Sicherheitsanalyse von eID/eIDAS-Diensten

Nils Engelbertz, Nurullah Erinola, David Herring, Juraj Somorovsky, Vladislav Mladenov, Jörg Schwenk

16. Deutscher IT-Sicherheitskongress


Abstract

Die im Jahr 2014 von der Europäischen Kommission veröffentlichte eIDAS-Verordnung definiert technische und rechtliche Rahmenbedingungen, um die länderübergreifende Anerkennung von eIDs und akkreditierten Vertrauensdiensten bei elektronischen Transaktionen innerhalb der Europäischen Union zu gewährleisten. Unsere Analyse der zugrundeliegenden Authentifizierungssysteme ergab, dass 7 von 15 untersuchten europäischen eID-Diensten anfällig für XML-basierte Angriffe waren. Neben effizienten Denial-of-Service (DoS) und Server-Side-Request-Forgery (SSRF) Angriffen konnten bei 5 der 15 eID-Dienste lokale Dateien ausgelesen werden. Zur Unterstützung bei der Entwicklung und Sicherheitsanalyse von eID-Diensten erweiterten wir ein quelloffenes Softwaretool, mit dem sich teilautomatisierte Sicherheitstests durchführen lassen. Darüber hinaus fassen wir Best Practices im Zusammenhang mit eID-basierter Authentifizierung und Single Sign-On (SSO) im Allgemeinen zusammen.

tags: eID, eIDAS, Single Sign-On, XML attacks, XXE