InPol, dem Informationssystem der Polizei von Bund und Ländern, zur Fahndung ausständen, in den Schengenstaaten (http://www.zoll.de/h0_wir_ueber_uns/a0_organisation/d0_hzaorg/schengen_staaten/ ) gar 10,5 Millionen.

Im zweiten Teil seines Vortrages erörterte Seidel die Pläne der International Civil Aviation Organization (ICAO) (http://de.wikipedia.org/wiki/ICAO ) zur Integration von biometrischen Daten in Reisepässe. Im Vordergrund stehe zunächst, die Maschinenlesbarkeit (http://www.icao.int./mrtd/Home/Index.cfm ) der Reisedokumente, welche die Technical Advisory Group (TAG) der ICAO im Standard DOC 9303 vorschreibt, zu etablieren. Die MRZ (machine readable zone) des Dokumentes soll es dem Grenzbeamten ermöglichen, den geöffneten Paß einfacher auszulesen, die Daten werden dabei automatisch gescannt. Die biometrischen Identifikatoren im Paß werden ebenfalls den Empfehlungen der ICAO entsprechen, also ein Gesichtsbild und der Fingerabdruck und/oder die Iris (fakultativ). Die ICAO empfiehlt hierzu einen kontaktlosen RFID-32k-Chip, eingebettet mit einer Antenne im Booklet des Passes, oder einen 2D-Standard-Barcode als Datenträger der biometrischen Identifikation. Hierzu sagte Seidel, der Barcode würde zwar ausreichen, sei jedoch wegen Speicherplatzproblemen unwahrscheinlich.

Zweiter Referent war Dr. Dennis Kügler vom BSI (Referat II 2.4: Kryptologie, wissenschaftliche Grundlagen und Trends). Er ist, ebenso wie BKA-Mann Seidel, Mitglied der Untergruppe "London 17/18 Group" der NTWG PKI Task Force. Sein Vortrag behandelte die digitalen Sicherheitsmerkmale im elektronischen Reisepaß in bezug auf Fälschungs-, Kopier- und insbesondere Zugriffsschutz.

Um Fälschungen entgegenzuwirken, wird jeder Paßhersteller ein Zertifikat einer Zertifizierungsstelle seines Landes erhalten. Für die Schlüssellängen (RSA/DSA) gilt hierbei: 3072 Bit für die Zertifizierungsstelle des Landes, 2048 Bit für den Hersteller. In Deutschland wird ein Verschlüsselungsalgorithmus auf Basis elliptischer Kurven verwendet werden, nach Auskunft von Kügler der ECDSA-Algorithmus (Elliptic Curve Digital Signature Algorithm) mit Hashwerten von 256 Bit oder 224 Bit. Bezüglich einer möglichen Revokation des Signaturschlüsselzertifikates erklärte Kügler, daß grundsätzlich die digitalen Dokumente weniger vertrauenswürdig seien als die physikalischen Dokumente, welche in einem solchen Fall weiterhin gültig blieben.

Der kontaktlose Chip im Paß nach ISO 14443 wird (natürlich) maschinenlesbar und digital signiert sein sowie die biometrischen Daten enthalten. Als Auslesedistanz gab Kügler einige Zentimenter an, wies jedoch darauf hin, daß mit heutiger Technik ein Auslesen auf mehrere Meter Entfernung möglich sei. Um einen Kopierschutz zu gewährleisten, soll sich der RFID-Chip mittels eines individuellen Schlüsselpaars, das ebenfalls signiert wird, aktiv authentisieren.

Dem Zugriffsschutz widmete Kügler besondere Aufmerksamkeit, er verwies darauf, daß die unauthorisierte Erlangung der gespeicherten biometrischen und persönlichen Daten technisch sicher verhindert werden muß. Er erläuterte zunächst das zweigeteilte Access-Konzept.

Der ICAO-Standard schlägt gegen nicht authorisiertes Auslesen optional einen passiven Authentifikationsmechanismus vor (Basic Access Control). Kügler schätzte dessen Effektivität als nur gering ein. Für das Gesichtsbild sei Basic Access Control insofern jedoch geeignet, da es sich hier um nur schwach sensitive Daten handeln würde.

Hier schlägt das BSI für die passive Authentisierung vor, aus der MRZ (machine readable zone) einen Zugriffsschlüssel zu berechnen.

Den Fingerabdruck hingegen schätzte Kügler als stark sensitives Merkmal ein. Daher müsse der Zugriffsschutz durch einen aktiven Authentifikationsmechanismus (Extended Access Control) gewährleistet werden. Im ICAO-Standard wurde dieser nicht definiert, ist damit also nur für nationale Zwecke oder auf bilateraler Ebene verwendbar.

Den Vorschlag des BSI bezüglich der Extended Access Control beschrieb Kügler im Anschluß. Demnach wird für jedes Lesegerät ein asymmetrisches Schlüsselpaar mit einem korrespondierenden, verifizierbaren Zertifikat erzeugt (Berechtigung nur pro Lesegerät). Daher muß der Chip für die Extended Access Control Rechenleistungen erbringen können.

Bezüglich der Auslesezeit inklusive Authentisierung gab Kügler für die Basic Access Control etwa 5 Sekunden, für die Extended Access Control etwa 10 Sekunden an.

Innerhalb der EU ist der Zugriffsschutz durch die Extended Access Control derzeit nur als Vorschlag zu sehen, sagte Kügler. Ein weiterer (namentlich unbekannter) BSI-Kollege pflichtete ihm bei und fügte hinzu, daß von seiten der US-Amerikaner ohnehin kein Fingerabdruck als biometrisches Merkmal auf dem Chip gefordert werde, ihnen würde vielmehr das digitale Gesichtsbild genügen. Lediglich inneramerikanisch sei eine digitale Aufnahme des Fingerabdrucks geplant. Aus diesem Grund sei also die technische Umsetzung der Extended Access Control nicht dringlich.

In der nachfolgenden kurzen Diskussion wurde die Frage gestellt, ob ein Mechanismus vorgesehen sei, die Schlüssel der Lesegeräte zurückzuziehen (Revokation). Kügler gab an, daß dies bisher nicht der Fall sei. Es sei jedoch momentan in der Diskussion, die Gültigkeit der Schlüssel zeitlich zu begrenzen, dies wäre aber noch nicht entschieden.


Der dritte Vortragende im Programm war der Diplom-Informatiker Markus Nuppeney. (Er hat auch eine Homepage: http://www.nuppeney.de/ ) Er stellte die im Auftrag des BSI entwickelte Software zum Auslesen der RFID-Chips in elektronischen Reisedokumenten, Golden Reader Tool (http://www.bsi.bund.de/literat/faltbl/F25GRT.htm ), vor.

Das Golden Reader Tool (GRT) ist eine prototypische Softwareapplikation, die dem Auslesen der im RFID-Chip gespeicherten, elektronisch lesbaren Daten von Identifikationsdokumenten wie dem neuen Reisepaß dienen soll. Es soll insbesondere die Anforderungen der ICAO umsetzen. Entwickelt wurde es von dem Unternehmen Secunet Security Networks AG (http://www.secunet.de/ ) im Auftrag des BSI. Weiterhin an der Entwicklung beteiligt sind: BKA, cv cryptovision GmbH, Bundesdruckerei GmbH und Giesecke & Devrient GmbH. Primäres Ziel von GRT ist die Absicherung des Prozesses des kontaktlosen Auslesens der Daten. Die digitale Signatur und die Integrität der auf dem Chip gespeicherten elektronischen Informationen sollen dabei durch einen kryptographisch abgesicherten secure channel geprüft werden.

Nuppeney berichtete zunächst über die Arbeit der sog. “Essen Group”. Benannt nach dem Ort ihres ersten Treffens am 26. Januar 2004, ist die Essen Group eine informelle Arbeitsgruppe mit Teilnehmern aus Deutschland, den Niederlanden und Großbritannien. Schwerpunkt der Arbeit der Gruppe aus Regierungsinstitutionen und Unternehmen ist die neue Generation der Pässe. Es soll eine gemeinsame Referenzstruktur ("silver data set") für die Speicherung der biometrischen Daten entwickelt und getestet werden, um eine Interoperabilität der Pässe und der zugehörigen Grenzkontrollsysteme in den drei Ländern zu gewährleisten. Parallel sollen neben diesen Plänen für die Pässe (gemäß ICAO 9303) auch Normen für Europäische Visa und für den künftigen elektronischen Personalausweis erarbeitet werden. Grundlage sind die Spezifikationen der Working Group Expertise ISO/IEC JTC1 SC17 WG3 der ICAO für maschinenlesbare Pässe.

Nuppeney berichtete weiter, daß der ursprüngliche ICAO PKI Technical Report 1.0 vom April 2004 zurückgezogen wurde. Es gilt nunmehr die Version 1.1 vom Oktober 2004 (http://www.icao.int/mrtd/download/documents/TR-PKI%20mrtds%20ICC%20read-only%20access%20v1_1.pdf ).

Das von der Essen Group initiierte Golden Reader Tool charakterisierte Nuppeney im Anschluß. Es unterstützt folgende Sicherheitsmechanismen: passiver (mit ECDSA) und aktiver auth mode, Basic Access Control, time measurement, extended logging. Die Lesegeräte sollen zu den SmartCard-Technologien (PC/SC ISO/IEC 7816 Standard) kompatibel sein. Dabei wird bisher das kontaktlose Lesegerät Philips Pegoda MF RD700 unterstützt sowie Integrated Engineering SmartID. Die bisher in Tests erzielten Auslesezeiten liegen im Schnitt bei etwas über 5 Sekunden. Nuppeney gab an, daß das Java-basierte System auf dem Chip noch zu langsam sei. Die Essen Group plant für die Zukunft, die Extended Access Control zu implementieren, sobald die Spezifikation hierfür komplettiert ist.


Letzte Vortragende des Programms war Dr. jur. Astrid Albrecht. Sie arbeitet im Referat II 2.1 des BSI und ist Leiterin der Arbeitsgruppe 6 "Biometrische Identifikationsverfahren" des TeleTrusT e.V., welcher sich mit biometrischen Verfahren unter Berücksichtigung interdisziplinärer Aspekte von Recht und Technik befaßt. Der Verein dient der Förderung der Vertrauenswürdigkeit in der Informations- und Kommunikationsgesellschaft (http://www.teletrust.de/ ). Ihr Thema war die Leistungsfähigkeit biometrischer Systeme und die BioP II Studie. Die technische Durchführung der BioP II Studie oblag dem Informatiker Marco Breitenstein, IT-Sicherheitberater der Firma secunet AG.

BioP II ist ein leistungsvergleichender Systemtest für die Merkmale Gesicht, Finger und Iris. Er fußt auf den gleichen Algorithmen und Sensoren wie BioP I (Öffentlicher Abschlußbericht http://www.bsi.bund.de/literat/studien/biop/biopabschluss.pdf ). Ziel der Studie war die Evaluierung hinsichtlich Performanz sowie Akzeptanz der Benutzer.

Albrecht verwies auf einige Fragen, welche die neue Studie beantworten sollte, beispielsweise, ob die Hersteller der Systeme der Herausforderung gewachsen seien, die Bilddaten gemäß ICAO anstatt proprietärer Templates zu verarbeiten. Insbesondere sollte aber die Praxistauglichkeit, die Benutzerakzeptanz sowie die Benutzbarkeit untersucht werden. Sie verweis allerdings darauf, daß die Testgruppe bezüglich der Anzahl der Personen nicht als repräsentativ gelten könne.

Zwar sei die Studie ursprünglich mit dem Ziel gestartet worden, Entscheidungshilfen und Empfehlungen für die Politik anzubieten, Albrecht macht jedoch klar, daß die politischen Vorgaben die Studiendurchführung "überholt" hätten.

BioP II wurde am Flughafen Frankfurt durchgeführt. An vier Standorten wurden dort Container aufgestellt, in welchen jeweils zwei biometrische Verfahren getestet wurden. Die Gesamtanzahl der Testpersonen betrug 2081. Diese sollten mindestens zweimal pro Tag einen der Container durchlaufen.

Die getesteten Systeme gab Albrecht wie folgt an: Die Gesichtserkennung lieferte die Firma Cognitec (The Face Recognition Company http://www.cognitec-systems.de/index.html ). Für den Fingerabdruck wurden Systeme der Firmen Bundesdruckerei GmbH (The Home of Identification http://www.bundesdruckerei.de/ ) und Dermalog (The Leader in Biometrics http://www.dermalog.de/ ) verwendet. Die Iriserkennung wurde mit takeID von SD Industries (http://www.sd-industries.com/ ) durchgeführt. Die Tests wurden jeweils mit den Bilddaten gemäß ICAO sowie mit den Templates der Hersteller durchgeführt. Eine Ausnahme bildet die Iriserkennung, da das System derzeit noch kein ICAO-konformes Bild lieferte. Hier wurden daraufhin die proprietären Templates genutzt.

Der Umfang der gesammelten Daten belief sich laut Albrecht auf 500.000 False Rejection Rate Samples und etwa 30 Millionen False Acceptance Rate Samples. Die Studie unterscheidet in Wenignutzer, Normalnutzer und Vielnutzer. Pro System hätten real ca. 640 Normal-User den Test durchlaufen.

Die False Rejection Rate (FRR) sei nur im Kernzeitraum erhoben worden, nicht jedoch während der Einführungsphase. Sie nannte einige ermittelte Zahlen für die FRR sowie die False Acceptance Rate (FAR), jedoch nur wenig strukturiert und etwas unübersichtlich: Die FAR bildete den Schwerpunkt der Studie, sie sei insgesamt im Bereich von 0,1%. Insbesondere bei der Iriserkennung hätten Designprobleme des Systems (bezüglich der ICAO-gemässen Bilddaten) dazu geführt, daß die FRR für die Wenignutzer auf 24% hochgeschnellt sei. Die Iriserkennung habe sich also für Wenignutzer als nicht geeignet erwiesen und insgesamt als nicht anwendbar herausgestellt. Sie gab an, daß aber auch im allgemeinen die FRR für Wenignutzer höher gewesen sei.

Die Erkennungsleistung beim Fingerabdruck sei insgesamt besser als die bei der Gesichts- und Iriserkennung gewesen. Die FAR für das Dermalog-Fingerabdrucksystem lag bei 0,4%, für die Iriserkennung bei 0,8%.

Albrecht gab die FRR für die Gesichtserkennung mit 2 bis 10% an. Problematisch sei hier nach wie vor die Ausleuchtung, insbesondere bei den ICAO-gemässen Bilddaten. Bei den Fingerabdrücken liegt die FRR bei 1 bis 7%. Sie kündigte auf Nachfrage die Veröffentlichung von BioP II für das zweite Quartal diesen Jahres an.

Bezüglich der Nutzerakzeptanz sagte Albrecht, daß die Gesichtserkennung die wenigsten Probleme bereitet hätte. Beim Fingerabdruck wären bereits beim Enrolment Probleme bei der Qualität der Referenzdaten aufgetaucht, insbesondere was die Positionierung und den Druck des Fingers auf den Sensor betrifft.

Zur Überwindungssicherheit sagt Albrecht nur wenig. Sie bezeichnete diese für Fingerabdrücke als problematisch. Da die Studie im überwachten Bereich am Flughafen durchgeführt wurde, gebe diese jedoch darüber kaum Auskunft. Generell wäre ihrer Meinung nach ein überwachter Einsatz sinnvoll.