Sie sind hier:

OSCI 1.2 Bibliothek

Mit der Spezifikation des Protokolls OSCI–Transport in der Version 1.2 wird ein sicheres, herstellerunabhängiges und interoperables Datenaustauschformat beschrieben.

Um die Implementierung für Anwender in der öffentlichen Verwaltung sowie der Fachverfahrenshersteller zu erleichtern, wird die OSCI 1.2 Bibliothek angeboten:

Die Bibliothek implementiert OSCI–Transport in der Version 1.2 und ist damit unabhängig von Fachinhalten. Sie ist Bestandteil der OSCI-Transport Infrastruktur. Die OSCI-Transport Bibliothek soll in Fachverfahren (auf Verwaltungsseite) oder Clientsystemen (auf Kundenseite) implementiert werden.

Die OSCI 1.2-Bibliothek dient dem Ziel, die für den Einsatz von OSCI-Transport erforderliche Funktionalität und Interoperabilität für die in den öffentlichen Verwaltungen zum Einsatz kommenden Fachverfahren auf pragmatische Weise sicherzustellen.

Die OSCI 1.2-Bibliothek wird von der KoSIT in Java (ab Version 1.8 oder höher) und .NET herausgegeben und kann im heruntergeladen werden.

Update der OSCI-Transport Bibliothek auf Version 1.8.3

  • Das Update ist ein Sicherheitsupdate
  • Betroffen: OSCI-Bibliothek, Version 1.8.1 und älter
  • Potentielle Schwachstelle im Schutz der Metadaten, verschlüsselte Inhaltsdaten weiterhin geschützt.
  • Update der OSCI-Bibliothek seit Ende Oktober bereits verfügbar.
  • Neue Version 1.8.3 steht nun auch öffentlich zum Download zur Verfügung.

Am 05.02.2019 veröffentlichte das CERT Bund eine Schwachstellenmeldung zur OSCI-Transport Bibliothek in der Version 1.8.1. Beim Einsatz der OSCI-Bibliothek ohne zusätzliche Sicherungsmaßnahmen im Betrieb könnten mit einem sog. Man-in-the-Middle-Angriff potenziell zwei Schwachstellen ausgenutzt werden:

  1. Eine Schwachstelle ermöglicht es, sensitive Transportinformationen einer einzelnen, mit AES-CBC verschlüsselter Kommunikation auszuspähen.
  2. Eine weitere Schwachstelle ermöglicht in unverschlüsselten Nachrichten bzw. bei Zugriff auf entschlüsselte Transportnachrichten die Manipulation von signierten Transportdaten einzelner Transportnachrichten ohne Einfluss auf die Gültigkeit der Signatur.

Betroffen sind alle Server-Produkte, in denen die OSCI-Transport Bibliothek in der Version 1.8.1 oder älter eingesetzt wird. Wir weisen darauf hin, dass ein grundlegend sicherer Betrieb ein Ausnutzen der Schwachstellen deutlich erschwert und die Auswirkungen erheblich verringert. Insbesondere bewährt sich das in XÖV-Szenarien verwendete Prinzip des doppelten Umschlags – das bedeutet, dass zunächst eine Inhaltsdatenverschlüsselung und danach eine Transportverschlüsselung erfolgen. Ein Ausnutzen der Schwachstellen offenbart in diesem Fall nur die durch die Transportverschlüsselung geschützten Metadaten einer einzelnen Nachricht. Inhaltsdaten, die in deutschen eGovernment-Strukturen verschlüsselt werden, sind daher nicht betroffen.
Auf die möglichen Schwachstellen wurde das CERT Bund Mitte September 2018 von der Firma SEC Consult hingewiesen. Entsprechende Maßnahmen - Update der OSCI-Transport Bibliothek sowie Information der Nutzer - wurden bereits Ende Oktober 2018 umgesetzt. Wir bedanken uns insbesondere bei der Firma SEC Consult für die Entdeckung und die Unterstützung einer koordinierten Schwachstellenveröffentlichung. Des Weiteren danken wir der Firma Governikus für die schnelle, umfassende Prüfung und Bereitstellung des Updates.
Weitere Informationen finden Sie im Security Advisory in unserem Downloadbereich, zusammen mit den neuen Versionen der OSCI-Transport Bibliothek.

Funktionale Beschreibung der OSCI-Transport-Bibliothek

Die Aufgabe der OSCI-Transport Bibliothek besteht darin, Anwendungsprogrammen und Fachverfahren eine Softwarekomponente zur Verfügung zu stellen, mit deren Hilfe sie das OSCI-Transportprotokoll zum Erzeugen und Empfangen von Nachrichten gemäß der OSCI 1.2-Spezifikation nutzen können.
MEHR