Karten, die die Welt bedeuten -- Eine Nachlese zum ersten Chaos Curriculum Cologne

Nicht nur aus technischer, sondern auch aus gesellschaftspolitischer Sicht ist das Thema Chipkarten ein besonderes: Auf der einen Seite sollen immer mehr Bereiche unseres Lebens von Chipkarten durchsetzt werden, in unseren Taschen stauen sich die mit Goldkontakten versehenen Telefon-, Geld- und Krankenkassenkarten, auf der anderen Seite wird hier von den Herstellern gerne mit der berühmten "Security through obscurity" operiert, umfangreiche technische Dokumentationen etwa zu den GSM-Karten in den D-Netz-Mobiltelefonen waren bis vor kurzem gar nicht oder sehr schwer zu bekommen.

Der Referent Andreas Bogk vom Chaos Computer Club Berlin gehörte zu der Gruppe von Aktivisten im Chaos Computer Club, die die Unsicherheit einer D2-Privat-Karte von Mannesmann demonstrierten, indem sie den Karteninhalt einfach kopierten (dazu finden sich Informationen unter http://www.ccc.de/D2Pirat/). Im Rahmen der vom Komed und dem Chaos Computer Club Cologne gemeinsam durchgeführten Veranstaltung "Chaos Curriculum Cologne" im Mediapark Köln stellte er die grundsätzliche Technologie der Chipkarten und der GSM-Mobiltelefonkarten im besonderen vor.

Der Standard, der fast alles wissenswerte rund um die Chipkarte definiert, nennt sich ISO 7816 und ist auch im Internet zu finden (z. B. unter der Adresse http://cuba.xs4all.nl/~hip/iso7816.txt). Andreas begann seinen Vortrag mit einer kurzen Einführung in ISO 7816, in dem er zunächst kurz vorstellte, wie die einzelnen Kontakte auf der Karte anzusprechen sind (links oben: +5 V, rechts oben: Erde, 2. Kontakt links: Widerstand, 3. Kontakt links: Clock, 3. Kontakt rechts: Datenleitung, der Rest ist "reserved for future use", wie es so schön heißt).

Um jetzt mit der Karte zu kommunizieren, braucht man neben einem Kartenleser (z.B. der holländischen "Dumb Mouse" oder dem "UniProg" des CCC, der bald in einer stark verbesserten Version als "SerProg" wieder zu kaufen ist) natürlich noch ein Protokoll, mit dem man sich mit der Karte "unterhalten" kann. Für GSM-Karten ist das z. B. das T=0-Protokoll, definiert im GSM-Standard 11.11. Die GSM-Telefonkarte enthält ein Dateisystem, ähnlich der Festplatte eines Computers, auf das man zugreifen kann. Verzeichnisse können geöffnet oder ausgelesen werden, Dateien (z.B. das auf der Karte gespeicherte Telefonbuch) können mit dem Kartenleser übertragen werden.

Aber die Karte enthält noch mehr Informationen: So ist der geheime Schlüssel Ki, den die Karte zur Verschlüsselung im Mobilfunknetz benutzt, ebenfalls abgespeichert, daneben findet sich hier auch die zur Authentifizierung notwendige sogenannte IMSI (International Mobile Subscriber ID). Die Anmeldung im Mobilfunknetz erfolgt nach einem Challange/Response-Verfahren: Die Funkzelle bittet das Gerät, das in GSM-Sprech nicht etwa Mobiltelefon oder gar Handy, sondern hochtrabend ME (Mobile Equipment) genannt wird, um die Verschlüsselung einer Zufallszahl RAND mit Ki und IMSI. Das ME schickt die verschlüsselte Zahl zurück und überprüft, ob der richtige Ki und die richtige IMSI eingesetzt wurden.

So weit, so gut. Leider haben die Designer dieses Verfahrens einen ziemlich fatalen Fehler begangen, als sie die genauen Details des Verschlüsselungsalgorithmus' geheim hielten. Kurz nach der Definition des mysteriösen COMP128-Algorithmus im GSM-Protokoll wurde ein Angriff auf diesen bekannt: die differentielle Kryptanalyse. Wäre der COMP128 von Anfang an offen in der Fachwelt diskutiert worden, wäre diese Schwachstelle sicher bekannt geworden. So aber implementierten Anbieter wie Mannesmann dieses Verfahren und setzten es im Netzbetrieb ein. Dabei wiegten sie sich in falscher Sicherheit, schließlich war COMP128 ja geheim. Er WAR geheim, genau das ist der Punkt. Im Frühjahr diesen Jahres wurde er amerikanischen Forschern in Kalifornien unter ziemlich seltsamen Umständen zugespielt, diese erkannten natürlich den offensichtlichen Schwachpunkt und das Verfahren war geknackt. Ein paar Tage nach der Veröffentlichung von COMP128 und der möglichen Angriffe auf diesen im Internet gelang es dem Chaos Computer Club, eine Karte des D2-Netzbetreibers Mannesmann zu clonen. Andere Netzbetreiber haben offenbar COMP128 verändert im Einsatz und sind somit im Moment noch nicht zu knacken. Allerdings dürfte es nur eine Frage der Zeit sein, bis auch diese Algorithmen bekannt werden. Der Geheimhaltungsgrundsatz "Security through obscurity" hat sich hier wieder einmal als völlig falsch erwiesen. Wäre das Verfahren bekannt gemacht worden, hätte man sich eine peinliche Panne ersparen können.

Mit diesem Statement beendete Andreas Bogk seinen Vortrag und beantwortete Fragen aus dem Publikum. Besonders zu anderen Arten von Chipkarten bestand ein hohes Interesse. Eins der Dogmen in der Welt der Chipkartenbastler war bisher: "Telefonkarten für öffentliche Kartentelefone kann man nicht aufladen, der Zähler in der Telefonkarte kann nur herunterzählen". Im Moment scheint dieses Dogma ins Wanken geraten zu sein. Offenbar ist es holländischen Kriminellen gelungen, eine bestimmte Serie von Siemens-Telefonkarten zumindest einmal wieder aufzuladen. Wie dies genau möglich war, ist dem CCC und Andreas Bogk im besonderen nicht bekannt. Offensichtlich wurden hier selten benutzte Zähler auf der Karte und ein Defekt in der Serie 1995-1997 der betreffenden Siemens-Karten ausgenutzt.

Auch zur Krankenkassenkarte gab es Fragen. Entgegen anderslautenden Gerüchten wird auf der Karte nicht viel mehr als der Name und die Adresse des Inhabers gespeichert. "Mit 256 Bytes Speicherplatz ist da nicht viel mehr drin", drückte es Andreas aus. Es ist also weiterhin nicht möglich, unliebsamen Personen besonders ausgefallene Krankheiten in die Krankengeschichte zu programmieren, sobald man deren Krankenkassenkarte in die Finger bekommt.

Etwas mehr gab es zum Thema GeldKarte zu sagen. Die Behauptung der Banken, die GeldKarte sei der elektronische Bargeldersatz der Zukunft, kann man getrost als unwahr einstufen. In Wirklichkeit wird ein Schattenkonto für alle Transaktionen geführt, so daß es sich eben nicht um anonyme Münzen handelt, sondern um eine ganz normale Kreditkarte. Auch technisch ist die GeldKarte nicht gerade durchdacht: Mit der Einführung des Euro wird dieser spezielle deutsche Standard wohl endgültig überflüssig, zumal sich in Europa noch andere Standards wie Mondex in England oder Chipknip in den Niederlanden tummeln. Auch die Tatsache, daß auf der GeldKarte das Ablaufdatum zweistellig (!) gespeichert wird, läßt im Jahre zwei vor dem Jahrtausendproblem nicht gerade Vertrauen in die Konstrukteure des Systems aufkommen.

Elektronisches Bargeld, das anonym ist und an andere weitergegeben werden kann, ist natürlich wünschenswert. Die Deutsche Bank testet im Moment das E-Cash-Verfahren der Firma DigiCash aus Amsterdam (im WWW zu finden unter der Adresse http://www.digicash.nl). Neben der Tatsache, daß bei DigiCash relativ viele Leute aus dem weiteren CCC-Umfeld beschäftigt sind, bietet E-Cash mit der elektronischen Geldbörse auch aus kryptographischer Sicht einen sehr interessanten Ansatz. Warten wir's ab.

Das Problem bei den sich immer weiter ausbreitenden Chipkarten ist also nicht unbedingt die Technik. Vielmehr gilt es, die Technik für die Menschen zu designen und nicht beim Übergang von der analogen Welt der klimperenden Münzen in die digitale Domäne der Bits und Bytes den Datenschutz, der uns bereits zur Verfügung steht, einfach vor lauter Technikbegeisterung links liegen zu lassen. Es ist nicht alles Gold, was glänzt -- das gilt besonders für die Karten mit den Goldkontakten.


(K) 1999 c4 - All Rights reversed
webmaster@koeln.ccc.de