Nieuwe Duitse id-kaart kampt met beveiligingsproblemen

De AusweisApp, een applicatie waarmee Duitsers onder andere zelf de software van hun nieuwe id-kaart kunnen updaten, is niet veilig. Dit komt door een fout in het programmeerwerk, waardoor de ssl-certificatie niet goed wordt gecontroleerd.

De applicatie maakt via https verbinding met de updateserver. De client kijkt of het ssl-certificaat geldig is en zou daarna moeten kijken of het certificaat overeenkomt met de servernaam. Dit laatste gebeurt echter niet. "Ieder geldig ssl-certificaat is voldoende", schrijft Jan Schejbal, hacker en lid van de Duitse Piratenpartei, die de fout dinsdag ontdekte. "Een fout als deze is gemakkelijk gemaakt. De ingebouwde libraries controleren of een certificaat geldig is. De tweede stap, het bevestigen van de servernaam in het certificaat, moet men zelf programmeren."

SSL-slot"Door middel van een simpele dns-manipulatie kan de client ertoe worden overgehaald om naar een andere, verkeerde updateserver te gaan en het ssl-certificaat van die server te accepteren. De AusweisApp probeert dan een update van de server te downloaden", zegt Schejbal. Op deze manier kan een hacker relatief gemakkelijk malware op de computer van de burger zetten en hiermee persoonlijke gegevens of andere data stelen.

Het BSI verklaart tegenover Heise Online het probleem samen met de producent van de software te onderzoeken. "Als de beschreven aanval uitvoerbaar is, gaan we er maatregelen tegen nemen. Mocht er een zwakte in de software zitten, dan zullen we zo snel mogelijk een update verspreiden."

De nieuwe Duitse id-kaart is sinds het begin van deze maand voor de oosterburen beschikbaar. Behalve met biometrische kenmerken, zoals vingerafdrukken, kunnen burgers met een afleesapparaat en een pincode gebruikmaken van onlinediensten van de overheid. Ook kan de burger met bepaalde gegevens van zijn id-kaart aankopen doen bij webwinkels. Volgens het Duitse ministerie van binnenlandse zaken is het op deze manier veiliger voor burgers om online zaken te regelen.

Door Elke Ross

Stagiair

Feedback • 10-11-2010 16:44 25

10-11-2010 • 16:44

25

Lees meer

Minister: id-kaart zonder vingerafdrukken vanaf 20 januari verkrijgbaar
Minister: id-kaart zonder vingerafdrukken vanaf 20 januari verkrijgbaar Nieuws van 10 januari 2014
België verplicht volgend jaar vingerafdrukken voor paspoorten
België verplicht volgend jaar vingerafdrukken voor paspoorten Nieuws van 12 oktober 2011
Duizenden gevaarlijke ssl-certificaten in omloop
Duizenden gevaarlijke ssl-certificaten in omloop Nieuws van 7 april 2011
Organisaties willen onderzoek naar opslag biometriegegevens
Organisaties willen onderzoek naar opslag biometriegegevens Nieuws van 18 februari 2011
Onderzoekers bouwen ssl-proxy met gpu-versnelling
Onderzoekers bouwen ssl-proxy met gpu-versnelling Nieuws van 26 januari 2011
Sensor leest vingerafdrukken op afstand
Sensor leest vingerafdrukken op afstand Nieuws van 18 januari 2011
CBP: overheid behandelt burgers als potentiële criminelen
CBP: overheid behandelt burgers als potentiële criminelen Nieuws van 13 november 2010
Europa wil privacy beter beschermen
Europa wil privacy beter beschermen Nieuws van 6 november 2010
Burgerrechtenorganisaties klagen Staat aan om vingerafdrukdatabase
Burgerrechtenorganisaties klagen Staat aan om vingerafdrukdatabase Nieuws van 4 november 2009
Esten kiezen parlement via internet
Esten kiezen parlement via internet Nieuws van 28 februari 2007
Politici in de VS stemmen positief over e-ID
Politici in de VS stemmen positief over e-ID Nieuws van 11 februari 2005
Meer producten en artikelen
Privacy Netwerk en systeembeheer Beveiliging Duitsland Malware

Reacties (25)

-Moderatie-faq
25
25
21
1
0
1
Wijzig sortering
Verwijderd 10 november 2010 17:08
ik vind dit toch wel absurd dat dit soort dingen nooit van te voren worden getest..
zonde, want zo boor je het vertrouwen van de eindgebruiker wel totaal door de neus heen.
a.prinsen 10 november 2010 16:59
Een serieuze reactie van de leverancier ipv onze struisvogel politiek van de OV-Chipkaart.

Natuurlijk is een ID-Pas van mensen wel een stuk kritischer dat deze goed (genoeg) waterdicht is.

Ik vraag me af wat ze tegen DNS entries kunnen doen. Ok ip's kunnen vervalst worden in je eigen netwerk etc. Het blijkt weer dat simpele SSL certificaten en het gemak waarmee deze verkregen kunnen worden, voor een zwakke bescherming zorgen.

Het updaten zou mijn inziens aleen encrypted over SSL kunnen. Dit houdt in dat je eigen encryptie bovenop de SSL toepast. Hierdoor wordt het updaten zelf veel lastiger.

[Reactie gewijzigd door a.prinsen op 31 juli 2024 21:01]

Bonez0r @a.prinsen10 november 2010 17:18
Serieuze reactie van de leverancier? Ik vind de volgende quote van de leverancier nogal absurd:
Als de beschreven aanval uitvoerbaar is, gaan we er maatregelen tegen nemen.
Oftewel: "We hebben prutswerk afgeleverd, maar we doen er pas iets aan als blijkt dat de aanval uitvoerbaar is".

Zie ik het nou verkeerd of is dit een ongelooflijk lakse houding, zeker als het om potentiële diefstal van privégegevens van miljoenen Duitse burgers gaat. Die hacker zei dat men de tweede stap gewoon niet heeft uitgevoerd, dus lijkt me dat het bedrijf dat alsnog moet doen. En dan niet pas als het te laat is, maar nu.
raphidae @Bonez0r10 november 2010 17:47
Altijd beter dan glashard blijven ontkennen dat het prutswerk is natuurlijk.
blouweKip @a.prinsen10 november 2010 17:16
Dit is toch iets compleet anders als een ov-chipkaart welke makkelijk gekraakt kan worden (maar weer minder makkelijk misbruikt)
paulus83 @a.prinsen10 november 2010 19:11
Ik vraag me af wat ze tegen DNS entries kunnen doen. Ok ip's kunnen vervalst worden in je eigen netwerk etc. Het blijkt weer dat simpele SSL certificaten en het gemak waarmee deze verkregen kunnen worden, voor een zwakke bescherming zorgen.
Er is weinigs 'simpel' aan een SSL certificaat. Zo'n certificaat wordt door een geauthoriseerde CA uitgegeven en is dan enkel geldig voor de exacte URL die erin vermeld wordt. Als jij dus de DNS weet te spoofen zodat www.ib-groep.nl op je eigen servertje uitkomt, kun je daar onmogelijk het geldige certificaat voor leveren. Je zou natuurlijk een self-signed certificaat kunnen maken die claimed voor ib-groep.nl te gelden, maar dit wordt door een goede client-software altijd afgevangen.
Uiteraard is dit alles onder voorwaarde dat de bug uit het artikel gerepareerd is..
Het updaten zou mijn inziens aleen encrypted over SSL kunnen. Dit houdt in dat je eigen encryptie bovenop de SSL toepast. Hierdoor wordt het updaten zelf veel lastiger.
Je eigen encryptie bovenop de encryptie die SSL zelf biedt is vrij zinloos. SSL kan gebruik maken van DSA of RSA encryptie (voor de handshake, daarin wordt een sterke symetrische sleutel afgesproken), die gegeven een voldoende grote sleutel nagenoeg onkraakbaar zijn. Je eigen encryptie moet bovendien een manier vinden om de sleutel veilig aan de andere kant te krijgen, en omdat je SSL niet vertrouwt heeft een symmetrische sleutel geen zin. Grote kans dat je alsnog uitkomt op exact dezelfde technieken die SSL al gebruikt.
RetepV @a.prinsen10 november 2010 19:31
Een serieuze reactie van de leverancier ipv onze struisvogel politiek van de OV-Chipkaart.
Ik had niet de OV kaart als voorbeeld genomen, maar de stemmachines.

Wat mensen meestal vergeten als ze de heks willen verbranden is dat de heks de enige was die wist hoe je ziektes kunt genezen. Dus de heks werd verbrand voor die ene fout die ze maakte, en vervolgens sterft 1/4 van de inwoners van je dorp tientallen jaren te vroeg omdat niemand weet hoe je de ziektes kunt genezen.

Als er een fout in de software zit, is het stomste dat je kunt doen de software developers te ontslaan en andere, net zo onervaren, lui er op te zetten. Die snappen de ballen niet van de software, repareren het gat en laten een ander gat open staan. En dan heb je echt helemaal niks bereikt. En heeft het nog een hoop geld gekost ook.
arbraxas 10 november 2010 17:01
Volgens het Duitse ministerie van binnenlandse zaken is het op deze manier veiliger voor burgers om online zaken te regelen.
En helaas werkt het ook de andere kant op, zodra iemand uitvind hoe het gekraakt moet worden kun je er dus ook enorm veel schade mee aanrichten aangezien het gebruik zo makkelijk is.
Mijn nieuwe pas is in elk geval 2sec de magnetron in verdwenen.
Ik heb er gewoon geen prettig gevoel bij dat dat soort gegevens uitgelezen kan worden en heb dus maatregelen getroffen.
Distael @arbraxas10 november 2010 20:58
Dat wordt lachen als ze straks in het buitenland proberen je pas uit te lezen en het werkt niet....3 x raden wie ze dan binnenstebuiten gaan keren...... |:( Kijken of je dan nog zo blij met je magnetron actie bent.
arbraxas @Distael10 november 2010 22:39
Dan zal het inderdaad op de ouderwetse manier moeten, maar scannen on the fly zoals ze nu doen met het kentekenflitsen om de "zware"criminelen aan te houden (lees mensen met een parkeerboete) gaat ze dus niet lukken. En hoe gaan ze dat doen dan met mensen uit landen waar ze dergelijke paspoorten niet hebben?

Ik vind die onstilbare honger naar data van de overheid behoorlijk eng. Blijkbaar hebben we bar weinig geleerd van de meest ingrijpende oorlog ooit gevoerd in de menselijke geschiedenis. De nazi`s zouden echt groen en geel van jaloezie worden als je ziet wat er nu allemaal van mensen word opgeslagen.
Ik weiger er in elk geval aan mee te werken.
.oisyn Moderator Devschuur®
@arbraxas10 november 2010 17:08
Mijn nieuwe pas is en elk geval 2sec de magnetron in verdwenen
Vernieling van staatseigendom en derhalve strafbaar. Maar je zou het natuurlijk op burgerlijke ongehoorzaamheid kunnen gooien.
Bonez0r @.oisyn10 november 2010 17:23
Je kan je natuurlijk van de domme houden. Niemand kan bewijzen dat je die kaart zelf gesloopt hebt.
NBK @Bonez0r10 november 2010 17:51
eh.. het staat nu op internet. Ik zou het op burgerlijke ongehoorzaamheid houden...
Kermit123 @arbraxas11 november 2010 09:51
Jammer dat je vinger afdrukken wel nog opgeslagen liggen in een database, dat is nu juist waar ik principiële bezwaren tegen heb. In andere landen wordt dit alleen op het paspoort gezet. Naar mijn gevoel gaat het in nederland de verkeerde kant op, bank gegevens willen ze nu ook al landelijk centraal opslaan.
Bazvv 10 november 2010 17:22
Ik dacht altijd dat het controleren van de servernaam de eerste stap was bij het controleren van een certificaat. De server weet immers niet welke naam er is opgegeven omdat hij via ip benaderd wordt. Vervolgens moet de server ook de juiste naam teruggeven die je in je adresbalk of ergens anders heb ingetikt.
Verwijderd @Bazvv10 november 2010 17:34
Het nadeel is dat SSL certificaten op naam zijn, welke een combinatie is van het domeinnaam en de servernaam (of eigenlijk serverhash). Beide zijn heel gemakkelijk in te stellen op een server, zonder dat er iets of iemand melding van maakt. Het IP adres wordt nooit gekoppeld aan een certificaat.

Wat in het artikel wordt beschreven vereist nog een stap, welke iets lastiger is; de gebruiker van de app moet naar jouw server toe, al is dit gemakkelijk te doen icm een "virus" die je hosts file aanpast.

Het is dus mogelijk om een fake server op te zetten en als gebruikers daar op komen dan ziet die niet of het echt of niet is.
paulus83 @Verwijderd10 november 2010 19:21
Het nadeel is dat SSL certificaten op naam zijn, welke een combinatie is van het domeinnaam en de servernaam (of eigenlijk serverhash). Beide zijn heel gemakkelijk in te stellen op een server, zonder dat er iets of iemand melding van maakt. Het IP adres wordt nooit gekoppeld aan een certificaat.
Ik denk dat ik je niet snap. Wat is daar dan het nadeel van?
Je kan je server instellen dat hij dezelfde servernaam+domeinnaam aangeeft als de beoogde doel-server. En dan? Je hebt daarvan toch nog steeds geen private key, dus al presenteer je vrolijk het officiele certificaat met de officiele public key, kan je nog steeds de handshake niet eens afronden. Wat het artikel zegt is dat je d.m.v. host-file overschrijven, dns-spoofing of een andere truc zorgt dat verkeer voor bv www.ib-groep.nl bij jouw server uitkomt, je vraagt vervolgens een compleet legaal certificaat aan voor 'www.evil.org', die presenteer je aan de client en dankzij de bug in AusweisApp denkt deze veilig te praten met ib-groep.

Wat is er dan zo zwak aan certificaat op basis van url? Als IP aan certificaat werd gekoppeld zou het nogal onhandig zijn voor bepaalde load-balancing setups die niet op basis van IP werken.
.oisyn Moderator Devschuur®
@Verwijderd10 november 2010 22:39
Wat Paulus zegt idd. Een certificaat bevat een public key (die gebruikt wordt om de gegevens bedoeld voor de server te versleutelen) en een naam, en verder is hij ondertekend door een trusted authority. Je kunt dus A) niet zelf een certificaat genereren voor de betreffende site met je eigen public key, omdat hij dan niet ondertekend is, en B) niet het officiele certificaat gebruiken van de site die je wilt spoofen omdat je dan de private key niet weet om de gegevens te decrypten.

Gelukkig voor de hacker blijkt optie C) voldoende: pak een willekeurig certificaat waarvan je de private key wel weet (die van jezelf bijvoorbeeld), aangezien veel servers het domeinnaam niet lijken te checken.

[Reactie gewijzigd door .oisyn op 31 juli 2024 21:01]

vincent_1971 10 november 2010 17:01
Wel bijzonder dat de Duitse overheid de lezer die verbonden is met de pc propargeerd en niet de op zich zelfstaande lezer
SPee @vincent_197110 november 2010 17:05
Wel bijzonder dat er een aparte App en software updates nodig zijn voor je identificatiebewijs!
Je ID/paspoort is toch geen software geworden :?
Verwijderd @SPee10 november 2010 18:34
Denk jij dat die bitjes zomaar uit de lucht komen vallen? Er zal toch iets aanwezig moeten zijn als een microcontroller, een coil (in geval van rfid) of contactpunten (chipknip idee).
Seal64 @Verwijderd11 november 2010 07:10
Heeft jouw bankpas ook regelmatig een firmware-update nodig dan?
bonus 10 november 2010 17:04
AusweisApp,Hmmmm kan het niet helpen maar het klinkt toch nog steeds niet helemaal lekker ;) Maar goed, het zoveelste beveiligings drama. Gelukkig zijn het niet alleen Nederlandse bedrijven/instellingen die zo lopen te prutsen als het daarom gaat.

Aan de andere kant, hoe goed het ook is, uiteindelijk vinden ze toch wel een manier om het te hacken. Maar het zou tch wel eens leuk zijn als het wat moelijker werd gemaakt :)
itsalex 10 november 2010 22:19
Ik vind het wel een goed initatief om alles op Internet te zetten maar dat betekent dat dat ook weer een gevaar is. Als je zo'n pas kan "vervalsen" dan kan je dus ook bij die persoon zijn gegevens. Nee daar moeten we blij mee zijn. Er wordt naar mijn mening teveel op Internet gezet. En er zijn genoeg mensen die graag even meekijken. Zo veilig is Windows nou ook weer niet. Er tot heden aan toe geen Windows systeem die veilig is. Het is allemaal gatenkaas en dat zal het altijd blijven want het is een sneeuwbaleffect. Is het ene gat niet opgelost dan treedt er wel weer een ander gat op.
FluoDude 11 november 2010 10:09
Lijkt me in elk geval beter dan onze belgische e-ID die kan je nog steeds voor niks electronisch gebruiken (buiten de belatingsaangifte). Toen die gelanceerd werd ging die ook onze bankpas vervangen en kon je daar mee op internet je identificeren. Ik begruip vooral niet waarom men de internationale paspoorten (die rode boekjes) een andere technologie hebben dan de id kaarten. Dit vind ik nu iets wat de EU zou moeten ontwikkelen en je kan dan als land verplicht of vrijwillig laten deelnemen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq