Estland dichtet Sicherheitslücke in E-Ausweisen ab

Neue Zertifikate braucht das Land: Estland hat auf die Anfang September publik gemachte Sicherheitslücke beim nationalen elektronischen Personalausweis reagiert und richtet eine Aufforderung zum Update nun auch an Ausländer, die im Rahmen des Programms für "elektronische Staatsbürger" eine ID-Chipkarte erhalten haben. Betroffen sind insgesamt rund 750.000 Smart Cards, die Estland zwischen Oktober 2014 und 2017 für den elektronischen Identitätsnachweis (eID) ausgegeben hat.

Zertifikatswechsel

Bei dem Update würden die bisher für die Verschlüsselung genutzten SSL-Zertifikate durch solche ersetzt, die auf Kryptografie mit elliptischen Kurven basierten, erklärte der Leiter des "E-Residency"-Programms, Kaspar Korjus. Er versicherte, dass das neue Verfahren "sicherer und schneller" sei. Korjus bestätigte zugleich, dass die von Sicherheitsforschern ausgemachte Schwachstelle "in der Software enthalten ist, die früher auf den eingebetteten Chips installiert wurde, die auf ID-Karten rund um die Welt installiert worden sind". Es existierten aber nach wie vor keine Hinweise darauf, dass eine entsprechende eID-Funktion oder eine zugehörige Karte "in der von den Forschern beschriebenen Art missbraucht worden ist".

Vorher entschlüsseln!

Um die Zertifikate auszutauschen, brauchen Nutzer die aktuelle Anwendungssoftware für die estländische Ausweiskarte. Benötigt wird auch die bisherige PIN, eine neue muss dann gewählt werden. Korjus wies darauf hin, dass mit der bisherigen kryptografischen Lösung verschlüsselte Dokumente vor dem Update entschlüsselt werden sollten, da dies mit dem neuen Zertifikat nicht mehr möglich sei. Alle bisherigen SSL-Zertifikate verlören voraussichtlich schon Anfang November ihre Gültigkeit, der Austausch sei aber bis Ende März durchführbar. Danach müsse man gegebenenfalls eine neue Karte beantragen. Der "E-Residency"-Chef mahnte zwischenzeitlich zur Geduld, da die in den Prozess involvierten Server teils überlastet seien. (vbr)