Abo
  • Services:

E-Government: Estland blockiert 760.000 eID-Zertifikate

Die von einer Sicherheitslücke betroffenen Zertifikate der estnischen eID-Karte werden nun doch zurückgezogen, nachdem der RSA-Bug von Infineon öffentlich ist. Estland will die Zertifikate updaten und künftig auf elliptische Kurven setzen.

Artikel veröffentlicht am ,
Kaputte Zertifikate der eID-Karte von Estland werden blockiert.
Kaputte Zertifikate der eID-Karte von Estland werden blockiert. (Bild: Wikimedia Commons)

Vor rund zwei Monaten wurde bekannt, dass mehrere Hunderttausend eID-Karten Estlands von einer Sicherheitslücke betroffen sind, die es ermöglicht, die Karte ohne PIN zu nutzen. Seit einigen Wochen ist klar, dass die Zertifikate der eID-Karte fehlerhafte RSA-Schlüssel verwenden. Nach anfänglichem Zögern hat sich die Regierung Estlands nun doch dazu entschlossen, sämtliche der betroffenen 760.000 Zertifikate dauerhaft in ihren Systemen zurückzuziehen und zu blockieren.

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. WSW Wuppertaler Stadtwerke GmbH, Wuppertal

Der als ROCA bezeichnete Angriff macht es offenbar möglich, die RSA-Schlüssel mit vertretbarem Aufwand zu faktorisieren. Damit könnten im Fall des estnischen Systems theoretisch private Schlüssel und die Zertifikate der eID-Karte einzelner Nutzer für kriminelle Zwecke erzeugt werden. Die Forscher, die ROCA gefunden haben, schätzen die Kosten für Angriffe auf Schlüssel mit 2048 Bit auf 20.000 bis 40.000 Euro.

Mit der eID-Funktion können in Estland Unternehmensgeschäfte abgewickelt werden oder auch Immobilien oder Autos ge- und verkauft werden. In einigen Fällen könnten die ungefähren Kosten für den Angriff also deutlich unter einem durch kriminelle Energie erlangten Erlös liegen. Zusätzlich zum Angriff auf die Schlüssel brauche es aber bei den meisten Diensten noch einen Benutzernamen und ein Passwort zum Ausführen von Aktionen, so die estnischen Behörden.

Die Regierung des baltischen Staates weist darauf hin, dass es bisher keine Hinweise auf einen derartigen Identitätsdiebstahl gebe. Die große öffentliche Aufmerksamkeit auf die RSA-Lücke habe aber eventuell auch "internationale Cybercrime-Netzwerke" auf die Fehler in der estnischen eID-Karte aufmerksam gemacht und damit das Bedrohungspotential erhöht. Um die Nutzer der eID-Karte zu schützen, werden deshalb die fehlerhaften Zertifikate blockiert.

Die betroffenen Zertifikate verlieren damit ab Freitag, dem 3. November, 24 Uhr, dauerhaft ihre Gültigkeit. Vor rund einer Woche hat die Verwaltung eine Übergangsfrist von knapp einem halben Jahr bekannt gegeben, sodass die Zertifikate bis zum kommendem 1. April aktualisiert werden können. Danach muss wohl ein neuer Ausweis beantragt werden.

Austausch und Update vorgesehen

Trotz des Blockierens der Zertifikate behalten die eID-Karten ihrer Gültigkeit als Ausweisdokumente. Die eID-Karten konnten seit einigen Tagen bereits mit Hilfe der vom Staat bereitgestellten Software aktualisiert werden. Eine Erneuerung ist aber auch in lokalen Dienststellen des Polizei- und Grenzschutzamtes möglich.

Um einen möglichst reibungslosen Ablauf der Umstellung garantieren zu können, haben die Dienststellen am kommenden Wochenende geöffnet. Darüber hinaus sollen an diesem Wochenende nur die Zertifikate von jenen aktualisiert werden, die zwingend auf die eID-Funktionen angewiesen seien. Dazu gehören etwa Ärzte, Justizbeamte oder Mitarbeiter der Bürger- und Meldeämter.

Laut Kaspar Korjus, Leiter des E-Residency Programms in Estland, sollen die aktualisierten eID-Funktion kryptografische Funktionen auf Basis elliptischer Kurven verwenden. Details dazu, welche Verfahren und Kurven hier verwendet werden sollen, sind aber noch nicht bekannt.



Anzeige
Top-Angebote
  1. (-80%) 3,99€
  2. 3,84€
  3. 55,00€ (Bestpreis!)
  4. 6,99€

ML82 06. Nov 2017

weil sich pobleme für sie nicht gut verkaufen lassen, nur für die presse. die meisten...

delphi 03. Nov 2017

Wird vermutlich NIST P-256 (secp256r1) sein. Erstens haben sie in den letzten zwei...

theonlyonee 03. Nov 2017

Tja, so ein Supergau wie bei Infineon kann schon mal passieren, wenn man nicht bereit...


Folgen Sie uns
       


iPad 2018 - Test

Das neue iPad hat vertraute Funktionen, die es teilweise zu diesem Preis aber noch nicht gegeben hat. Wir haben uns Apples neues Tablet im Test angeschaut.

iPad 2018 - Test Video aufrufen
Patscherkofel: Gondelbahn mit Sicherheitslücken
Patscherkofel
Gondelbahn mit Sicherheitslücken

Die Steuerungsanlage der neuen Gondelbahn am Innsbrucker Patscherkofel ist ohne Sicherheitsmaßnahmen im Netz zu finden gewesen. Ein Angreifer hätte die Bahn aus der Ferne übernehmen können - trotzdem beschwichtigt der Hersteller.
Von Hauke Gierow

  1. Hamburg Sensoren melden freie Parkplätze
  2. Edge Computing Randerscheinung mit zentraler Bedeutung
  3. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger

Klimaschutz: Unter der Erde ist das Kohlendioxid gut aufgehoben
Klimaschutz
Unter der Erde ist das Kohlendioxid gut aufgehoben

Die Kohlendioxid-Emissionen steigen und steigen. Die auf der UN-Klimakonferenz in Paris vereinbarten Ziele sind so kaum zu schaffen. Fachleute fordern daher den Einsatz von Techniken, die Kohlendioxid in Kraftwerken abscheiden oder sogar aus der Luft filtern.
Ein Bericht von Daniel Hautmann

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

    •  /