![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
In der Referenzimplementierung des eIDAS-Node-System, mit dem sich B\u00fcrger der EU gegen\u00fcber ausl\u00e4ndischen Diensten von Mitgliedstaaten identifizieren k\u00f6nnen, gibt es eine gravierende Schwachstelle. Diese erm\u00f6glicht die Authentifizierung als beliebiger EU-B\u00fcrger, auch als Wolfgang Goethe. Heute wurde ein Software-Update freigegeben, welches diese Authentifizierungs-Schwachstelle schlie\u00dfen soll.<\/p>\n
<\/p>\n
Die Verordnung wurden innerhalb der EU durch die eIDAS-Node Referenzimplementierung f\u00fcr die Mitgliedstaaten umgesetzt. eIDAS-Node ist eine Softwarebibliothek, die es den Mitgliedstaaten erm\u00f6glicht, sich an dem grenz\u00fcberschreitenden Authentifizierungssystem eIDAS zu beteiligen. <\/p>\n Jeder Mitgliedstaat hat seinen eigenen Mechanismus zur Authentifizierung seiner B\u00fcrger – eIDAS verbindet diese nationalen eID-Systeme miteinander. Dies erm\u00f6glicht es beispielsweise jedem EU\/EWR-B\u00fcrger, sich \u00fcber ein nationales Identifizierungssystem gegen\u00fcber einem Dienst in einem anderen Mitgliedstaat zu authentifizieren. <\/p>\n Im Juni 2019 hat SEC Consult einen Blick auf eIDAS-Node geworfen. Dabei fand SEC Consult bei dieser \u00dcberpr\u00fcfung erneut eine kritische Schwachstelle, die es einem Angreifer erm\u00f6glicht, sich als beliebiger B\u00fcrger zu identifizieren \u2013 die Sicherheitsforscher haben sich als Goethe identifiziert. <\/p>\n In diesem diesem Dokument<\/a> der SEC-Consult Unternehmensberatung schreiben die Autoren: Aufgrund unzureichender Zertifikats\u00fcberpr\u00fcfung akzeptierte der eIDAS-Node der Europ\u00e4ischen Kommission manipulierte SAML-Nachrichten. Diese erm\u00f6glichen es einem Angreifer, die eIDAS-Authentifizierung zu umgehen und die Identit\u00e4t einer anderen Person anzunehmen. Die technische Schwachstellenbeschreibung findet sich im Blog-Posts \"My name is Johann Wolfgang von Goethe – I'm back to prove it (again)<\/a>\". Das scheint schon die zweite gefundene Schwachstelle zu sein. Vor einem guten Jahr hatten die SEC-Sicherheitsforscher schon einmal im deutschen Teil der Ausweis-App2 einen solchen Authentifizierungsfehler nachgewiesen (siehe diesen Artikel<\/a>, bei heise gibt es einen deutschsprachigen Beitrag<\/a>).<\/p>\n SEC-Consult hat die Ergebnisse wohl mit ZDNet geteilt, denn ich bin \u00fcber folgenden Tweet auf das Problem aufmerksam geworden. <\/p>\n Scoop: Vulnerability in the EU's eIDAS auth & transaction system would have allowed attackers to pose as any EU citizen or business<\/p>\n > Patches to be released later today \u2014 Catalin Cimpanu (@campuscodi) October 29, 2019<\/a><\/p><\/blockquote>\nDas K\u00fcrzel eIDAS steht f\u00fcr e<\/b>lectronic ID<\/b>entification, A<\/b>uthentication and trust S<\/b>ervices, eine Verordnung<\/a> (910\/2014) des Europ\u00e4ischen Parlaments und des Rates vom 23. Juli 2014. Die Verordnung befasst sich mit der elektronischen Identifizierung und Vertrauensdienste f\u00fcr elektronische Transaktionen im Binnenmarkt. F\u00fcr Deutschland findet sich diese Informationsseite<\/a> des Bundesinnenministeriums, die sich u.A. auch mit der Signatur im deutschen Personalausweis befasst. <\/p>\n
Das eIDAS-Sicherheitsproblem<\/h2>\n
\n
> Attacks can be carried out via a browser
> eIDAS nodes failed to verify certshttps:\/\/t.co\/g4ZkhWVGZ5<\/a> pic.twitter.com\/M5RBlJP8Tt<\/a><\/p>\n