eIDAS的安全性分析——欧洲的跨国身份验证方案

2014年，欧盟委员会发布了eIDAS法规，旨在确保欧盟内部跨国电子服务的兼容性。eIDAS（电子身份验证、身份验证和信任服务）定义了电子签名、数字证书、单点登录（SSO）和信任服务的实现标准和技术。它基于完善的标准，如SAML，以实现欧盟国家之间的高度安全性和兼容性。在本文中，我们首次对eID服务中使用的身份验证方案进行了安全性研究。我们的安全分析表明，在15个欧洲eID服务中，有7个易受基于XML的攻击，这些攻击启用了高效的拒绝服务（DoS）和服务器端请求伪造（SSRF）攻击。在15个eID服务中的5个上，我们甚至能够过滤本地存储的文件并将这些文件发送到任意域。为了支持eID服务的开发人员和安全团队，我们实现了Burp Suite扩展来执行全自动或半自动测试。此外，我们概括介绍了与基于eID的身份验证和SSO相关的最佳实践。