• IT-Karriere:
  • Services:

E-Government: Estland blockiert 760.000 eID-Zertifikate

Die von einer Sicherheitslücke betroffenen Zertifikate der estnischen eID-Karte werden nun doch zurückgezogen, nachdem der RSA-Bug von Infineon öffentlich ist. Estland will die Zertifikate updaten und künftig auf elliptische Kurven setzen.

Artikel veröffentlicht am ,
Kaputte Zertifikate der eID-Karte von Estland werden blockiert.
Kaputte Zertifikate der eID-Karte von Estland werden blockiert. (Bild: Wikimedia Commons)

Vor rund zwei Monaten wurde bekannt, dass mehrere Hunderttausend eID-Karten Estlands von einer Sicherheitslücke betroffen sind, die es ermöglicht, die Karte ohne PIN zu nutzen. Seit einigen Wochen ist klar, dass die Zertifikate der eID-Karte fehlerhafte RSA-Schlüssel verwenden. Nach anfänglichem Zögern hat sich die Regierung Estlands nun doch dazu entschlossen, sämtliche der betroffenen 760.000 Zertifikate dauerhaft in ihren Systemen zurückzuziehen und zu blockieren.

Stellenmarkt
  1. SCHOTT AG, Mainz, Müllheim, Lukácsháza (Ungarn)
  2. WEBSALE AG, Nürnberg

Der als ROCA bezeichnete Angriff macht es offenbar möglich, die RSA-Schlüssel mit vertretbarem Aufwand zu faktorisieren. Damit könnten im Fall des estnischen Systems theoretisch private Schlüssel und die Zertifikate der eID-Karte einzelner Nutzer für kriminelle Zwecke erzeugt werden. Die Forscher, die ROCA gefunden haben, schätzen die Kosten für Angriffe auf Schlüssel mit 2048 Bit auf 20.000 bis 40.000 Euro.

Mit der eID-Funktion können in Estland Unternehmensgeschäfte abgewickelt werden oder auch Immobilien oder Autos ge- und verkauft werden. In einigen Fällen könnten die ungefähren Kosten für den Angriff also deutlich unter einem durch kriminelle Energie erlangten Erlös liegen. Zusätzlich zum Angriff auf die Schlüssel brauche es aber bei den meisten Diensten noch einen Benutzernamen und ein Passwort zum Ausführen von Aktionen, so die estnischen Behörden.

Die Regierung des baltischen Staates weist darauf hin, dass es bisher keine Hinweise auf einen derartigen Identitätsdiebstahl gebe. Die große öffentliche Aufmerksamkeit auf die RSA-Lücke habe aber eventuell auch "internationale Cybercrime-Netzwerke" auf die Fehler in der estnischen eID-Karte aufmerksam gemacht und damit das Bedrohungspotential erhöht. Um die Nutzer der eID-Karte zu schützen, werden deshalb die fehlerhaften Zertifikate blockiert.

Die betroffenen Zertifikate verlieren damit ab Freitag, dem 3. November, 24 Uhr, dauerhaft ihre Gültigkeit. Vor rund einer Woche hat die Verwaltung eine Übergangsfrist von knapp einem halben Jahr bekannt gegeben, sodass die Zertifikate bis zum kommendem 1. April aktualisiert werden können. Danach muss wohl ein neuer Ausweis beantragt werden.

Austausch und Update vorgesehen

Trotz des Blockierens der Zertifikate behalten die eID-Karten ihrer Gültigkeit als Ausweisdokumente. Die eID-Karten konnten seit einigen Tagen bereits mit Hilfe der vom Staat bereitgestellten Software aktualisiert werden. Eine Erneuerung ist aber auch in lokalen Dienststellen des Polizei- und Grenzschutzamtes möglich.

Um einen möglichst reibungslosen Ablauf der Umstellung garantieren zu können, haben die Dienststellen am kommenden Wochenende geöffnet. Darüber hinaus sollen an diesem Wochenende nur die Zertifikate von jenen aktualisiert werden, die zwingend auf die eID-Funktionen angewiesen seien. Dazu gehören etwa Ärzte, Justizbeamte oder Mitarbeiter der Bürger- und Meldeämter.

Laut Kaspar Korjus, Leiter des E-Residency Programms in Estland, sollen die aktualisierten eID-Funktion kryptografische Funktionen auf Basis elliptischer Kurven verwenden. Details dazu, welche Verfahren und Kurven hier verwendet werden sollen, sind aber noch nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Amazon-Geräte reduziert, z. B. Kindle, Echo Show, Fire und Fire TV Stick)
  2. (aktuell u. a. 2x SanDisk Ultra microSDXC 64 GB für 17€ statt ca. 22€ im Vergleich und ASUS...
  3. 477€ (Vergleichspreis ca. 525€)
  4. 589€ (Bestpreis!)

Anonymer Nutzer 06. Nov 2017

weil sich pobleme für sie nicht gut verkaufen lassen, nur für die presse. die meisten...

delphi 03. Nov 2017

Wird vermutlich NIST P-256 (secp256r1) sein. Erstens haben sie in den letzten zwei...

theonlyonee 03. Nov 2017

Tja, so ein Supergau wie bei Infineon kann schon mal passieren, wenn man nicht bereit...


Folgen Sie uns
       


Patrick Schlegels Visitenkarte spielt Musik und würfelt

Eine Visitenkarte muss nicht immer aus langweiligem Papier sein. Patrick Schlegels Visitenkarte hat einen USB-Speicher, spielt Musik und kann würfeln.

Patrick Schlegels Visitenkarte spielt Musik und würfelt Video aufrufen
Verschlüsselung: Ist die Crypto AG wirklich Geschichte?
Verschlüsselung
Ist die Crypto AG wirklich Geschichte?

Der Fall der Crypto AG wirbelt in der Schweiz immer noch Staub auf. In Deutschland hingegen ist es auffallend still.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Schweizer Crypto AG Wie BND und CIA eine Verschlüsselungsfirma hackten
  2. Bundesverfassungsgericht Was darf ein deutscher Auslandsgeheimdienst?
  3. Gerichtsverfahren Bundesregierung verteidigt Auslandsspionage des BND

Indiegames-Rundschau: Einmal durchspielen in 400 Tagen
Indiegames-Rundschau
Einmal durchspielen in 400 Tagen

Im Indiegame The Longing warten wir 400 Tage in Echtzeit, in Broken Lines kämpfen wir im Zweiten Weltkrieg und Avorion schickt uns ins Universum.
Von Rainer Sigl

  1. A Maze Berliner Indiegames-Festival sucht Unterstützer
  2. Spielebranche Überleben in der Indiepocalypse
  3. Ancestors im Test Die Evolution als Affenzirkus

Coronavirus: Spiele statt Schule
Coronavirus
Spiele statt Schule

Wer wegen des Coronavirus mit Kindern zu Hause ist, braucht einen spannenden Zeitvertreib. Unser Autor - selbst Vater - findet: Computerspiele können ein sinnvolles Angebot sein. Vorausgesetzt, man wählt die richtigen.
Von Rainer Sigl

  1. Coronavirus Funktion zur Netflix-Drosselung war längst geplant
  2. Coronakrise China will Elektroautoquote vorübergehend lockern
  3. Corona-Krise Palantir könnte Pandemie-Daten in Europa auswerten

    •  /