|
Laut einem Bericht der Sonntagsausgabe der britischen Zeitung Daily Mail konnte Laurie mit Hilfe eines selbst geschriebenen Programms und eines Lesegeräts von AGC ID auf fremde Passdaten zugreifen. Die Inhaberin des Ausweises habe nichts von dem Angriff auf ihre Privatsphäre mitbekommen. Die auf dem RFID
-Chip gespeicherten Daten werden erst mit einem Schlüssel sichtbar. Dieser berechnet sich aus den Personendaten und wird in der Machine-Readable-Zone (MRZ) am unteren Rand der ersten Passseite gespeichert. Am Schalter der Einreisekontrolle wird die MRZ gescannt. Die auf dem Chip gespeicherten Angaben werden dann mit den unverschlüsselten Passdaten verglichen. Diesen Prozess hat Laurie eigenen Angaben zufolge nachgeahmt. Dazu analysierte er zunächst den Standardcode 9303 der International Civil Aviation Organization (ICAO), der weltweit für maschinenlesbare Ausweisdokumente genutzt wird. So fand er heraus, wie die MRZ organisiert ist. Mit Hilfe des selbst geschriebenen Programms Brute Force probierte er dann rund 40’ 000 verschiedene Datenkombinationen aus, bis er schliesslich den korrekten Decodierungs-Schlüssel fand. Die Passinhaberin war allerdings keine Unbekannte: Einige ihrer Daten kannte der Sicherheitsexperte bereits, andere recherchierte er über das Internet.
Die britische Regierung liefert seit rund einem Jahr biometrische Pässe mit RFID-Chip aus. Sie spielt mit dem Gedanken, künftig nicht nur die üblichen Personendaten und ein Foto des Inhabers, sondern auch Fingerabdrücke und andere biometrische Kennzeichen zu speichern. Laurie rät auf alle Fälle, mehr Zufallselemente zu integrieren. So würde sein Brute-Force-Programm vor eine nahezu unlösbare Aufgabe gestellt.
