Gematik IDP-Server

Die Gematik hat ihre Implementierung des IDP-Server (IDentity Provider) veröffentlicht.

Der Gematik IDP-Server dient zur Identifizierung von Versicherten und Leistungserbringenden Organisationen.

Siehe: https://github.com/gematik/ref-idp-server

Erstmal Kudos an die Gematik und deren Softwareentwicklung ihren Code der Öffentlichkeit zur Verfügung zu stellen! Dies ist der richtige Weg um Vertrauen zu schaffen.

Beim Durchschauen, in dieser frühen Version, mir auch recht schnell eine Sicherheitsschwäche durch die Abwesendheit eines kryptographisch sicherer Zufallszahlengenerators aufgefallen.

Hier mein Issus #1 im Gematik Repro ;)

“Instances of java.util.Random are not cryptographically secure”
https://github.com/gematik/ref-idp-server/issues/1

Verwendet wird in der Implementierung der Gematik java.util.Random, dies ist jedoch nicht kryptographisch sicher. Stattdessen muss in solchen Anwendungsbereichen java.security.SecureRandom verwendet werden.

Siehe dazu die Dokumentation:

• Class SecureRandom
• Class Random

Hinweis aus der Dokumentation:

Instances of java.util.Random are not cryptographically secure. Consider instead using SecureRandom to get a cryptographically secure pseudo-random number generator for use by security-sensitive applications.

Ich persöhnlich finde, selbst in einer frühen Implementierung sollte man sofort von Anfang an auf sichere Implementierung setzen. Es ist viel zu gefährlich, dies nach hinten zu schieben, in der Hoffnung später keine Ecke zu vergessen.