Keine Pin-/Tan- Abfrage bei Bürgerkarte- und Handy-Signatur-Login

  • Hallo liebes Forum, :saint:


    für die Anbindung zur Handy-Signatur und Bürgerkartenumgebung verwenden wir eine eigene Zwischenseite, welche schon mehr als 10 Jahre aktiv ist. Diese wird derzeit aktualisiert und auf neuesten Stand gebracht.


    Im Zuge der Entwicklung haben wir die entsprechende HTML Form 1:1 aus der alten in die neue Anwendung übernommen. Diese sieht wie folgt aus:


    Der InfoboxReadRequest soll die entsprechende BpK des Benutzers zurückgeben, was auch schon funktioniert. Leider verlangt der A.Sign Client keine Pin Eingabe und leitet den Benutzer mit den angefragten Daten direkt zur dataUrl weiter. Ein ähnliches Verhalten können wir bei der Handy-Signatur feststellen. Hier wird der Benutzer nach Eingabe der Handy-Nummer und des Passworts ebenso direkt weitergeleitet.


    Muss man den InfoBoxReadRequest noch einen Parameter hinzufügen, damit die Pin-Abfrage funktioniert? Oder übersehen wir hier ganz was anderes?


    A.Sign Client Version:


    Danke für eure Antworten.

  • Hallo,


    Der von Ihnen verwendete Security-Layer 1.1 Request an die Bürgerkartenumgebung oder die Handy-Signatur stellt keine Authentifizierung des Benutzers dar sondern liest nur die Personenbindung aus der entsprechenden Umgebung (Bürgkarte, Handy-Signatur) aus. Die Personenbindung stellt die Verknüpfung zwischen dem Signaturzertifikat des Benutzers und der bPK des Benutzers dar, ist für sich gesehen jedoch kein Authentifizierungsmerkmal sondern ausschließlich der Identifikator. Entsprechend kann auch auf Basis der Personenbindung keine sichere Authentifizierung des Benutzers erfolgen, da der Benutzer zwar identifiziert jedoch nicht authentifiziert ist. Denn sowohl bei der Bürgerkarte als auch bei der Handy-Signatur ist nur die Erstellung einer Signatur mit PIN geschützt, diese Operation wird in Ihrem Beispiel jedoch nicht ausgeführt.


    Eine Umsetzung einer Benutzerauthentifizierung welche ausschließlich auf dem Auslesen einer Personenbindung ohne weitere Prüf- und Validierungsschritte beruht ist aus Securitysicht als vollständig unzureichend und daher unsicher anzusehen. Eine minimale Umsetzung auf dieser Basis müsste mindestens folgende Schritte umfassen:

    • Auslesen der Personenbindung
    • Prüfung der Signatur der Personenbindung inkl. Signaturzertifikat und Zertifikatskette
    • Erstellen eines Datenset, das durch den Benutzer signiert werden muss
    • Validierung der Benutzersignatur inkl. Signaturzertifikat und Zertifikatskette
    • Validierung der vom Benutzer signierten Daten
    • Prüfung des Signaturzertifikats des Benutzer gegen die Personbindung

    Erst danach kann der Benutzer als korrekt identifiziert und authentifiziert angesehen werden. Diese Schritte werden z.B. durch die Softwarekomponente MOA-ID (https://joinup.ec.europa.eu/co…nter-egiz/solution/moa-id) implementiert welche die Identifikation und Authentifizierung von Bürgern mittels Bürgerkarte oder Handy-Signatur bereitstellt.


    Allgemein möchte ich Sie darauf Hinweisen, dass die Bürgerkarte und Handy-Signatur durch den ID Austria ersetzt wird und die vollständige Umstellung aktuell mit 15.11.2021 geplant ist. Ab der vollständigen Umstellung auf den ID Austria können Benutzer nur mehr mittels des zentralen ID Austria System identifiziert und authentifiziert werden. Der von Ihnen aktuelle Weg über das Auslesen der Personenbindung wird mit der Umstellung auf den ID Austria deaktiviert und steht entsprechend nicht mehr zur Verfügung. Details zum ID Austria finden Sie unter: https://eid.egiz.gv.at.