{"id":211995,"date":"2018-11-22T01:27:31","date_gmt":"2018-11-22T00:27:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211995"},"modified":"2024-08-12T13:28:28","modified_gmt":"2024-08-12T11:28:28","slug":"governikus-elektronischer-personalausweis-lsst-sich-austricksen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/11\/22\/governikus-elektronischer-personalausweis-lsst-sich-austricksen\/","title":{"rendered":"Governikus: Elektronischer Personalausweis lässt sich 'austricksen'"},"content":{"rendered":"

Die Authentifizierung von Webanwendungen mittels des deutschen elektronischen Personalausweises l\u00e4sst sich mit einem einfachen Trick aushebeln. Ein Sicherheitsforscher konnte sich – unter Verwendung einer bestimmten Software – mit den Daten von Goethe authentifizieren.\u00a0Erg\u00e4nzung:<\/strong>\u00a0Eine Stellungnahme\u00a0der Kopernikus KG, die die Randbedingungen verdeutlicht, wurde als Kommentar angef\u00fcgt.<\/p>\n

<\/p>\n

\"\"Mit dem deutschen Personalausweis k\u00f6nnen sich deren Besitzer auch elektronisch ausweisen. Dazu werden die neuen Personalausweise seit dem 1. November 2010 in Deutschland mit einem RFID-Chips ausgestattet.<\/p>\n

Authentifizierung per Personalausweis<\/h2>\n

Die Authentifizierung per Personalausweis erm\u00f6glicht es einer Webanwendung die Identit\u00e4t des Benutzers festzustellen. Eine manuelle Kontrolle des Personalausweises zur Verifizierung der Daten ist nicht mehr notwendig. Private und \u00f6ffentliche Organisationen<\/a> bieten diese komfortable Login-Variante zur Auswahl (z.B. Elster Elektronische Steuererkl\u00e4rung, diverse De-Mail Dienste, diverse Versicherungen).<\/p>\n

Der Benutzer ben\u00f6tigt neben dem Personalausweis noch einen Kartenleser und eine passende Client-Software. Diese Software kommuniziert dabei mit einem vertrauensw\u00fcrdigen Authentifizierungsserver, der die Anfrage signiert. Eine signierte Anfrage liegt im SAML-Format vor. Diese wird anschlie\u00dfend an die jeweilige Webanwendung, die die Personalausweisfunktion nutzt, weitergeleitet und von dieser gepr\u00fcft. F\u00fcr solche Webanwendungen stellt die Firma Governikus eine in Java geschriebene Bibliothek bereit, das sogenannte Autent SDK.<\/p>\n

Spezielle Fassung einer Client-Software<\/h2>\n

Im Rahmen eines Sicherheitstests entdeckte SEC Consult<\/a> eine kritische Schwachstelle in der Governikus-Bibliothek. Diese Schwachstelle (in einem SDK) erlaubte es Angreifern, sich online als beliebige Person auszugeben. Dazu muss die Anfrage, die an die Webanwendung weitergeleitet werden soll, die Daten in der URL in einer GET-Variablen namens SAMLResponse kodieren. Das Problem: Man kann diese Variable auch mehrfach in der URL angeben. Die Autent-Software pr\u00fcft dann die Signatur der letzten in der URL \u00fcbergebenen Variablen. Verarbeitet werden aber die Daten aus der ersten \u00fcbergebenen Variablen.<\/p>\n

Als Konsequenz k\u00f6nnte ein Hacker (in dieser Anwendung) eine g\u00fcltig signierte SAML-Anfrage versenden, aber in deren URL eine beliebige nicht signierte SAML-Anfrage mitschicken. Diese wird dann ungepr\u00fcft \u00fcbernommen. Neben dem SEC Consult-Artikel<\/a> hat auch Golem einen Beitrag<\/a> ver\u00f6ffentlicht, der sich mit dem Sachverhalt auseinander setzt.<\/p>\n

\n

Governikus: Personalausweis-Webanwendungen lassen sich austricksen #personalausweis https:\/\/t.co\/JsitVYoSJW<\/a><\/p>\n

\u2014 Golem.de (@golem) 21. November 2018<\/a><\/p><\/blockquote>\n

An dieser Stelle der Hinweis: Das betrifft nicht den Personalausweis an sich, sondern eine bestimmte Anwendung zur Verifikation einer Person.\u00a0Erg\u00e4nzung: Es tritt wohl nur in einer Demofassung auf.\u00a0Beachtet daher die nachfolgend als Kommentar angef\u00fcgte Stellungnahme der Kopernikus KG. Das Beispiel zeigt aber wieder einmal, dass der Teufel im Detail liegt und Client-Software ein Einfallstor f\u00fcr Angriffe sein kann.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Authentifizierung von Webanwendungen mittels des deutschen elektronischen Personalausweises l\u00e4sst sich mit einem einfachen Trick aushebeln. Ein Sicherheitsforscher konnte sich – unter Verwendung einer bestimmten Software – mit den Daten von Goethe authentifizieren.\u00a0Erg\u00e4nzung:\u00a0Eine Stellungnahme\u00a0der Kopernikus KG, die die Randbedingungen verdeutlicht, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-211995","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211995","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211995"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211995\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211995"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211995"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211995"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}