In der Referenzimplementierung des eIDAS-Node-System, mit dem sich Bürger der EU gegenüber ausländischen Diensten von Mitgliedstaaten identifizieren können, gibt es eine gravierende Schwachstelle. Diese ermöglicht die Authentifizierung als beliebiger EU-Bürger, auch als Wolfgang Goethe. Heute wurde ein Software-Update freigegeben, welches diese Authentifizierungs-Schwachstelle schließen soll.
Anzeige
Was ist eIDAS?
Das Kürzel eIDAS steht für electronic IDentification, Authentication and trust Services, eine Verordnung (910/2014) des Europäischen Parlaments und des Rates vom 23. Juli 2014. Die Verordnung befasst sich mit der elektronischen Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt. Für Deutschland findet sich diese Informationsseite des Bundesinnenministeriums, die sich u.A. auch mit der Signatur im deutschen Personalausweis befasst.
Die Verordnung wurden innerhalb der EU durch die eIDAS-Node Referenzimplementierung für die Mitgliedstaaten umgesetzt. eIDAS-Node ist eine Softwarebibliothek, die es den Mitgliedstaaten ermöglicht, sich an dem grenzüberschreitenden Authentifizierungssystem eIDAS zu beteiligen.
Jeder Mitgliedstaat hat seinen eigenen Mechanismus zur Authentifizierung seiner Bürger – eIDAS verbindet diese nationalen eID-Systeme miteinander. Dies ermöglicht es beispielsweise jedem EU/EWR-Bürger, sich über ein nationales Identifizierungssystem gegenüber einem Dienst in einem anderen Mitgliedstaat zu authentifizieren.
Das eIDAS-Sicherheitsproblem
Im Juni 2019 hat SEC Consult einen Blick auf eIDAS-Node geworfen. Dabei fand SEC Consult bei dieser Überprüfung erneut eine kritische Schwachstelle, die es einem Angreifer ermöglicht, sich als beliebiger Bürger zu identifizieren – die Sicherheitsforscher haben sich als Goethe identifiziert.
Anzeige
In diesem diesem Dokument der SEC-Consult Unternehmensberatung schreiben die Autoren: Aufgrund unzureichender Zertifikatsüberprüfung akzeptierte der eIDAS-Node der Europäischen Kommission manipulierte SAML-Nachrichten. Diese ermöglichen es einem Angreifer, die eIDAS-Authentifizierung zu umgehen und die Identität einer anderen Person anzunehmen. Die technische Schwachstellenbeschreibung findet sich im Blog-Posts "My name is Johann Wolfgang von Goethe – I'm back to prove it (again)". Das scheint schon die zweite gefundene Schwachstelle zu sein. Vor einem guten Jahr hatten die SEC-Sicherheitsforscher schon einmal im deutschen Teil der Ausweis-App2 einen solchen Authentifizierungsfehler nachgewiesen (siehe diesen Artikel, bei heise gibt es einen deutschsprachigen Beitrag).
SEC-Consult hat die Ergebnisse wohl mit ZDNet geteilt, denn ich bin über folgenden Tweet auf das Problem aufmerksam geworden.
Scoop: Vulnerability in the EU's eIDAS auth & transaction system would have allowed attackers to pose as any EU citizen or business
> Patches to be released later today
> Attacks can be carried out via a browser
> eIDAS nodes failed to verify certshttps://t.co/g4ZkhWVGZ5 pic.twitter.com/M5RBlJP8Tt— Catalin Cimpanu (@campuscodi) October 29, 2019
Ein Sprecher der Abteilung CONNECT der Europäischen Kommission bestätigte die Schwachstelle in einer E-Mail gegenüber ZDNet, weigerte sich aber, öffentlich Stellung zu nehmen. Ein Update des Softwarepakets eIDAS-Node (v2.3.1) vom 29. Oktober 2019 soll die Lücke schließen. Die EU-Mitgliedstaaten sind auffordert, den eIDAS-Node über diesen Patch zu aktualisieren.
Anzeige
