Sicherheitslücke von Estlands ID Cards wirft lange Schatten

Von Ralf Keuper

Bereits vor einigen Wochen wurde bekannt, dass die von der estländischen Regierung ausgegebenen Identity Cards eine gravierende Sicherheitslücke aufweisen (Vgl. dazu: Estland: Die Hälfte der E-IDs hat eine Security-Lücke). Von der Sicherheitslücke betroffen sind alle seit dem 16.10.2014 ausgegebenen ID-Karten – 750.000 Stück.

Bislang ging man davon aus, dass die Lücke nicht dazu genutzt werden kann, den öffentlichen Schlüssel der digitalen Identität auch ohne die Karte und die PIN zu ermitteln Dazu sei eine riesige Rechenkapazität und ein spezielles Programm notwendig, um den dazugehörigen geheimen Schlüssel zu errechnen, so inside-it.ch.

Nun aber berichtet ars technica in Millions of high-security crypto keys crippled by newly discovered flaw, dass die Auswirkungen deutlich weiter reichen als angenommen:

The five-year-old flaw is also troubling because it’s located in code that complies with two internationally recognized security certification standards that are binding on many governments, contractors, and companies around the world. The code library was developed by German chipmaker Infineon and has been generating weak keys since 2012 at the latest. … The library runs on hardware Infineon sells to a wide range of manufacturers using Infineon smartcard chips and TPMs. The manufacturers, in turn, sell the wares to other device makers or end users. The flaw affects only RSA encryption keys, and then only when they were generated on a smartcard or other embedded device that uses the Infineon library.

Obwohl der Aufwand für eine Entschlüsselung nach wie vor immens und kaum praktikabel ist, besteht kein Grund für Entwarnung:

While all keys generated with the library are much weaker than they should be, it’s not currently practical to factorize all of them. For example, 3072-bit and 4096-bit keys aren’t practically factorable. But oddly enough, the theoretically stronger, longer 4096-bit key is much weaker than the 3072-bit key and may fall within the reach of a practical (although costly) factorization if the researchers’ method improves.

Anlass zur Sorge gibt, dass es sich bereits um den zweiten Fall dieser Art binnen weniger Jahre handelt; und das, obwohl die strengen Testverfahren zuvor durchlaufen wurden:

This is the second time in four years that a major crypto flaw has been found hitting a crypto scheme that has passed rigorous certification tests. In 2013, a different set of researchers unearthed flaws in Taiwan’s secure digital ID system that would allow attackers to impersonate some citizens. Both the flawed Infineon library and the Taiwanese digital ID system passed the FIPS 140-2 Level 2 and the Common Criteria standards. Both certifications are managed by the National Institute of Standards and Technology. Both certifications are often mandatory for certain uses inside government agencies, contractors, and others.

Im November erscheint das Paper The Return of Coppersmith’s Attack: Practical Factorization of Widely Used RSA Moduli, das den aktuellen Fall intensiv behandelt.

Weitere Informationen:

Hunderttausende Infineon-Sicherheits-Chips weisen RSA-Schwachstelle auf

Estland schränkt Funktionen von 760.000 ID-Cards ein

 

Veröffentlicht unter Digitale Identitäten | Verschlagwortet mit , | Hinterlasse einen Kommentar

FutureID: Ein dezentrales Identitätsmanagement-Ökosystem für Europa und darüber hinaus

Von Ralf Keuper

In dem über drei Jahre laufenden, von der EU-geförderten Projekt FutureID ging es darum, eine Infrastruktur zu entwerfen, mit deren Hilfe verschiedene Anbieter von Identitätslösungen kooperieren können, ohne dabei Gefahr zu laufen, ihre Mitbewerber (unfreiwillig) zu stärken. Weiteres Ziel war, die Verbreitung der eID in Europa zu fördern.

In Towards a Decentralized Identity Management Ecosystem for Europe and Beyond heisst es:

The objective of the FutureID project was to build an identity management infrastructure for Europe in support of a single market of online services. This requires the availability and large-scale use of trusted and secure identities that replace current password credentials. .. FutureID therefore attempts to find a solution that renders it easier to reach the required critical mass by providing interoperability between credentials and services.

Das folgende Schaubild zeigt die verschiedenen Teilnehmer, Credentials und Services der FutureID – Infrastruktur.

FutureID Infrastruktur

Die FutureID ist kompatibel mit eIDs sowie dem Neuen Personalausweis (nPA).

FutureID has further developed a universal open source eID client that can be used as a multi-card eID middleware that offers complex authentication functions as required by the German nPA and for signatures. Already, a wide variety of eIDs and other smart cards are supported. Additional smart cards are easy to support through simply providing declarative and standards-compliant CardInfo files.

Das Projekt soll weitergeführt werden und seine Ergebnisse in weitere, wie dem Industrial Data Space, einfließen. In ihrer Schlussfolgerung heben die Autoren noch einmal die Vorzüge von FutureID hervor:

What is unique about FutureID, however, is that the number and topology of intermediary components is not fixed and static. FutureID rather adopts an ecosystemapproach by creating a free market for intermediating services. This provides for the flexibility to: scale according to need, adapt to market needs, support special needs of market sectors including niche markets, adapt to established contractual relationships, and easily adapt to various possible business models that render the infrastructure sustainable.

Weitere Informationen:

The eID-Terminology Work of FutureID

Survey and Analysis of Existing eID and Credential Systems

Veröffentlicht unter Digitale Identitäten, Identity Economy | Verschlagwortet mit | Hinterlasse einen Kommentar

Identity on Blockchains

Veröffentlicht unter Digitale Identitäten | Verschlagwortet mit , | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #11

Von Ralf Keuper

Anbei eine Aufstellung von Beiträgen, die mir in dieser Woche besonders ins Auge gefallen sind:

Veröffentlicht unter Digitale Identitäten, Identity Economy, Wochenrückblick | Hinterlasse einen Kommentar

Decentralized Identity Foundation (DIF) in Motion

Weitere Informationen:

The Rising Tide of Decentralized Identity

Veröffentlicht unter Digitale Identitäten | Verschlagwortet mit | Hinterlasse einen Kommentar

Rouven Heck (uPort) über Verimi und die Vorteile dezentraler ID-Lösungen

Aus einem Interview mit Rouven Heck von uPort.

Verimi sounds very interesting and a good step towards an alternative to Google & Facebook, but from my limited knowledge from the public information, it’s ultimately a platform which is operated by one entity. This entity is in control of users IDs and their data. Therefore whilst it seems like a great offering for German and European customers, it’s not fundamentally different from existing federated systems.

I don’t believe it’s either desirable or likely that we will end up with one identity provider. I assume that to establish a truly globally accepted identity system, it needs to be an open standard technology stack, which is not controlled from any individual or group of companies. Like TCP/IP or HTTP are open standards which are adopted around the world to build the internet as we know it – I believe the future is a similar identity protocol based on the decentralized and self-sovereign principle. That is one of the reasons, why we are a founding member and strong supporter of the Decentralized Identity Foundation (DIF), which now includes a number of startup competitors as well as big companies like Microsoft & IBM as member

Veröffentlicht unter Digitale Identitäten, Digitale Plattformen / Plattformökonomie | 1 Kommentar

Regierungen liebäugeln in Sachen Digitale Identitäten mit der Blockchain

Von Ralf Keuper

Die Zahl der Regierungen, die planen, ihre Identitätssysteme mit Hilfe der Blockchain-Technologie zu errichten bzw. zu modernisieren, nimmt kontinuierlich zu. Das geht u.a. aus dem Beitrag Governments Eye Blockchain in Their Creation of National Identity Systems hervor. Darin werden die Regierungen von Singapur, Estland und Illinois genannt.

Mit einer nationalen Blockchain-Strategie beschäftigen sich ferner Malta und Dubai. In Kanada ist mit SecureKey eine ähnliche Entwicklung zu beobachten (Vgl. dazu: SecureKey’s blockchain digital identity network gains support from National Bank of Canada).

Auf (zentral-) europäischer Ebene ist ISÆN aus Frankreich zu erwähnen (Vgl. dazu: Sicheres Identitätsmanagement im Internet mit ISÆN).

Es sieht so aus, als würde die Blockchain als Basistechnologie den Standard im Bereich Digitale Identitäten bilden, wobei die Staaten für die nötige Sicherheit und Akzeptanz sorgen und als letzte Instanz fungieren. Die private Wirtschaft kann auf dieser Basis eigene Lösungen und Services anbieten, für die die Kunden zu zahlen bereit sind. Die Kunden wiederum haben die Möglichkeit, ihre Digitalen Identitäten und Vermögenswerte, sofern sie wünschen, in Eigenregie zu verwalten.

Veröffentlicht unter Digitale Identitäten, Identity Economy | Hinterlasse einen Kommentar

Von statischen zu digitalen Identitäten

Von Ralf Keuper

Nicht erst seit dem Equifax-Hack steht die Frage im Raum, ob es angesichts der fortschreitenden Digitalisierung noch opportun ist, sensible, personenbezogene Daten zentral in herkömmlichen Datenbanken bei Anbietern mit z.T. unzulänglichen Sicherheitsverfahren zu verwalten (Vgl. dazu: Equifax-Hack: Beginn einer Zeitenwende im Credit-Scoring?). Ist es erst einmal jemandem gelungen, sich der Identitätsdaten einer Person zu bemächtigen, stehen ihm Möglichkeiten für deren Missbrauch zur Verfügung, die noch vor wenigen Jahren nicht vorhanden waren. Darauf weist u.a. Garrett Gafke in Moving From Static Identity To Digital Identity hin.

Dadurch, dass die personenbezogenen Daten statisch, d.h. mit all ihren Attributen, von nur wenigen Anbietern, wie Kreditauskunfteien, verwaltet werden, sind die Auswirkungen im Mißbrauchsfall besonders drastisch. Gelangt also eine unbefugte Person in den Besitz der Daten, stehen ihr im Netz zahlreiche Türen offen, um damit Schaden anzurichten.

Deswegen ist hier mehr Dezentralität und – in gewisser Weise – mehr Eigenverantwortung angesagt. Datenbanken, welche Identitätsdaten verwalten, werden häufig für Marketingzwecke verwendet. Warum aber, so Gafke, benötigt das Marketing die vollständigen Daten des Kunden? Ein Teil davon würde völlig ausreichen. Damit ließe sich auch das Risiko im Fall des Verlustes oder Diebstahls deutlich reduzieren. Mit Verschlüsselungstechnologien, evtl. in Kombination mit der Blockchain-Technologie, stehen die nötigen Werkzeuge längst zur Verfügung.

Die Umsetzung der GDPR schränkt den Spielraum für die Datenvermarktung ohnehin ein. Das Geschäftsmodell der Kreditauskunfteien steht vor einem grundlegenden Wandel. Ihre Systeme sind den Anforderungen, die mit der fortschreitenden Digitalisierung und dem veränderten Mediennutzungsverhalten der Kunden einhergehen, kaum noch gewachsen. Das alte Modell der Datenbewirtschaftung, bei dem die eigentlichen Eigentümer keine große Mitsprache hatten, und in dem es keine technologischen Alternativen gab, funktioniert nicht mehr. Insofern haben wir es hier mit einer Machtverschiebung zu tun. Das bisherige Modell birgt zu hohe Risiken, deren Kosten die Kunden auf Dauer nicht zu tragen bereit sein werden.

An Digitalen Identitäten, die dezentral verwaltet werden und deren Eigentümer bestimmte Daten nur nach vorheriger Einwilligung freigeben, führt kein Weg mehr vorbei.

Veröffentlicht unter Digitale Identitäten, Identity Economy, Personal Data | Hinterlasse einen Kommentar

Digitale Identitäten in einem modernen Staat

Von Ralf Keuper

Staat und Verwaltung gehören hierzulande nicht unbedingt zu den Vorreitern der Digitalisierung. Selbst Produkte, deren Qualität international hohe Anerkennung genießen, wie der Neue Personalausweis (nPA) (Vgl. dazu: Anhörung über den neuen Personalausweis (nPA) im Bundestag), finden nicht die gewünschte Verbreitung. Das ist um so bedauerlicher, da wir hierzulande ohne verbindliche Standards, ohne einheitliche Infrastruktur im Bereich Digitaler Identitäten, wie in Kanada, Norwegen, Estland oder demnächst in der Schweiz, unter unseren Möglichkeiten bleiben. Es scheint, als würde der Föderalismus an dieser Stelle zu weit getrieben, wie seinerzeit im Deutschen Zollverein.

Dennoch gibt einige Bestrebungen, die in die richtige Richtung weisen, wie z.b. das Gesetz zur Verbesserung des Online-Zugangs zu Verwaltungsleistungen. Wesentliches Element ist der sog. Portalverbund:

§ 1 Portalverbund für digitale Verwaltungsleistungen

(1) Bund und Länder sind verpflichtet, bis spätestens zum Ablauf des fünften auf die Verkündung dieses Gesetzes folgenden Kalenderjahres ihre Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten.

(2) Bund und Länder sind verpflichtet, ihre Verwaltungsportale miteinander zu einem Portalverbund zu verknüpfen.

Der Fragenkatalog für das Fachgespräch „Moderner Staat – Chancen durch Digitalisierung“ am 21. Juni 2017 bemängelte daher nicht zu Unrecht:

Insbesondere die föderale Vielfalt disparater, nicht immer leicht auffindbarer Angebote mit jeweils unterschiedlichen Zugangskennungen streute in der Vergangenheit Sand in das Getriebe digitaler Umsetzungsbemühungen. Der ebenenübergreifende Portalverbund, den Art. 91c Abs. 5 GG kompetenziell möglich macht, setzt daher an der richtigen Stelle an.

Weiterhin: Der Staat als Brutstätte und Ausgangspunkt für neue Ideen und Geschäftsmodelle:

In der digitalen Welt ist die Verwaltung im Idealfall auch eine digitale Brutstätte, die Anreize für neue Geschäftsmodelle setzt und als Trust Center Synergien für den E-Commerce vermittelt. Authentifizierungsmechanismen (z. B. des neuen Personalausweises) und Standards (z. B. im EPayment), welche die öffentliche Verwaltung entwickelt, können den digitalen Geschäftsverkehr der privaten Welt durch vertrauenswürdige Dienste inspirieren. Über offene Verwaltungsdaten kann der Staat eine Wiege der Wertschöpfung errichten sowie der Zusammenarbeit mit der Zivilgesellschaft und Wirtschaft eine neue Dynamik einhauchen.

Über die Möglichkeiten und Grenzen der Verwaltungen bei der Verwendung des Neuen Personalausweises in der digitalen Ökonomie:

Ein Personalausweis ist keine Payback-Karte – und die Verwaltung kein Versandhändler. Sie unterliegt einer strengen föderalen Zuständigkeitsordnung, die ihr ein – Opportunitätserwägungen verschriebenes – Handeln außerhalb ihrer Kompetenzgrenzen verwehrt. Dazu gesellen sich besondere Anforderungen an den Persönlichkeitsschutz und die IT-Sicherheit.

Digitalisierung mit Augenmaß:

So sinnvoll und notwendig eine Digitalisierung des Staates und der Verwaltung auch ist: Eine Verlagerung hoheitlicher Befugnisse auf technische Einrichtungen birgt zahlreiche Herausforderungen. Einer blinden Huldigung des technisch Möglichen sollte der digitale Staat nicht verfallen. Denn Persönlichkeitsschutz und digitale Sicherheit auf der einen Seite, Nutzerfreundlichkeit sowie Medienbruchfreiheit digitaler staatlicher Angebote auf der anderen Seite stehen in einer spannungsreichen Beziehung. Aufgabe des Staates ist es, die divergierenden Ziele durch konstruktive Lösungen zum gemeinsamen Vorteil miteinander zu versöhnen.

Noch einmal zum Online-Zugangs-Gesetz und Portalverbund:

Art. 91c Abs. 5 GG und das Online-Zugangs-Gesetz markieren daher einen Meilenstein in der digitalen Transformation der Verwaltung und im Idealfall einen Wendepunkt im Kampf gegen die föderale Zersplitterung: Sie eröffnen die Chance zu epochalen Fortschritten in der Vereinfachung der Verwaltungsbeziehungen zwischen Staat und Bürger. Diese Möglichkeit sollten alle staatlichen Stellen beim Schopf ergreifen und die damit verbundenen Herausforderungen annehmen. Das gilt insbesondere für die Gemeinden, welche die Hauptlast der Verwaltungsleistungen vor Ort tragen. Die Idee hinter dem Online-Zugangsgesetz wird nur dann zu vollem Leben erwachen, wenn sie vollständig in das Portal einbezogen und dort mit einem funktional gelungenen Leistungsangebot vertreten sind. Die Länder sollten ihnen die dafür notwendige Unterstützung angedeihen lassen. Darin liegt ein wichtiges Nadelöhr für den Erfolg des Projekts „Portalverbund“.

Zu den Einsatzmöglichkeiten der Blockchain (Hervorhebung RK):

Denkbar ist es bspw., das Grundbuch mittels einer zulassungsbeschränkten Blockchain-Anwendung (private Blockchain) zu führen. In Schweden dekliniert ein Pilotprojekt diese Möglichkeit durch. Denkbar ist das prinzipiell auch für zahlreiche weitere staatliche Register, wie etwa das Zentrale Fahrzeug-, das Handels-, das Vereins- oder das Markenregister. IT-Experten halten die Technologie sogar für einen Katalysator eines sicheren digitalen Identitätsmanagements. Die USRegierung erwägt, die Technologie als Buchführungsinstrument über elektronische Gesundheitsdaten einzusetzen. Auch wenn heute noch unklar ist, wohin die Reise im Einzelnen geht: Die Innovationen der Blockchain sind eine Initialzündung für eine neue, technologisch induzierte verwaltungswissenschaftliche Aufgabenkritik. Ihre Potenziale sollte der Staat mit Augenmaß prüfen und geeignete Anwendungsszenarien experimentell erkunden.

Veröffentlicht unter Digitale Identitäten, Identity Economy | Verschlagwortet mit , , | Hinterlasse einen Kommentar

Personal Data Trading – Innit Foundation

Von Ralf Keuper

Personenbezogene Daten als Währung zu betrachten ist (nicht mehr) neu (Vgl. dazu: Sei deine eigene Währung. Personal Data Currency). Insofern ist es nur konsequent, Applikationen zu entwickeln und auf den Markt zu bringen, die den Handel mit den eigenen Daten ermöglichen. Beispielhaft dafür ist das Personal Data Trading (PDT) System der Innit Foundation.

In dem Whitepaper Abolishing Digital Slavery with Personal Data Trading skizziert Mitzi László die Grundlinien der Lösung:

Personal Data Trading (PDT) is a framework that gives individuals the ability to own their digital identity and create granular data sharing agreements via the Internet.
Rather than the current model which tolerates companies selling personal data for profit, in PDT, individuals would consciously sell their personal data to known parties of their choice and keep the profit. At the core is an effort to redecentralise the Internet.

Das hat Ähnlichkeit mit anderen Initiativen der letzten Zeit, wie Datum, Loomia und Fluence.

Wenn den Nutzern die Eigentumsrechte an ihren Daten zugesprochen werden, dann hätte das weitreichende Konsequenzen für die ganze Gesellschaft:

Personal data trading by individuals in the proposed framework would result in distributed profits amongst the population but also can have radical consequences on societal power structures. It is now widely acknowledged that the current centralised data design exacerbates ideological echo chambers and has far reaching implications on seemingly unrelated decision-making processes such as elections.The data exchange rate is not only monetary, it is ideological.

Rollen / Verantwortlichkeiten:

  • Collection – Individuals need to collect their personal data to ensure ownership
  • Storage – Personal data needs to be stored somewhere.
  • Encryption – The value of data needs to be extracted without compromising privacy.
  • Auditing & Accreditation – The algorithms need to be audited for impact and the data buyers need to be accredited for integrity.
  • Transaction – Data transactions need to be arranged.
  • Financing – Individuals need to be paid for their data as do those carrying out the responsibilities making PDT possible.

Mechanismen / Einsatzfelder

  • Resource Distribution – PDT provides a fourth wealth distribution mechanism for equitable basic income.
  • Balanced Say – PDT works for the good of all humankind by providing a mechanism for a more balanced say in the allocation of global resources
  • Resource Liberation – PDT frees up resources for socially beneficial causes like education and healthcare.
  • Environmental Value – PDT incorporates the environment into our value system.
  • Public Health – PDT allows us to use data more efficiently for the advancement of public health.
  • Collaboration – PDT rewards competition for collaborative solution over competition for greed.

Würdigung:

Beim PDT – Framework handelt es sich m.E. in erster Linie um eine Gesellschaftsutopie auf Technologiebasis, wobei den personenbezogenen Daten die Kraft zugeschrieben wird, den derzeit gültigen Verteilungsmechanismus weitgehend außer Kraft zu setzen und durch einen neuen zu ersetzen. Zentral ist dabei das Recht an den eigenen Daten. Ob sich dieses Projekt in dem derzeit bestehenden Umfeld verwirklichen lässt, ist fraglich. Ein abschließendes Urteil ist derzeit nicht möglich. Anregend ist es auf alle Fälle, als ein wichtiger Diskussionsbeitrag, wie die künftige Gesellschaft aussehen könnte.

Veröffentlicht unter Digitale Identitäten, Identity Economy, Personal Data | Verschlagwortet mit , | Hinterlasse einen Kommentar