How-To Anbindung neuer Aufrufmechanismus Bericht bisherige Erfahrungen AusweisApp2 How-To Anbindung neuer Aufrufmechanismus Bericht bisherige Erfahrungen 10.11.2018
Die Plug-In-freie eID-Aktivierung Wird als Link auf http://127.0.0.1:24727/eID-Client?tcTokenURL=URL aufgerufen Der eID-Client … öffnet die tcTokenURL führt die Online-Ausweisfunktion durch folgt allen Weiterleitungen übergibt dem Browser die URL zur authentifizierten Session 10.11.2018
Die Plug-In-freie eID-Aktivierung (SAML) Diensteanbieter eID-Server eID-Client Browser Aufruf Dienst Link auf localhost Start durch Klick auf Link Open tcTokenURL Redirect mit SAMLRequest SAMLRequest tcToken HTTP/102 (Processing) PAOS (Ausweis auslesen) RefreshURL aus tcToken Redirect mit SAMLResponse SAMLResponse Redirect zu Websession Redirect zu Websession Zugang zur Websession 10.11.2018
Die Plug-In-freie eID-Aktivierung (Webservice TR-03130) Diensteanbieter eID-Server eID-Client Browser Aufruf Dienst Link auf localhost Start durch Klick auf Link Open tcTokenURL useIDRequest useIDResponse tcToken HTTP/102 (Processing) PAOS (Ausweis auslesen) RefreshURL aus tcToken getResultRequest getResultResponse Redirect zu Websession Redirect zu Websession Zugang zur Websession 10.11.2018
Sicherheitsprüfungen Alle TLS-Zertifikate werden gegen die CertificateDescription geprüft tcTokenURL muss der SubjectURL entsprechen (gemäß RFC6454) Die RedirectURL aus dem tcToken muss der SubjectURL entsprechen (gemäß RFC6454) Die verwendeten Cipher-Suiten müssen gemäß TR-03116-4 und TR-02102 zugelassen sein SubjectURL CertificateDescription 10.11.2018
Stärken der Plug-In-freien eID-Aktivierung Unabhängigkeit vom eingesetzten Browser Keine Einschränkung auf bestimmte Browser Kein Update des Client bei neuen Browserversionen nötig Einsetzbarkeit auf mobilen Plattformen Benutzerführung verbessert auch bei SAML verlässt der Benutzer das Angebot des Diensteanbieters augenscheinlich nicht mehr Sicherheitsmechanismen werden durch den Client selbst umgesetzt Weniger Fehleranfälligkeit durch Drittkomponenten Bessere Fehlerbehandlung möglich 10.11.2018
Schwächen der Plug-In-freien eID-Aktivierung Einfacher Link auf localhost Wenn der Client nicht läuft, erscheint eine unschöne Fehlermeldung Prüfung, ob Client läuft ist aufwendig Wechsel zwischen Browser und Client Session-Informationen (Cookies) gehen verloren Integrationsanforderungen an den Diensteanbieter geringfügig gestiegen 10.11.2018
Beispiel: Erkennen, ob die AusweisApp2 läuft Die AusweisApp2 bietet eine URL an, die Status-Informationen zur Verfügung stellt: http://localhost:24727/eID-Client?status Mit Javascript kann eine Zwischen-Seite geschaltet werden, die die Verfügbarkeit der o.g. URL prüft. diese Zwischen-Seite darf nicht https sein Wenn ein Client erkannt wird, weiter zur Login-Seite Wenn ein Fehler auftritt, entsprechende Informationen an den Nutzer senden Beispiel-Code: <script type="text/javascript"> var xhr = null; xhr = $.ajax({ url : 'http://localhost:24727/eID-Client?status', success : function(response) { console.debug("Antwort vom eID-Client erhalten"); xhr.abort(); window.location="https://www.irgendeintest.de/auth/login.jsp?client=is-running"; }, error: function(){ window.location="https://www.irgendeintest.de/auth/login.jsp?client=not-running"; timeout:1500 }); </script> 10.11.2018
Erfahrungen der bisherigen Umstellungen Die Plug-In-freien eID-Aktivierung erfordert stärkere Prüfungen SubjectURL, Zertifikate, TLS-Cipher-Suiten Testumgebungen sind schwerer aufzusetzen „Developer-Mode“ für die AusweisApp2 in Planung Cookies werden nicht übernommen Zuordnung der Session bei Übergang Browser und Client schwierig evtl. weitere Parameter in die Spezifikation übernehmen? Fehlermeldung „Request URI too long“ Problem beim SAML Webbrowser SSO im Redirect Binding Server/Firewall muss große Requests erlauben Probleme mit SSL-Firewall/SSL-Proxy Wird SSL an der Firewall terminiert, kann die Online-Ausweisfunktion nicht funktionieren (wird als Angriff gewertet) 10.11.2018
Vielen Dank für Ihre Aufmerksamkeit Governikus GmbH & Co. KG …so innovativ ist Sicherheit. Dr. Stephan Klein Geschäftsführer www.governikus.com kontakt@governikus.com Am Fallturm 9 28359 Bremen Tel.: +49 421 204 95 -0 Friedrichstraße 88 10117 Berlin Tel.: +49 30 408 17 33 -10 Vielen Dank für Ihre Aufmerksamkeit Informationen und Download www.ausweisapp.bund.de Social Media www.twitter.com/AusweisApp2 www.facebook.com/AusweisApp2 PowerPoint-Vorlage 10.11.2018