Diskussion über die Sicherheit von Wallets für digitale Identitäten
Aktuelle Diskussion und Kontext
Am 23. September 2021 hat die Bundesregierung erstmals den digitalen Personalausweis und Führerschein für das ID-Wallet einer breiten Öffentlichkeit vorgestellt und es war für kurze Zeit möglich einen Personalausweis und Führerschein in das ID-Wallet abzuleiten. Hierbei ist es leider zu Problemen gekommen, da die Nachfrage um ein vielfaches höher als angenommen war. Im weiteren Verlauf haben Mitglieder rund um den Chaos Computer Club (CCC) die ID-Wallet, sowie die zugrundeliegende Technologie in einem Artikel kritisiert. Da das Lissi Wallet hier genannt und gezeigt wurde, möchten wir eine Einordnung schaffen, einen Überblick über die angesprochenen Probleme geben und potenzielle Lösungen diskutieren.
Abgrenzung ID-Ökosystem der Bundesregierung und “Schaufenster sichere digitale Identitäten”.
Seit 2019 führt das Bundesministerium für Wirtschaft und Energie (BMWi) ein Projekt zur Förderung neuer digitaler Identitätslösungen durch. Nach einer sechsmonatigen Wettbewerbsphase, für die sich jede Institution in Deutschland bewerben konnte, wurden vier Projekte zur Förderung im Rahmen der Schaufenster Sichere Digitale Identitäten ausgewählt. Die ausgewählten Projekte (im folgenden Schaufensterprojekte) sind Forschungsprojekte, die mit über 120 involvierten Institutionen gemeinsam innerhalb von drei Jahren neue Lösungskonzepte für digitale Identitäten erforschen und umsetzen, darunter zahlreiche Institute mit dem Schwerpunkt IT-Sicherheit. Folgende Projekte nehmen am Schaufenster Sichere Digitale Identitäten teil: ONCE, ID-Ideal, SDIKA und IDunion.
Parallel dazu hat die Bundesregierung im Dezember 2020 ein eigenes ID-Ökosystem rund um die ID-Wallet gestartet. Das BMI beschreibt das Projekt wie folgt: “Bürgerinnen und Bürger können künftig persönliche Daten und digitale Nachweise verschlüsselt in ihren Smartphones speichern und dann selbstbestimmt, sicher und einfach für Online-Dienste von Unternehmen und Behörden verwenden.”
Das Lissi Wallet ist bisher nicht Teil des ID-Ökosystems der Bundesregierung und wird überwiegend im Rahmen des Schaufensterprojekts “IDunion” genutzt und weiterentwickelt. Es ist bisher nicht darauf ausgelegt offizielle Dokumente wie den Personalausweis und Führerschein zu speichern und dies war bisher für Endanwender*innen auch nie möglich. Ziel der Schaufensterprojekte ist es allerdings genau dies in Zukunft zu erreichen und dafür entsprechende Sicherheitsmechanismen zu entwickeln.
Insofern sind wir für jede Kritik an der Lissi Wallet sehr dankbar und nehmen die von Lilith Wittmann und Fabian Lüpke, der unter dem Pseudonym “Flüpke” im Internet Auftritt, geäußerten Bedenken ernst. Gleichwohl ist es sehr wichtig diese immer im Kontext der verschiedenen Anwendungsfälle und deren Vertrauensniveaus zu betrachten!
Probleme und mögliche Lösungswege
In ihrem gemeinsamen Artikel sowie einer Proof of Concept (PoC) Implementierung sprechen Lilith und Flüpke mehrere Probleme der Walletlösung an. Wir möchten diese Probleme nochmal kurz in eigenen Worten erklären und mögliche Lösungsoptionen aufzeigen.
1. Verifizierung von anfragenden Parteien
Bei verifizierten Dokumenten in einem ID-Ökosystem ist ein wichtiger Aspekt, dass die ausstellende Partei nicht in die Präsentation eines Nachweis gegenüber der anfragenden Partei involviert ist. Für den Prozess der Anfrage und der Präsentation wird eine direkte Kommunikation mit Ende-zu-Ende Verschlüsselung zwischen Nutzer*innen und der anfragenden Partei genutzt. Um die benötigten Schlüssel für die sichere Kommunikation auszutauschen, wird hierzu oftmals ein QR-Code genutzt, welcher Nutzer*innen über einen bereits bestehenden sicheren Kommunikationskanal übermittelt werden muss.
Beschriebenes Problem: Sollte der sichere Kanal kompromittiert werden, kann dies einer Angreifer*in erlauben, eine sogenannte “Man-In-The-Middle-Attacke” durchzuführen. Hierzu tauschen Angreifer*innen Schlüssel und Endpunkte aus und präsentieren Nutzer*innen einen gefälschten QR-Code, welcher das Ergebnis der Abfrage und damit die persönlichen Daten umleiten. Das Problem besteht darin, dass Nutzer*innen grundsätzlich keine Möglichkeit haben, die anfragende Partei innerhalb der Wallet zu authentifizieren und Betrüger*innen sich als beliebige Institution ausgeben könnten um persönliche Informationen anzufragen. Die Verantwortung den initialen Kommunikationskanal zu überprüfen liegt somit auf der Nutzerseite.
Mögliche Lösung: Um die Legitimität einer Anfrage verifizieren zu können, müssen sich anfragende Institutionen zuvor in einem öffentlichen Register z.B. mit öffentlichen dezentralen Identifikatoren (DIDs) registrieren. Die öffentlichen DIDs können durch eine vertrauenswürdige Partei (z.B. einem Vertrauensdiensteanbieter) in einer “Trusted List” zertifiziert werden. Das Wallet von Nutzer*innen kann bei neuen Anfragen die Authentizität über die entsprechende “Trusted List” validieren und Nutzer*innen die verifizierte Identität der anfragenden Partei anzeigen.
Grundsätzlich wäre auch denkbar, dass nur verifizierbare Institutionen hoheitliche Dokumente abfragen dürfen. Ob dies in der Realität sinnvoll wäre ist zu diskutieren. Alternativ müssen Nutzer*innen darüber aufgeklärt werden, dass die anfragende dritte Partei nicht verifiziert werden kann und die Daten nur geteilt werden sollten, wenn Nutzer*innen dem Kontext der Anfrage vertrauen. Mit der zunehmenden Offenheit der Ökosystems ergeben sich somit auch zusätzliche Risiken für Nutzer*innen.
2. Der Missbrauch von verifizierten Daten:
Wenn Informationen mittels einer verifizierbaren Präsentation mit einer dritten Partei geteilt wurden, dann erhält diese Partei die angefragten Klardaten (z.B. Name, Geburtsdatum) und eine entsprechende Signatur vom Aussteller der Informationen, um zu überprüfen, dass die erhaltenen Informationen unverfälscht sind.
Beschriebenes Problem: Angreifer*innen, welche verifizierte Identitätsdaten abfangen konnten, können diese missbräuchlich verwenden. Dieses Problem unterliegt der Annahme, dass ein Angriff, wie in Punkt 1 beschrieben, möglich und erfolgreich war.
Bestehende Lösung: Jede verifizierbare Präsentation eines verifizierbaren Nachweises ist mit einer Nonce versehen, die sogenannte Replay-Attacken verhindert. Die Angreifer*in ist somit nicht in der Lage mit den gestohlenen Daten weitere Anfragen zu beantworten und neue verifizierbare Präsentationen zu erstellen. Sie kann ausschließlich die gestohlenen Klardaten nutzen. Da schon durch die Preisgabe der Klardaten ein Schaden entstehen kann, ist es trotzdem notwendig den unter Punkt 1 beschriebenen Angriff auszuschließen.
Wie geht es weiter:
Neben den aufgezeigten Lösungsansätzen gibt es sicher noch eine Reihe weiterer Möglichkeiten und auch das beschriebene Angriffsszenario ist, wie bereits erwähnt, je nach Anwendungsfall differenziert zu bewerten.
Sowohl im ID-Ökosystem der Bundesregierung als auch in allen Schaufensterprojekten kommen sogenannte “selbstbestimmte” Identitätslösungen (kurz SSI) zum Einsatz. Viele andere Staaten weltweit, entwickeln derzeit ähnliche Lösungen. Deutschland geht dabei keinen Alleinweg.
Grundsätzliche Problemstellungen werden z.B. global auf dem halbjährlich stattfindenden Internet Identity Workshop (IIW) diskutiert. Der nächste IIW findet vom 12. — 14. Oktober statt. Wir möchten gern alle Beteiligten aufrufen sich hier zu treffen, um offen und konstruktiv über die Lösungsansätze zu sprechen.
Darüber hinaus werden wir im Rahmen der Schaufensterprojekte gemeinsam mit zahlreichen Institutionen die bestehenden Herausforderungen lösungsorientiert angehen und begrüßen konstruktive Kritik und die Beteiligung der Öffentlichkeit. Nur gemeinsam können wir erfolgreich ein Fundament für unsere digitale Gesellschaft schaffen!
Das Lissi Team freut sich auf eine konstruktive Diskussion.
