Version 1 - History - EID-Server-Issues - Open eCard - Open eCard Development Center

1

Moritz Horsch

h1. EID-Server-Issues

2

3

h2. media transfer AG

4

5

Adresse der Anwendung: http://willow.mtg.de/eidavs/static/index.html

6

Adresse eID-Server: https://fry.mtg.de:443

7

8

h3. Protocol-URI

9

10

In AuthenticationProtocolData der DIDAuthenticate-PAOS-Nachrichten für EAC fehlt die Protocol-URI.

11

12

h3. StartPAOS

13

14

Server verlangt in dem ConnectionHandle ein SlotHandle. Fehler "SlotHandle is not set". Log File siehe "hier":https://redmine.vserver-001.urospace.de/attachments/55/MTG%20Server%20Debug.txt

15

16

h3. TLS

17

18

Kein TLS1.1 oder höher.

19

20

h3. TCToken

21

22

Das Element "ServerAddress" ist keine URL.

23

<pre>fry.mtg.de:443</pre>

24

25

26

27

h2. bremen online services GmbH & Co KG

28

29

Adresse der Anwendung: https://test.governikus-eid.de/Autent-DemoApplication/

30

Adresse eID-Server: https://testpaos.governikus-eid.de:443

31

32

Abweichungen:

33

1. Die Protocol-URI in AuthenticationProtocolData der DIDAuthenticate-PAOS-Nachrichten für EAC ist "urn:oid:1.0.24727.3.0.0.7.2", sollte laut TR-03112-7 v1.1.2 Kap. 4.6 aber "urn:oid:1.3.162.15480.3.0.14" sein.

34

2. In den DIDAuthenticateResponse-Nachrichten muss der Präfix für den Namensraum "urn:iso:std:iso-iec:24727:tech:schema" zwingend "iso" sein. (eventuell Vergleich des xsi:type auf "iso:EAC1InputType")

35

3. Sender der Client die SNI-Extension im TLS (siehe RFC 4366) verhält sich der Server nicht spezifikationskonform. Laut RFC sind folgende Rückgabewerte zulässig:

36

> a) Ignorieren der Extension wenn unbekannt/nicht unterstützt

37

> b) antworten mit einer "leeren" extension wenn erfolgreich

38

> c) antworten mit "unrecognized_name" wenn servername unbekannt

39

Der eID-Server antwortet allerdings mit "testpaos.governikus-eid." und sendet bei einer späteren Handshake-Nachricht falsche Daten, wodurch keine Verbindung zustande kommt.

40

41

42

h2. Ageto AG

43

44

Adresse der Anwendung: https://eid.services.ageto.net/gw/

45

Adresse eID-Server: https://eid-ref.eid-service.de:443

46

47

Abweichungen:

48

49

h3. AuthenticationProtocolData

50

51

In AuthenticationProtocolData der DIDAuthenticate-PAOS-Nachrichten für EAC fehlt die Protocol-URI.

52

53

h3. TLS

54

55

1. Die eID-Kommunikation läuft auch mit einer nicht-PSK-Ciphersuite (TLS_RSA_WITH_AES_128_CBC_SHA). Log File siehe "hier":https://redmine.vserver-001.urospace.de/attachments/57/ageto%20ohne%20psk.txt

56

2. kein TLS1.1 oder höher

57

58

h3. StartPAOS

59

60

StartPAOS muss ein ConnectionHandle enthalten. Es erfolgt keine Fehlermeldung von Server. Siehe TR-03112-7, Kapitel 2.6 StartPAOS.

61

62

h3. Interessante UTF-8 Kodierung der CertificateDescription

63

64

<pre>

65

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

66

</pre>

67

ergibt (siehe "Screenshot":https://redmine.vserver-001.urospace.de/attachments/56/oca%20ageto2.png)

68

<pre>

69

Name, Anschrift und E-Mail-Adresse des Dienstanbieters:

70

SYNCHRONITY GmbH

71

Winzerlaer Str. 2

72

07745 Jena

73

npa@synchronity.de

74

75

Zweck der Daten?bermittlung:

76

Identifizierung und Registrierung zum pers?nlichen Kundenkonto

77

78

Zust?ndige Datenschutzbeh?rde:

79

Th?ringer Landesverwaltungsamt Referat Hoheitsangelegenheiten, Gefahrenabwehr

80

Weimarplatz 4

81

99423 Weimar

82

Tel: (03 61) 37 73 72 58

83

Fax: (03 61) 37 73 73 46

84

poststelle@tlvwa.thueringen.de

85

Ansprechpartner: Frau Anke Neumann

86

</pre>

87

Die ganzen Umlaute sind mit "EFBFBD" kodiert. Siehe "hier":http://www.fileformat.info/info/unicode/char/fffd/index.htm

88

89

90

h1. Gesendete CV-Zertifikate

91

92

Siehe TR-03110-3, Kapitel A.6.1. Public Key References

93

94

Zitat:

95

@Note: As a consequence the Certification Authority Reference contained in a certificate MUST be equal to the Certificate Holder Reference in the corresponding certificate of the issuing certification authority.@

96

97

Ich leite aus der Aussage ab, dass bei CVCA Zertifikat CHR = CAR sein muss.

98

99

h2. media transfer AG

100

101

*EAC1Input*: Terminal-Zertifikat, DV-Zertifikat, CVCA-Zertifikat (CHR!=CAR)

102

*EAC2Input*: DV-Zertifikat

103

104

h2. bremen online services GmbH & Co KG

105

106

*EAC1Input*: Terminal-Zertifikat, DV-Zertifikat, CVCA-Zertifikat (CHR!=CAR)

107

*EAC2Input*: DV-Zertifikat, Terminal-Zertifikat

108

109

h2. Ageto AG

110

111

*EAC1Input*: Terminal-Zertifikat, DV-Zertifikat

112

*EAC2Input*: DV-Zertifikat, Terminal-Zertifikat

Project

General

Profile

Open eCard

EID-Server-Issues » History » Version 1