Bundesinnenminister Otto Schily hat heute den neuen biometrischen Reisepaß vorgestellt. Die Ausgabe der neuen biometriegestützten Reisepässe soll ab dem 1. November diesen Jahres zum Preis von 59 Euro beginnen.
Damit führt Deutschland als einer der ersten EU-Staaten den EU-Reisepass ein. Der neue Reisepaß (ePass genannt) wird einen RFID-Chip enthalten, in dem zunächst ein digitales Foto gespeichert wird. Ab März 2007 werden in neuen Pässen zusätzlich zwei digitale Fingerabdrücke gespeichert. Bis zu diesem Zeitpunkt möchte Schily auch die Personalausweise mit erweiterten biometrischen Funktionen ausstatten.
Da die alten Reisepässe aber ihre Restgültigkeit behalten, wird sich nach Angaben des Innenministeriums vorerst wenig für die Bürger ändern. Von Bedeutung ist weiterhin, daß nach der ePass-Einführung im Herbst Inhaber sowohl von neuen als auch von alten Pässen weiterhin visumfrei in die USA einreisen, wenngleich die USA beabsichtigen unabhängig vom verwendeten Ausweisdokument die Abdrücke aller zehn Finger abzunehmen und in einer eigenen Datenbank zu speichern.
Gesetzliche Basis bildet das Terrorismusbekämpfungsgesetz vom 9. Januar 2002. Desweiteren greift die EU-Verordnung (Nr. 2252/2004) des Europäischen Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in Pässen und Reisedokumenten. Sie verpflichtet alle EU-Mitglieder zur Ausgabe der neuen Pässe und wurde durch den Rat der Innen- und Justizminister (also
Die grundlegenden technischen Spezifikationen für den RFID-Chip wurden von der International Civil Aviation Organization (ICAO) – einer Unterorganisation der Vereinten Nationen – standardisiert. Die Daten sind durch kryptographische Public-Key Verfahren gegen unberechtiges Auslesen und Verändern geschützt.
Insbesondere wird zum Signieren und Überprüfen der Pässe eine global interoperable Infrastruktur (PKI) geschaffen. Jedes daran teilnehmende Land erzeugt eine zweistufige PKI, die aus genau einer länderspezifischen Zertifizierungsinstanz (Country Signing CA) und mindestens einer zum Signieren berechtigten Stelle, wie zum Beispiel der Bundesdruckerei besteht (Document Signer).
Die neuen Reisepässe sollen wie die alten 10 Jahre lang gültig sein. Aufgrund dieser relativ langen Gültigkeit müssen entsprechend starke Schlüssel verwendet werden. Der deutsche Reisepaß wird ECDSA mit den Schlüssellängen 256 Bit für die Country Signing CA und 224 Bit für den Document Signer verwenden.
Zwei Berechtigungssysteme, das Basic und das Extended Access Control Verfahren sollen die auf dem Paß gespeicherten Daten vor unbemerktem bzw. ungewolltem Auslesen schützen. Das Basic Access Control System soll in der ersten Phase ab November das Gesichtsbild schützen. Das erweiterte Kontrollsystem wird erst zur Sicherung der Fingerabdrücke ab März 2007 zum Einsatz kommen.
Technisch wird das Basic Access Control Verfahren dadurch umgesetzt, dass sich das Lesegerät gegenüber dem RF-Chip authentisieren muss. Für diese Authentisierung benötigt das Lesegerät einen geheimen Zugriffschlüssel, der sich aus der maschinenlesbaren Zone (MRZ) des Reisepasses berechnet. Das Lesegerät muss also die maschinenlesbare Zone erst optisch lesen, daraus den Zugriffschlüssel berechnen und kann sich dann erst gegenüber dem RFID-Chip authentisieren.
Der Extended Access Control spezifiziert einen zusätzlichen Public-Key Authentisierungsmechanismus mit dem sich das Lesegerät als zum Lesen von Fingerabdrücken berechtigt ausweist. Dazu muß das Lesegerät mit einem eigenen Schlüsselpaar und einem vom RFID-Chip verifizierbaren Zertifikat ausgestattet werden. In diesem Zertifikat sind dann die Rechte des Lesegeräts exakt festgelegt.
Dabei bestimmt immer das Land, das den Reisepaß herausgegeben hat, auf welche Daten ein (ausländisches) Lesegerät zugreifen kann. Durch dieses Vorgehen soll sichergestellt werden, daß Lesegeräte nur auf die Daten zugreifen können, für die sie auch legitimiert wurden. Weiterhin sind selbst diese Lesegeräte nicht in der Lage, die Daten aus einem geschlossenen Reisepaß auszulesen, da Basic Access Control weiterhin vom RFID-Chip erzwungen wird.
Die Kommunikation zwischen RFID-Chip und Lesegerät wird mit 112-Bit-Triple-DES gegen unberechtigtes Abhören geschützt. Das Aushandeln des dynamischen Sitzungsschlüssels erfolgt bei der Durchführung von Basic Access Control. Dabei werden zwei Schlüsselhälften (KReader und KChip) jeweils mit dem Zugriffschlüssel verschlüsselt übertragen. Da die Stärke des Zugriffschlüssels mit etwa 56 Bit bewertet werden muss (vgl. Basic Access Control), ist es theoretisch möglich, eine vollständig abgehörte und aufgezeichnete Sitzung nachträglich zu entschlüsseln, setzt aber das Knacken des Access Keys voraus.
Erste Kritik an den angeblichen Sicherheitsvorteilen kam bereits vor einigen Monaten vom Chaos Computer Club (CCC). Der Verein stellt konkrete Forderungen an die neue Technik und verlangt eingehende Tests gerade bei Gesichtserkennung und Fingerabdrucksystemen.
Zudem hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder zum heutigen Tag eine <a href="Entschließung zur „Einführung biometrischer Ausweisdokumente“ getroffen. Darin wird vor einer überstürzten Ausgabe biometrischer Pässe zum Herbst 2005 gewarnt. Wesentliche Fragen der technischen und organisatorischen Sicherheit sowie des Datenschutzes sind noch nicht geklärt. Außerdem steht noch eine Änderung des Paßgesetzes aus, für welche die Datenschützer eine strenge Zweckbindung der Paßdaten fordern.