Please check DHE key size in TLS handshake to service provider

BeID-lab / eIDClientCore

Präambel: Die Humboldt-Universität zu Berlin, Unter den Linden 6, 10099 Berlin, im Folgenden als Humboldt-Universität bezeichnet, stellt für die Anwendung im Zusammenhang mit deutschen hoheitlichen Dokumenten, wie beispielsweise den neuen Personalausweis und den elektronischen Aufenthaltstitel, eine clientseitige eID-Basis-Software zum Bereitstellen der sogenannten eID-Funktionalität, d.h. Ermöglichen eines elektronischen Identitätsnachweises, die sich an den Richtlinien des BSI TR-03110, TR-03112, TR-03130 orientiert, bereit, und zwar in dem Entwicklungszustand, in dem sie sich zum Zeitpunkt der Bereitstellung befindet. Diese Software, die im Folgenden als eIDClientCore bezeichnet wird, hat die Humboldt-Universität von der Bundesdruckerei GmbH, Oranienstraße 91, 10969 Berlin zur Verwendung in Lehre und Forschung sowie zur Bereitstellung an die Öffentlichkeit („Hosten“) für die allgemeine Prüfung und Verwendung durch jedermann erhalten.

15 stars 16 forks source link

Please check DHE key size in TLS handshake to service provider #90

Open psytester opened 8 years ago

psytester commented 8 years ago

To reflect the current working of AusweisApp2 the eIDClientCore needs to check the Diffie-Hellman key size given by eID service provider during TLS handshake. This happens if eID Client sends a Client-Hello with its cipher suites and the service provider selects a DHE-*\ suite. Since 2016 the AA2 (version 1.6.1) accepts only 2048 bit DHE keys and 1024 or less are rejected. From test point of view I would like to have an optional parameter to switch off that check.