Moritz Horsch

An efficient mobile PACE implementation

Many future electronic identity cards will be equipped with a contact-less interface. Analysts expect that a significant proportion of future mobile phones support Near Field Communication (NFC) technology. Thus, it is a reasonable approach to use the cell phone as mobile smart card terminal, which in particular supports the Password Authenticated Connection Establishment (PACE) protocol to ensure user consent and to protect the wireless interface between the mobile phone and the smart card. While there are efficient PACE implementations for smart cards, there does not seem to be an efficient and platform independent solution for mobile terminals. Therefore we provide a new implementation using the Java Micro Edition (Java ME), which is supported by almost all modern mobile phones. However, the benchmarks of our first, straightforward PACE implementation on an NFC-enabled mobile phone have shown that improvement is needed. In order to reach a user friendly performance we implemented an optimized version, which, as of now, is restricted to optimizations which can be realized using features of existing Java ME libraries. In the work at hand we present a review of the relevant algorithms and provide benchmarks of the corresponding arithmetic functions in different Java ME libraries. We discuss the different optimization approaches, introduce our optimized PACE implementation, and provide timings for a desktop PC and a mobile phone in comparison to the straightforward version. Finally, we investigate potential side channel attacks on the optimized implementation.

Options for integrating eID and SAML

Several European countries currently introduce highly sophisticated eID functionality in their national identity cards. This functionality typically has no direct relation to web security standards, but will be integrated with web technologies to enable browser-based access to critical resources. The research challenge to combine eID protocols and web standards like TLS in a secure way proves extremely challenging: The security of many of the proposed systems boils down to HTTP session cookies and TLS server certificates. Therefore, the overall security is not improved and does not justify the additional costs. In this paper, we investigate this security challenge for the German national identity card and its eID functionality. We show that the solution currently standardized by the German government does not offer any additional security, by giving an in-depth analysis of the complete software system. We discuss several possible paths to an enhanced solution based on TLS channel bindings. Finally, we describe a system setup based on the SAML Holder-of-Key Web Browser Profile, which also mitigates interoperability problems.

PALPAS -- PAssword Less PAssword Synchronization

Tools that synchronize passwords over several user devices typically store the encrypted passwords in a central online database. For encryption, a low-entropy, password-based key is used. Such a database may be subject to unauthorized access which can lead to the disclosure of all passwords by an offline brute-force attack. In this paper, we present PALPAS, a secure and user-friendly tool that synchronizes passwords between user devices without storing information about them centrally. The idea of PALPAS is to generate a password from a high entropy secret shared by all devices and a random salt value for each service. Only the salt values are stored on a server but not the secret. The salt enables the user devices to generate the same password but is statistically independent of the password. In order for PALPAS to generate passwords according to different password policies, we also present a mechanism that automatically retrieves and processes the password requirements of services. PALPAS users need to only memorize a single password and the setup of PALPAS on a further device demands only a one-time transfer of few static data.

Sicherheitsaspekte beim chipkartenbasierten Identitätsnachweis

Mit der Einfuhrung des neuen Personalausweises wurde insbesondere auch der elektronische Identitatsnachweis gemas § 18 PAuswG ermoglicht, mit dem Ausweisinhaber ihre Identitat gegenuber offentlichen und nicht-offentlichen Stellen elektronisch nachweisen konnen. In analoger Weise konnen auch andere Chipkarten, wie z. B. die elektronische Gesundheitskarte oder Bank- und Signaturkarten fur die sichere Authentisierung und den Chipkarten-basierten Identitatsnachweis genutzt werden. Damit hierbei jeweils dem Stand der Technik entsprechende Masnahmen zur Sicherstellung von Datenschutz und Datensicherheit vorgesehen werden konnen, sollen in diesem Beitrag die typischen Bedrohungen, Risiken und Sicherheitsaspekte fur den Chipkarten-basierten Identitatsnachweis in systematischer Weise betrachtet werden.

Mobile Authentisierung und Signatur mit dem neuen Personalausweis

ZusammenfassungSmartphones sind heute oftmals Dreh- und Angelpunkt unserer Kommunikation und ebenso wie der Personalausweis ein stetiger Begleiter. Ausgestattet mit NFC wird ein Smartphone zum Kartenleser und ermöglicht dadurch grundsätzlich die mobile Authentisierung mit dem neuen Personalausweis. Durch die innovative Kombination mit zusätzlichen Infrastrukturdiensten können hierdurch auch qualifizierte elektronische Signaturen erzeugt und dadurch Schriftformerfordernisse erfüllt werden.

Update-Tolerant and Revocable Password Backup

It is practically impossible for users to memorize a large portfolio of strong and individual passwords for their online accounts. A solution is to generate passwords randomly and store them. Yet, storing passwords instead of memorizing them bears the risk of loss, e.g., in situations where the device on which the passwords are stored is damaged, lost, or stolen. This makes the creation of backups of the passwords indispensable. However, placing such backups at secure locations to protect them as well from loss and unauthorized access and keeping them up-to-date at the same time is an unsolved problem in practice.

Open Source für europäische Signaturen

ZusammenfassungObwohl die elektronische Signatur oft als Schlüsselkomponente für die vertrauenswürdige Abwicklung von elektronischen Geschäftsprozessen gilt, wird sie bisher in der Praxis kaum genutzt. Durch die kommende eIDAS-Verordnung der Europäischen Kommission werden positive Impulse und eine Belebung des Europäischen Signaturmarktes erwartet. Für die Steigerung von Vertrauen, Transparenz und Akzeptanz auf Nutzer- und Serviceseite, bedarf es unter anderem einer flexiblen, interoperablen, benutzerfreundlichen und als Open Source verfügbaren Signaturanwendung.

Authentisierung mit der Open eCard App

ZusammenfassungFür die starke Authentisierung und den elektronischen Identitätsnachweis stehen unterschiedliche Mechanismen zur Verfügung. Aus dem Blickwinkel des Datenschutzes reicht die Bandbreite von der Authentisierung mit X.509-Zertifikaten über das vom neuen Personalausweis unterstützte Extended Access Control Protokoll bis hin zu datenschutzfreundlichen Credentials. Der vorliegende Beitrag erläutert, wie diese unterschiedlichen Technologien mit der Open eCard App genutzt werden können.