Si­cher­heits­ana­ly­se von eID/eID­AS-Diens­ten

Nils En­gel­bertz, Nu­rul­lah Er­i­no­la, David Her­ring, Juraj So­mo­rovs­ky, Vla­dis­lav Mla­de­nov, Jörg Schwenk

16. Deut­scher IT-Si­cher­heits­kon­gress

Ab­stract

Die im Jahr 2014 von der Eu­ro­päi­schen Kom­mis­si­on ver­öf­fent­lich­te eID­AS-Ver­ord­nung de­fi­niert tech­ni­sche und recht­li­che Rah­men­be­din­gun­gen, um die län­der­über­grei­fen­de An­er­ken­nung von eIDs und ak­kre­di­tier­ten Ver­trau­ens­diens­ten bei elek­tro­ni­schen Trans­ak­tio­nen in­ner­halb der Eu­ro­päi­schen Union zu ge­währ­leis­ten. Un­se­re Ana­ly­se der zu­grun­de­lie­gen­den Au­then­ti­fi­zie­rungs­sys­te­me ergab, dass 7 von 15 un­ter­such­ten eu­ro­päi­schen eID-Diens­ten an­fäl­lig für XML-ba­sier­te An­grif­fe waren. Neben ef­fi­zi­en­ten De­ni­al-of-Ser­vice (DoS) und Ser­ver-Si­de-Re­quest-For­ge­ry (SSRF) An­grif­fen konn­ten bei 5 der 15 eID-Diens­te lo­ka­le Da­tei­en aus­ge­le­sen wer­den. Zur Un­ter­stüt­zung bei der Ent­wick­lung und Si­cher­heits­ana­ly­se von eID-Diens­ten er­wei­ter­ten wir ein quell­offe­nes Soft­ware­tool, mit dem sich teil­au­to­ma­ti­sier­te Si­cher­heits­tests durch­füh­ren las­sen. Dar­über hin­aus fas­sen wir Best Prac­tices im Zu­sam­men­hang mit eID-ba­sier­ter Au­then­ti­fi­zie­rung und Sin­gle Sign-On (SSO) im All­ge­mei­nen zu­sam­men.

Tags: eID, eIDAS, Sin­gle Sign-On, XML at­tacks, XXE