News

Wichtiger Hinweis zur Nutzung von Yubikeys mit der ID Austria / xIDENTITY

05.09.2024

Montage: Eine Person sitzt vor einem Laptop, davor schweben dreieckige Warnsymbole mit einem Ausrufezeichen.

Aus Sicherheitsgründen können FIDO Tokens des Herstellers Yubico nicht mehr mit der QES von A-Trust (z.B. ID Austria oder xIDENTITY) neu verknüpft werden. Grund dafür ist eine kürzlich bekannt gewordene Möglichkeit, die Identifikation eines FIDO Tokens bei einer Neubindung mit der ID Austria oder xIDENTITY so zu manipulieren, dass diese sich als zulässiges Gerät ausgeben, wodurch Token mit dem Zertifikat gekoppelt werden könnten, die dafür nicht zulässig sind. Detaillierte Informationen hierzu enthält folgendes Papier und das Statement des Herstellers finden Sie hier.

A-Trust reagiert darauf als Vorsichtsmaßnahme mit einer Anpassung der Koppelungsmöglichkeit, wodurch keine Yubikeys mehr mit den Zertifikaten von A-Trust verknüpft werden können. Geeignete FIDO Tokens anderer Hersteller können weiterhin wie gewohnt mit der ID Austria oder xIDENTITY gekoppelt werden. Der Hersteller Yubico hat bereits eine neue Firmware in Aussicht gestellt – weitere Informationen diesbezüglich sind noch nicht bekannt.

Kein bedeutendes Risiko bei der Signaturauslösung

Um dieses Problem bei der Auslösung von Signaturen überhaupt ausnutzen zu können, müssten Angreifer:innen nicht nur das Gerät in deren Besitz gebracht haben, sondern auch Kenntnis über alle weiteren geheimen Benutzerdaten erlangt haben (Signaturpasswort, sowie geheime PIN oder biometrisches Merkmal des FIDO Tokens), weswegen nach aktuellem Wissenstand kein bedeutendes Sicherheitsrisiko besteht.

Alle wichtigen Schritte zur Eindämmung des Risikos solcher potenziellen Schwachstelle wurden bereits im Vorfeld von A-Trust getroffen:

  • Überprüfung Benutzername bzw. Telefonnummer und Signaturpasswort vor dem Zugriff auf den FIDO Token und der Auslösung einer Signatur durch die ID Austria/xIDENTITY
  • Verpflichtende PIN oder biometrisches Merkmal bei der Verwendung des FIDO Tokens als weiterer Faktor
  • Prüfung des Signaturzählers, wodurch eine Manipulation erkennbar wird

Nach aktuellem Wissenstand besteht daher kein bedeutendes Sicherheitsrisiko. Wir beobachten die Situation verstärkt und informieren über mögliche Veränderungen.

Wichtiger Reminder zur Nutzung von FIDO Tokens

Aus gegebenem Anlass möchten wir Nutzende von FIDO Tokens noch einmal auf wichtige Sicherheitsvorkehrungen hinweisen:

  • Geben Sie Ihren FIDO Token nicht aus der Hand und verwahren Sie Ihren FIDO Token an einem sicheren Ort.
  • Halten Sie Ihr Signaturpasswort und die PIN Ihres FIDO Token geheim und schützen Sie diese vor möglichen Blicken oder sonstiger Einsicht.