Abo
  • IT-Karriere:

E-Government: Estland blockiert 760.000 eID-Zertifikate

Die von einer Sicherheitslücke betroffenen Zertifikate der estnischen eID-Karte werden nun doch zurückgezogen, nachdem der RSA-Bug von Infineon öffentlich ist. Estland will die Zertifikate updaten und künftig auf elliptische Kurven setzen.

Artikel veröffentlicht am ,
Kaputte Zertifikate der eID-Karte von Estland werden blockiert.
Kaputte Zertifikate der eID-Karte von Estland werden blockiert. (Bild: Wikimedia Commons)

Vor rund zwei Monaten wurde bekannt, dass mehrere Hunderttausend eID-Karten Estlands von einer Sicherheitslücke betroffen sind, die es ermöglicht, die Karte ohne PIN zu nutzen. Seit einigen Wochen ist klar, dass die Zertifikate der eID-Karte fehlerhafte RSA-Schlüssel verwenden. Nach anfänglichem Zögern hat sich die Regierung Estlands nun doch dazu entschlossen, sämtliche der betroffenen 760.000 Zertifikate dauerhaft in ihren Systemen zurückzuziehen und zu blockieren.

Stellenmarkt
  1. DASGIP Information and Process Technology GmbH, Jülich
  2. TeamBank AG, Nürnberg

Der als ROCA bezeichnete Angriff macht es offenbar möglich, die RSA-Schlüssel mit vertretbarem Aufwand zu faktorisieren. Damit könnten im Fall des estnischen Systems theoretisch private Schlüssel und die Zertifikate der eID-Karte einzelner Nutzer für kriminelle Zwecke erzeugt werden. Die Forscher, die ROCA gefunden haben, schätzen die Kosten für Angriffe auf Schlüssel mit 2048 Bit auf 20.000 bis 40.000 Euro.

Mit der eID-Funktion können in Estland Unternehmensgeschäfte abgewickelt werden oder auch Immobilien oder Autos ge- und verkauft werden. In einigen Fällen könnten die ungefähren Kosten für den Angriff also deutlich unter einem durch kriminelle Energie erlangten Erlös liegen. Zusätzlich zum Angriff auf die Schlüssel brauche es aber bei den meisten Diensten noch einen Benutzernamen und ein Passwort zum Ausführen von Aktionen, so die estnischen Behörden.

Die Regierung des baltischen Staates weist darauf hin, dass es bisher keine Hinweise auf einen derartigen Identitätsdiebstahl gebe. Die große öffentliche Aufmerksamkeit auf die RSA-Lücke habe aber eventuell auch "internationale Cybercrime-Netzwerke" auf die Fehler in der estnischen eID-Karte aufmerksam gemacht und damit das Bedrohungspotential erhöht. Um die Nutzer der eID-Karte zu schützen, werden deshalb die fehlerhaften Zertifikate blockiert.

Die betroffenen Zertifikate verlieren damit ab Freitag, dem 3. November, 24 Uhr, dauerhaft ihre Gültigkeit. Vor rund einer Woche hat die Verwaltung eine Übergangsfrist von knapp einem halben Jahr bekannt gegeben, sodass die Zertifikate bis zum kommendem 1. April aktualisiert werden können. Danach muss wohl ein neuer Ausweis beantragt werden.

Austausch und Update vorgesehen

Trotz des Blockierens der Zertifikate behalten die eID-Karten ihrer Gültigkeit als Ausweisdokumente. Die eID-Karten konnten seit einigen Tagen bereits mit Hilfe der vom Staat bereitgestellten Software aktualisiert werden. Eine Erneuerung ist aber auch in lokalen Dienststellen des Polizei- und Grenzschutzamtes möglich.

Um einen möglichst reibungslosen Ablauf der Umstellung garantieren zu können, haben die Dienststellen am kommenden Wochenende geöffnet. Darüber hinaus sollen an diesem Wochenende nur die Zertifikate von jenen aktualisiert werden, die zwingend auf die eID-Funktionen angewiesen seien. Dazu gehören etwa Ärzte, Justizbeamte oder Mitarbeiter der Bürger- und Meldeämter.

Laut Kaspar Korjus, Leiter des E-Residency Programms in Estland, sollen die aktualisierten eID-Funktion kryptografische Funktionen auf Basis elliptischer Kurven verwenden. Details dazu, welche Verfahren und Kurven hier verwendet werden sollen, sind aber noch nicht bekannt.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 259€ + Versand oder kostenlose Marktabholung

ML82 06. Nov 2017

weil sich pobleme für sie nicht gut verkaufen lassen, nur für die presse. die meisten...

delphi 03. Nov 2017

Wird vermutlich NIST P-256 (secp256r1) sein. Erstens haben sie in den letzten zwei...

theonlyonee 03. Nov 2017

Tja, so ein Supergau wie bei Infineon kann schon mal passieren, wenn man nicht bereit...


Folgen Sie uns
       


Vaio SX 14 - Test

Das Vaio SX14 ist wie schon die Vorgänger ein optisch hochwertiges Notebook mit vielen Anschlüssen und einer sehr guten Tastatur. Im Golem.de-Test zeigen sich allerdings Schwächen beim Display, dem Touchpad und der Akkulaufzeit, was das Comeback der Marke etwas abschwächt.

Vaio SX 14 - Test Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Projektmanagement: An der falschen Stelle automatisiert
    Projektmanagement
    An der falschen Stelle automatisiert

    Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
    Ein Erfahrungsbericht von Marvin Engel


      IT-Forensikerin: Beweise sichern im Faradayschen Käfig
      IT-Forensikerin
      Beweise sichern im Faradayschen Käfig

      IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.
      Eine Reportage von Maja Hoock

      1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
      2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
      3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

        •  /