» nützliche Hinweise zu Kartenlesern

Einschätzung des „Personalausweis-Hacks“ durch Experten

Kurze Einschätzung von Christian Kahlo zur von SEC-Consult veröffentlichten Meldung bezüglich eines Personalausweis-Hacks. Bei diesem soll es den „Sicherheitsforschern“ gelungen sein sich online als Bürger mit dem erdachten Namen „Johann Wolfgang von Goethe“ unter der Nutzung der eID-Funktion (Online-Ausweisfunktion) auszugeben.

Veröffentlicht unter AusweisApp, eID-Anwendung, eID-Client, eID-Funktion (Online-Ausweisfunktion) | Verschlagwortet mit , , | Hinterlasse einen Kommentar

Stellungnahme zur Berichterstattung einer Schwachstelle im Governikus Autent SDK

GOVERNIKUS KG Stellungnahme Schwachstelle Online-Ausweisfunktion

GOVERNIKUS KG Stellungnahme Schwachstelle Online-Ausweisfunktion

Diese Information dient der Klarstellung der aktuellen (November 2018) Berichterstattung zu einer Schwachstelle im Governikus Autent Software Development Kit (SDK) in der Version 3.8.1 und der daraus resultierenden und von der Presse aufgegriffenen Rückschlüsse zu unsicheren Implementierungen der eID-Funktion des deutschen Personalausweises:
Im vergangenen Jahr wurde im Rahmen eines Anwenderforums zur AusweisApp2 von Governikus ein Demobeispiel auf Basis des Governikus Autent SDK vorgestellt, um die unkomplizierte und schnelle Implementierung der eID-Funktion des Personalausweises bei Diensteanbietern zu verdeutlichen. Dieses Demobeispiel wurde auch öffentlich zum Download zur Verfügung gestellt, ohne das vollständige Governikus Autent SDK zu beinhalten.

Das Unternehmen SEC Consult hat anhand dieses Demoszenarios, das ausdrücklich zu keinem Zeitpunkt den Anspruch hatte, eine vollumfängliche Implementierung im Realbetrieb vorzunehmen, eine Prüfung auf Schwachstellen vorgenommen und im Juli d.J. dem CERT-Bund eine Schwachstelle gemeldet.

Das von SEC Consult beschriebene Angriffsszenario bedient sich des Umstandes, dass im Demoszenario des Autent SDKs die Prüfung einer „SAMLResponse“ zwar korrekt durchgeführt, anschließend aber ein weiterer angehängter Parameter mit dem Namen „SAMLResponse“ verarbeitet wird. Während die Prüfroutine aus dem Autent SDK kommt, handelt es sich bei der Verarbeitung der SAMLResponse um einen Standardaufruf auf der Servlet API (getParameter) und ist somit Teil der Beispiel-Implementierung und hat nichts mit dem Autent SDK zu tun.

Die im Autent SDK enthaltenen Demoszenarien sind, wie aus dem Namen ersichtlich, zur Demonstration der Bibliotheken gedacht. Sie hatten und haben allerdings nicht den Anspruch, weitere Sicherheitsmaßnahmen, die im Realbetrieb erforderlich sind, zu erwähnen oder gar zu implementieren.

Diese müssen durch die jeweiligen Diensteanbieter bzw. Betreiber solcher Dienste ergriffen werden, zum Beispiel zum Schutz vor XSS-Angriffen, SQL-Injection, Replay-Angriffen usw. Diese URL-Prüfungen sind die Maßnahme, die den Angriff verhindert. Das von der OASIS spezifizierte und offene Protokoll „SAML Web Browser SSO Profil“ (Redirect Binding) findet hier Anwendung. Das SAML Protokoll ist bewusst so offen, dass weitere Parameter übermittelt werden können, wenn das von der entsprechenden Anwendung benötigt wird. Die Prüfungsregeln für den Diensteanbieter ergeben sich u.a. aus dem Standard selbst (https://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf, Abschnitt 3.4.4.1 „(…) the relying party MUST ensure that the parameter values to be verified are ordered as required by the signing rules above“).

Die zu ergreifenden Maßnahmen ergeben sich aus OASIS- und OWASP-Empfehlungen, welche von unseren Kunden im Rahmen der Integration beachtet und als Voraussetzung bei der Implementierung genannt werden. In diesem Fall sind besonders die Empfehlungen von OWASP (https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet) zu beachten. Aber selbstverständlich müssen anwendungsbezogen weitere Maßnahmen umgesetzt werden.

An dieser Stelle nochmals der Hinweis: Das Demo-Szenario enthält nicht das vollständige Autent SDK und kann so nicht für eine vollständige Implementierung einer im realen Betrieb durchgeführten Personalausweisintegration verwendet werden und sollte lediglich verdeutlichen, wie einfach eine Implementierung vorgenommen werden kann! Dass allerdings im Realbetrieb weitere Maßnahmen im Rechenzentrum durchgeführt werden müssen, war nicht Bestandteil des Demoszenarios.

Wir stimmen insofern mit der Einschätzung überein, dass ein Beispiel häufig ungewollt übernommen wird, auch wenn die beigelegte Readme-Datei darauf hinweist, dass es eine Demo ist, welche zudem nur auf localhost läuft. Deswegen haben wir bereits im August 2018 einen Quick-Fix in die entsprechende Routine aufgenommen, die einen Fehler zurückmeldet, wenn relevante URL-Parameter (SigAlg, SAMLResponse, RelayState) tatsächlich mehr als einmal vorkommen. Diese Aktualisierung haben wir unseren Kunden umgehend zur Verfügung gestellt. Diese inhaltliche Prüfung wird in Realszenarien durch die o.g. Umsetzung der OASIS- und OWASP-Empfehlungen allerdings auch vor der Verarbeitung im SDK bereits durchgeführt.

Selbstverständlich läuft das SDK nur in Java-Umgebungen und die Online-Ausweisfunktion ist auch nur eine Anwendungsmöglichkeit.

Darüber hinaus ist das SDK ein Produkt der Governikus. Daher kann es nicht stellvertretend für die Online-Ausweisfunktion stehen.

Der sowohl von SEC Consult als auch von einigen Berichterstattern aufgegriffene Rückschluss, sämtliche mit Autent realisierten Integrationen der eID-Funktion des Personalausweises wären unsicher, ist damit schlicht und ergreifend falsch.

Quelle: Stellungnahme Schwachstelle AutentSDK

Veröffentlicht unter eID-Client testen, eID-Infrastruktur, eID-Komponenten, eID-Lösungen, eID-Server, eID-Service, eID-Technik, eID-Technologie, Online-Ausweisfunktion, Personalausweisintegration | Verschlagwortet mit , , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Apple Patent US 2018/0225662 A1 vs. Fidelio erklärt von Christian Kahlo

Das neue Apple Patent US 2018/0225662 A1 erklärt an Hand eines bereits wesentlich länger existierenden Systems auf Android Basis. 🙂 Die App hier im Playstore ist nur eine Ausprägung und das Resultat von Entwicklungen seit ca. 2013 aus mehreren Einzelprojekten, Bachelor & Master Arbeiten von Studenten, Research Papers, Forschungsansätzen und Prototypen für Zukunftsoptionen.

Quelle: https://plus.google.com/+ChristianKahloVX4/posts/65wueLmimV8

Weitere Informationen
» Präsentation PersoApp-Workshop FU Berlin
» Apple interessiert an deutscher eID-Technologie – Apple Patent US 2018/0225662 A1

Veröffentlicht unter Allgemein, AusweisApp mobil, eID-Funktion (Online-Ausweisfunktion), eID-Infrastruktur, eID-Lösungen, eID-Service, eID-Services, eID-System, eID-Technik, eID-Technologie, elektronischer Identitätsnachweis, Online-Ausweisfunktion, PersoApp | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar

Apple interessiert an deutscher eID-Technologie

Die Firma Apple ist scheinbar stark an der eID-Technologie des deutschen Personalausweises und deren Umsetzung interessiert. Weiterhin bestätigt Apple die Zukunftsfähigkeit der eID-Technologie. Anders kann man den Patentantrag DOCUMENT IMPORTATION INTO SECURE ELEMENT (United States Patent Application 20180225662) des Unternehmens nicht deuten.

DOCUMENT IMPORTATION INTO SECURE ELEMENT US Patent Application 20180225662

DOCUMENT IMPORTATION INTO SECURE ELEMENT US Patent Application 20180225662

Apple will RFID-Schnittstelle für Ausweisdokumente öffnen

Ebenso positiv zu erwähnen ist der Fakt, dass Apple nun die RFID-Schnittstelle scheinbar für den Einsatz von Ausweisdokumenten nutzen möchte. Dadurch wäre die mobile Nutzung der Ausweisdokumente auch durch Apple-Nutzer möglich. Zusammenfassend lässt sich sagen, dass die eID-Technologie und deren bereits schon implementierte mobile Nutzung den wertvollsten Konzern der Welt zu aktivem Handeln bewegt bzw. zumindest stark inspiriert hat.

Re-Examination mit Verweis auf die BSI TR-03110 (prior art)

Allerdings ist noch zu klären, inwieweit diese Patentanmeldung auch belastbar ist, da bereits eine Re-Examination mit Verweis auf die BSI TR-03110 (prior art) vorbereitet wird. Weiterhin könnte dem Patent die bereits seit dem 02.11.2017 im Google Playstore öffentlich angebotene Fidelio-App (offener Beta Test) im Wege stehen.

 

Öffentliche Präsentation an der FU Berlin

Auch wurde bereits am 28.05.2015 die Thematik in einem öffentlichen Workshop „Workshop zum Open-Source-eID-Client PersoApp“ an der FU Berlin präsentiert.

Interessante Links

Veröffentlicht unter Allgemein, AusweisApp, AusweisApp mobil, eID-Client, eID-Funktion (Online-Ausweisfunktion), eID-Infrastruktur, eID-Lösungen, eID-System, eID-Technologie, Smartphone als Kartenleser | Verschlagwortet mit , , , , , , , , , , , , | 1 Kommentar

Aktueller Stand zur eID-Funktion (Online-Ausweisfunktion)

Am 1. November 2010 wurde der elektronische Personalausweis mit den verschiedenen elektronischen Funktionen eingeführt. Eine dieser elektronischen Funktionen ist die eID-Funktion (Online-Ausweisfunktion), mit deren Hilfe sich Inhaber des Ausweisdokumentes im digitalen Raum ausweisen können. Über sieben Jahre nach der Einführung dieser Funktion sind die Nutzungszahlen der eID-Funktion (Online-Ausweisfunktion) noch ausbaufähig. Vor diesem Hintergrund stellen sich verschiedene Fragen bezüglich der Akzeptanzsteigerung des elektronischen Ausweisdokumentes und dem darauf basierendem Ausbau der Nutzungszahlen, wie zum Beispiel

  • Wie ist der aktuelle Stand der eID-Funktion (Online-Ausweisfunktion) in Zahlen?
  • Welche gesetzlichen Maßnahmen wurden ergriffen, um die Nutzung der eID-Funktion langfristig zu fördern?
  • Welche neue Anwendungen bzw. Nutzungsmöglichkeiten gibt es für die eID-Funktion (Online-Ausweisfunktion)?

Aktuelle Zahlen zur eID-Funktion (Online-Ausweisfunktion)

Laut geschätzten Zahlen lag bei ca. 50 Millionen ausgegebenen elektronischen Ausweisdokumenten die Anzahl der Personalausweise mit aktivierter eID-Funktion (Online-Ausweisfunktion) bei ca. 18,5 Millionen. Aktuell kann davon ausgegangen werden, dass die gesetzlichen Maßnahmen und neuen Anwendungen die Ausbreitung der eID-Funktion fördern, sodass Schätzungen davon ausgehen, das 2020 ca. 46 Millionen Personalausweise mit aktivierter eID-Funktion (Online-Ausweisfunktion) existieren.

Gesetzliche Maßnahmen zur Förderung zur eID-Funktion (Online-Ausweisfunktion)

Als gesetzliche Aktivitäten zur Förderung der eID-Funktion können die Verabschiedung des Gesetzes zur Förderung des elektronischen Identitätsnachweises und die Modifizierung des Personalausweisgesetzes betrachtet werden. Im Rahmen dieser Maßnahmen wurde beschlossen, dass die eID-Funktion (Online-Ausweisfunktion) bei der Ausgabe des elektronischen Personalausweises an den Nutzer immer aktiviert ist. Weiterhin wurde das Beantragen von Berechtigungszertifikaten für Diensteanbieter, welche die eID-Funktion einbinden möchten, deutlich erleichtert.

Neue Anwendung: Vor-Ort-Auslesen der eID-Funktion (Online-Ausweisfunktion)

Neben den besagten gesetzlichen Maßnahmen wurde eine neue Nutzungsmöglichkeit der eID-Funktion (Online-Ausweisfunktion) geschaffen, das „Vor-Ort-Auslesen“ (Vor-Ort-eID-Auslesen bzw. Vor-Ort-eID). Durch diese sichere und schnelle Umsetzung einer Identitätsfeststellung bzw. eines Identitätsnachweises wird es Anbietern möglich, die Vorteile der eID-Funktion (Online-Ausweisfunktion) zu nutzen. Damit können diese eine medienbruchfreie und sichere Abwicklung von online-basierten Prozessabläufen zur Verfügung stellen, ohne dass die Anbieter über ein eigenes Berechtigungszertifikat verfügen. Das Bereitstellen eines Dienstes ohne eigenes Berechtigungszertifikat erspart dem Anbieter die Beantragung der Berechtigung sowie das Vorhalten der nötigen eID-Infrastruktur, um das Berechtigungszertifikat in den eigenen Dienst einzubinden.

Die neue Anwendungsmöglichkeit des Vor-Ort-Auslesens der eID-Funktion wird auch als Vor-Ort-Nutzen der eID-Funktion, Vor-Ort-Identitätsnachweis bzw. Vor-Ort-Identitätsfeststellung per eID bezeichnet.

Sicherheit beim Vor-Ort-Auslesen der eID-Funktion

Mit der Anwendungsmöglichkeit Vor-Ort-Auslesen per eID-Funktion können personenbezogene Daten aus dem Personalausweis in ein entsprechendes Online-Anwendungsformular übernommen werden, ohne dass der Personalausweisinhaber die eID-Funktion aktiviert haben  bzw. er seine sechsstellige eID-PIN kennen muss. Dadurch können Ämtern und Behörden die entsprechenden Daten aus dem Personalausweis schnell und sicher für die jeweiligen Fachverfahren verwenden, ohne dass sie über ein eigenes Berechtigungszertifikat verfügen bzw. die eID-Funktion des Nutzers aktiviert ist.

Sicheres Vor-Ort-Auslesen per eID-Funktion bzw. Vor-Ort-Identitätsnachweis per eID

Beim Vor-Ort-Auslesen per eID könnte eine Person den Personalausweis einer anderen Person vorzeigen. Dadurch könnten Daten aus dem nicht zu der Person gehörenden Personalausweis in einen Prozess eingespeist werden, wodurch die Daten in die jeweilige Anwendung geraten würden.

Damit stellt sich die Frage – Wie wird beim Vor-Ort-Auslesen per eID-Funktion sichergestellt, dass die personenbezogenen Daten der richtigen Person ausgelesen werden?

Beim Auslesen der Daten per Vor-Ort-Auslesen mit der eID-Funktion wird durch einen vorgelagerten Lichtbildabgleich durch einen Sachbearbeiters sichergestellt, dass der Personalausweis zu der jeweiligen Person gehört und damit die zu ihm gehörigen Daten ausgelesen und nachfolgend genutzt werden. Nach einem erfolgreichen Lichtbildabgleich durch den Sachbearbeiter kann das Auslesen der Daten freigegeben werden, indem die auf dem Personalausweis aufgedruckte CAN durch den Sachbearbeiter genutzt wird.

Neue Anwendung: Mobile Nutzung der eID-Funktion (Online-Ausweisfunktion) per AusweisApp mobil

AusweisApp mobil auf einem Android-Smartphone geöffnet zur mobilen Verwendung der eID-Funktion (Online-Ausweisfunktion)

AusweisApp mobil auf einem Android-Smartphone geöffnet zur mobilen Verwendung der eID-Funktion (Online-Ausweisfunktion)

Die Möglichkeit, die eID-Funktion (Online-Ausweisfunktion) per mobiler AusweisApp über ein NFC-fähiges Android-Smartphone bzw. Android-Tablet zu nutzen, hat die Zahlen der Downloads der App deutlich gesteigert. Seit Ende des vorherigen Jahres können verschiedene NFC-fähige Android-Smartphones bzw. Android-Tablets mit Hilfe der mobilen AusweisApp Daten aus dem Personalausweis auslesen. Somit kann die mobile Nutzung per AusweisApp als adäquat zum stationären Auslesen des Personalausweises per an einen stationären Rechner angeschlossenen Kartenleser betrachtet werden.

Quelle: http://www.kommune21.de

Veröffentlicht unter AusweisApp mobil, eID-Anwendung, eID-Funktion (Online-Ausweisfunktion), eID-Infrastruktur, eID-Komponenten, eID-Lösungen, eID-Technologie, Vor-Ort-Auslesen der eID-Funktion | Verschlagwortet mit , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar