Abo
  • IT-Karriere:

E-Government: Estland blockiert 760.000 eID-Zertifikate

Die von einer Sicherheitslücke betroffenen Zertifikate der estnischen eID-Karte werden nun doch zurückgezogen, nachdem der RSA-Bug von Infineon öffentlich ist. Estland will die Zertifikate updaten und künftig auf elliptische Kurven setzen.

Artikel veröffentlicht am ,
Kaputte Zertifikate der eID-Karte von Estland werden blockiert.
Kaputte Zertifikate der eID-Karte von Estland werden blockiert. (Bild: Wikimedia Commons)

Vor rund zwei Monaten wurde bekannt, dass mehrere Hunderttausend eID-Karten Estlands von einer Sicherheitslücke betroffen sind, die es ermöglicht, die Karte ohne PIN zu nutzen. Seit einigen Wochen ist klar, dass die Zertifikate der eID-Karte fehlerhafte RSA-Schlüssel verwenden. Nach anfänglichem Zögern hat sich die Regierung Estlands nun doch dazu entschlossen, sämtliche der betroffenen 760.000 Zertifikate dauerhaft in ihren Systemen zurückzuziehen und zu blockieren.

Stellenmarkt
  1. Groz-Beckert KG, Albstadt
  2. SEITENBAU GmbH, Konstanz

Der als ROCA bezeichnete Angriff macht es offenbar möglich, die RSA-Schlüssel mit vertretbarem Aufwand zu faktorisieren. Damit könnten im Fall des estnischen Systems theoretisch private Schlüssel und die Zertifikate der eID-Karte einzelner Nutzer für kriminelle Zwecke erzeugt werden. Die Forscher, die ROCA gefunden haben, schätzen die Kosten für Angriffe auf Schlüssel mit 2048 Bit auf 20.000 bis 40.000 Euro.

Mit der eID-Funktion können in Estland Unternehmensgeschäfte abgewickelt werden oder auch Immobilien oder Autos ge- und verkauft werden. In einigen Fällen könnten die ungefähren Kosten für den Angriff also deutlich unter einem durch kriminelle Energie erlangten Erlös liegen. Zusätzlich zum Angriff auf die Schlüssel brauche es aber bei den meisten Diensten noch einen Benutzernamen und ein Passwort zum Ausführen von Aktionen, so die estnischen Behörden.

Die Regierung des baltischen Staates weist darauf hin, dass es bisher keine Hinweise auf einen derartigen Identitätsdiebstahl gebe. Die große öffentliche Aufmerksamkeit auf die RSA-Lücke habe aber eventuell auch "internationale Cybercrime-Netzwerke" auf die Fehler in der estnischen eID-Karte aufmerksam gemacht und damit das Bedrohungspotential erhöht. Um die Nutzer der eID-Karte zu schützen, werden deshalb die fehlerhaften Zertifikate blockiert.

Die betroffenen Zertifikate verlieren damit ab Freitag, dem 3. November, 24 Uhr, dauerhaft ihre Gültigkeit. Vor rund einer Woche hat die Verwaltung eine Übergangsfrist von knapp einem halben Jahr bekannt gegeben, sodass die Zertifikate bis zum kommendem 1. April aktualisiert werden können. Danach muss wohl ein neuer Ausweis beantragt werden.

Austausch und Update vorgesehen

Trotz des Blockierens der Zertifikate behalten die eID-Karten ihrer Gültigkeit als Ausweisdokumente. Die eID-Karten konnten seit einigen Tagen bereits mit Hilfe der vom Staat bereitgestellten Software aktualisiert werden. Eine Erneuerung ist aber auch in lokalen Dienststellen des Polizei- und Grenzschutzamtes möglich.

Um einen möglichst reibungslosen Ablauf der Umstellung garantieren zu können, haben die Dienststellen am kommenden Wochenende geöffnet. Darüber hinaus sollen an diesem Wochenende nur die Zertifikate von jenen aktualisiert werden, die zwingend auf die eID-Funktionen angewiesen seien. Dazu gehören etwa Ärzte, Justizbeamte oder Mitarbeiter der Bürger- und Meldeämter.

Laut Kaspar Korjus, Leiter des E-Residency Programms in Estland, sollen die aktualisierten eID-Funktion kryptografische Funktionen auf Basis elliptischer Kurven verwenden. Details dazu, welche Verfahren und Kurven hier verwendet werden sollen, sind aber noch nicht bekannt.



Anzeige
Top-Angebote
  1. 92,90€ (Bestpreis!)
  2. bis zu 85% reduziert
  3. 109,00€
  4. (u. a. The Division 2 Xbox 46,99€, PSN Card 20 Euro 18,99€, PSN Card 10 Euro 9,49€)

ML82 06. Nov 2017

weil sich pobleme für sie nicht gut verkaufen lassen, nur für die presse. die meisten...

delphi 03. Nov 2017

Wird vermutlich NIST P-256 (secp256r1) sein. Erstens haben sie in den letzten zwei...

theonlyonee 03. Nov 2017

Tja, so ein Supergau wie bei Infineon kann schon mal passieren, wenn man nicht bereit...


Folgen Sie uns
       


Cinebench R20 auf Threadripper 2950X ausprobiert

Cinebench R20 soll mit bis zu 256 Threads umgehen können.

Cinebench R20 auf Threadripper 2950X ausprobiert Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Falcon Heavy: Beim zweiten Mal wird alles besser
Falcon Heavy
Beim zweiten Mal wird alles besser

Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
Von Frank Wunderlich-Pfeiffer und dpa

  1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
  2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
  3. Raumfahrt SpaceX - Die Rückkehr des Drachen

    •  /