NPA
nPA - Seminar 01916
Der Elektronische Personalausweis
Gliederung
1. Grundlagen zum nPA
1.1 Einführung
1.2 Rechtliche Grundlagen
1.3 Technische Grundlagen
2. Sicherheitsaspekte
2.1 Die eID-Funktion des nPA
2.2 Signaturarten
2.3 Unterschiede „Qualifizierte elektronische Signatur zu eID-Funktion“
2.4 Sicherheitsaspekte und Zugriffsberechtigungs-Zertifikate mit selbsterstellten Anwendungen in Zusammenhang der eID-Funktion
3. Einsatzmöglichkeiten des nPA in Deutschland
-
- Grundsätzliche Überlegungen
- Praktische Umsetzung an Beispielen
4. Einsatz des nPA außerhalb Deutschlands
4.1 Europa - Projekt STORK
4.2 Andere Länder außerhalb Europas
5. Bedeutung des nPA für das Thema E-Government
5.2 Zusammenfassung
-
- Fazit
Einführung
1938 wurde die Kennkarte als ein Vorläufer des heutigen Personalausweises eingeführt. Mit dem Beginn des 2. Weltkrieges führten die Nationalsozialisten den Ausweiszwang ein. Nach Ende des Krieges wurde 1951 in der Bundesrepublik und West-Berlin der Personalausweis in Form eines Passbuches im sogenannten ID-2-Format (74x105 mm) ausgegeben.
[[Image:]]1938: Kennkarte als Vorläufer
Nach Ende des Krieges wurde 1951 in der Bundesrepublik und West-Berlin der Personalausweis in Form eines Passbuches im sogenannten ID-2-Format (74x105 mm) ausgegeben.
[[Image:]]01. Januar 1951: Bundesrepublik Deutschland führt Personalausweis als Passbuch (ID-2-Format (74x105 mm)) ein .
Am 01. April 1987 wurde der kunststofflaminierte und fälschungssichere Personalausweis eingeführt, ebenfalls im ID-2-Format. Erstmals wurde hierfür eine Gebühr i.H.v. 10 DM fällig. Am 01. November 2001 wurde zur Verbesserung der Sicherheit ein holografisches Sicherheitsmerkmal, das sogenannte „Identigram“ auf den Ausweis gebracht. Am 09.Januar 2002 wurde durch eine Gesetzesänderung, die Verwendung biometrischer Daten ermöglicht, als Folge der Anschläge in dem New York vom 11.September 2001.
[[Image:]]01. Januar 1987: Ausgabe des fälschungssicheren Ausweises mit 'Identigram'
Seit dem 01.11.2010 ist jetzt der neue Personalausweis im ID-1-Format d.h. in Scheckkartengröße (85,6x53,9 mm)) mit einem RFID-Chip auf der Vorderseite im Umlauf. Dadurch werden Online-Dienstleistungen und Geschäfte im Internet (E-Commerce) ermöglicht.
[[Image:]]01. November 2010: Einführung des neuen elektronischen Personalausweises (ID-1-Format (85,6x53,9 mm))
Was ist neu?
Der neue Personalausweis vereint die Sichtfunktionen des herkömmlichen Ausweises mit drei neuen elektronischen Funktionen.
1. Die Biometriefunktion: Sie ermöglicht es bestimmten berechtigten Behörden, etwa der Polizei, das auf dem RFID-Chip des Ausweises gespeicherte Lichtbild des Ausweisinhabers auszulesen. Auf Wunsch des Ausweisinhabers können auch zwei Fingerabdrücke elektronisch gespeichert werden.
2. Der Elektronische Identitätsnachweis, die sogenannte eID-Funktion mit der es möglich sein soll, sich im Internet fortan sicher auszuweisen. Mittels eines speziellen Ausweislesegeräts, das am Computer des Ausweisinhabers angeschlossen sein muss, kann einer 6-stelligen PIN und einer Software der sogenannten "Ausweisapp" kann der Ausweisinhaber z.B. bei Online-Shops, Banken oder auch bei Behörden mit den notwendigen Daten legitimieren.
3. Durch eine qualifizierte elektronische Signatur (QES) im Sinne des § 126a BGB wird es dem Bürger ermöglicht eine virtuelle Unterschrift zu leisten, die der eigenhändigen Unterschrift rechtlich annähernd gleich gestellt ist. Dafür muss der Nutzer ein spezielles Signaturzertifikat erwerben und auf seinen Ausweis laden. Weitere Informationen folgen später in der Präsentation.
[[Image:]]
Einführung
Daten auf dem Ausweis
Wie bereits erwähnt bietet der neue Personalausweis, wie auch schon der alte Ausweis, einen Sichtausweis, auf dem einige Daten des Personalausweisinhabers lesbar aufgedruckt sind.
Dazu gehören:
- Familienname und Geburtsname
- Vornamen
- Doktorgrad
- Tag und Ort der Geburt
- Lichtbild
- Unterschrift
- Körpergröße
- Augenfarbe
- Anschrift, bei Anschrift im Ausland die Angabe „keine Hauptwohnung in Deutschland“
- Staatsangehörigkeit
- Seriennummer
[[Image:]]Einführung
Wie auf dem bisherigen Personalausweis sind auf dem neuen Ausweisdokument die folgenden Angaben sichtbar aufgebracht:
- Familienname und Geburtsname
- Vornamen
- Doktorgrad
- Tag und Ort der Geburt
- Lichtbild
- Unterschrift
- Körpergröße
- Augenfarbe
- Anschrift, bei Anschrift im Ausland die Angabe „keine Hauptwohnung in Deutschland“
- Staatsangehörigkeit
- Seriennummer
Im Vergleich zum alten Ausweis sind zusätzlich zwei neue Angaben auf dem Ausweis sichtbar:
- Postleitzahl
- Ordens- oder Künstlername
Außerdem ist auf der Vorderseite eine neue Nummer aufgebracht.
Diese 6-stellige Zugangsnummer lässt keine Rückschlüsse auf die Person zu und wird benötigt, wenn die PIN versehentlich zweimal falsch eingegeben wurde .
Allgemein
- Gültigkeitsdauer 10 Jahre
Vor Vollendung des 24. Lebensjahres 6 Jahre
- Gebühr beträgt 28,80 € im Inland / Alte Ausweis kostete 8 €
- Betragung im Ausland möglich
Kosten erhöhen sich auf 30 €
- Nachträgliches Einschalten der eID (Online-Ausweisfunktion) sowie Ändern der PIN und Entsperrung der eID im Bürgeramt für 6 €
- Keine Umtauschpflicht für die alten Ausweise
Gültigkeit bis Ablaufdatum
Hoheitliche Funktionen
Der nPA ist als Ersatz für den Reisepass in der EU nutzbar . Die Unterscheidung zu ePass durch freiwillige Speicherung der Fingerabdrücke, beim ePass ist verpflichtend.
Das Auslesen der Information des nPA durch Behörden nur in Verbindung mit hoheitlichen Berechtigungszertifikaten möglich unter Verwendung der MRZ (Zugangsnummer).
Berechtigung zum Auslesen durch:
- Polizeibehörden
- Zollverwaltung
- Pass-, Personal- und Meldebehörden
Die Passbehörden dürfen z.B. auch eID-Funktion ein-/ausschalten.
Nicht hoheitliche Funktionen
eID-Funktion
Liefert den gleichen Identitätsnachweis wie es die Funktion als Sichtdokument außerhalb des Internets . Der Nutzer hat die Möglichkeit, sich gegenüber Dritten (Behörde oder privater Dritter) eindeutig und authentisch auszuweisen .
¨AusweisApp
¨Client kann im Internet die eID-Funktion nutzen
Rechtliche Grundlagen
Gesetz über Personalausweise und den elektronischen Identitätsnachweis (PAuswG)
Änderungen zum Passgesetz
Melderechtsrahmengesetz
Signaturverordnung
Geldwäschegesetz
Personalausweisverordnung (PAuswV)
Verwaltungsverfahrensgesetz (VwVfG)
Technische Richtlinien und Schutzprofile des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Personalausweisgesetz (PAauswG)
Entwurf der Bundesregierung am 23.07.2008
Beschluss des Bundestages am 18.12.2008, Bundesrates am 13.02.2009
Veröffentlichung am 24.06.2009, Inkrafttreten am 01.11.2010
¨Ausweispflicht (§ 1)
Jeder Deutsche ab 16 Jahre, unter 16 auf Antrag
Gültigkeit 10 Jahre oder 6 Jahre (unter 24 Jahre)
Elektronischer Identitätsnachweis (§ 18) (1)
Nachweis der Identität gegenüber öffentlichen & nichtöffentlichen Stellen
Nur unter Berücksichtigung u.a. des §3a Verwaltungsverfahrensgesetzes
(2): Übermittlung der Daten unter Berücksichtigung des Datenschutzes und -sicherheit zur Gewährleistung der Vertraulichkeit und Unversehrtheit der Daten
Personalausweisverordnung (PAauswV)
Entwurf der Bundesregierung am 22.04.2010
Beschluß des Bundesrates am 04.06.2010, Inkrafttreten am 01.11.2011
Biometriegestützen Identitätsnachweis für E-Government & E-Buisness
¨Technische Richtlinien (§ 2)
Speicherung des Lichtbildes, Fingerabdrücke, Vorgaben durch BSI
¨Speicherung von personenbezogenen Daten, Zugriffschutz (§ 14)
Übermittlung von personenbezogenen Daten durch Berechtigungszertifikate
Geheimnummer als zusätzliches Authentisierungsmerkmal
¨Ausgabe von hoheitlichen Berechtigungszertifikaten (§ 36)
BMI legt ausgebende Behörde fest, Veröffentlichung im elektronischen Bundesanzeiger
Verwaltungsverfahrensgesetz (VwVfG)
Entwurf der Bundesregierung 25. Mai 1976, Inkrafttreten 01.01.1977
Änderung des Art. 3a 14. August 2009
¨§ 3a Elektronische Kommunikation
(1) Die Übermittlung elektronischer Dokumente ist zulässig, soweit der Empfänger hierfür einen Zugang eröffnet.
(2) Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist, durch die elektronische Form ersetzt werden. In diesem Fall ist das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz zu versehen. Die Signierung mit einem Pseudonym, das die Identifizierung der Person des Signaturschlüsselinhabers nicht ermöglicht, ist nicht zulässig.
(3) Ist ein der Behörde übermitteltes elektronisches Dokument für sie zur Bearbeitung nicht geeignet, teilt sie dies dem Absender unter Angabe der für sie geltenden technischen Rahmenbedingungen unverzüglich mit. Macht ein Empfänger geltend, er könne das von der Behörde übermittelte elektronische Dokument nicht bearbeiten, hat sie es ihm erneut in einem geeigneten elektronischen Format oder als Schriftstück zu übermitteln.
Technische Richtlinien
Das BSI gibt technische Richtlinien (BSI TR) heraus und definiert IT-Sicherheitsstandards
Aufbau und Absicherung von IT-Systemen
Ergänzung zu Prüfvorschriften des BSI und liefert u.a. Methoden zu Konformitätsprüfungen
Berücksichtigung der intern. Standards nach Common Criteria
Die Richtlinien haben nur Empfehlungscharakter.
Beispiele:
- BSI TR-03112 Das e-Card API-Framework
- BSI TR-03116-2 eCard-Projekte der Bundesregierung
- BSI TR-03130 eID-Server
- BSI TR-03121 Biometrie in hoheitlichen Anwendungen
- BSI TR-03119 Anforderungen an Chipkartenleser mit nPA Unterstützung
Technische Grundlagen
Der nPA (elektronische ID Card) hat Scheckkartenformat. Zusätzlich enthält der nPA einen kontaktlosen integrierten Chip zur Speicherung persönlicher und biometrischer Daten (RFID) .
Die Speicherung von Fingerabdrücken (zwei Stück) ist optional und kann mehr Identitätsschutz bieten (Biometrie). Der nPA gilt auch als besonders fälschungssicher und besitzt 23 Sicherheits-merkmale .
[[Image:]]
Weitere Anmerkungen zu „RFID“
RFID = Radio Frequency Identication
RFID Modul besteht aus Antenne und Steuereinheit
Passive RFID Transponder (auf dem nPA) besitzen keine eigene Energiequelle und versorgen sich aus den Funksignalen des Abfragegerätes
Reichweite (typisch): wenige Zentimeter / bis 1 Meter denkbar
Persönliche Daten können mit jedem geeigneten Lesegerät mit entsprechenden Berechtigungszertifikat ausgelesen werden
Vor dem Auslesen muss der Ausweisinhaber eine 6-stellige PIN eingeben Ausnahme: keine PIN bei hoheitlichen Abfragen (Polizei, etc.)
Schwachstelle: Lesegeräte ohne eigene Tastatur (Basis-Leser)
Empfehlung aus Sicht des Datenschutzes:
Der Ausweisinhaber kann den Datenaustausch durch eine „RFID-Schutzhülle“ wirkungsvoll verhindern .
Berechtigungszertifikat
[[Image:]]
Berechtigungszertifikate
Das BVA übernimmt die Aufgabe der Registrierungsstelle und es entscheidet über die Erteilung und Aufhebung der Zertifikate. Die technische Bereitstellung der Berechtigungszertifikate übernimmt ein Zertifikateanbieter (BerCA). BerCA ist akkreditiert nach Signaturgesetz und Signaturver-ordnung.
Aktuelle Anbieter:
D-Trust GmbH (Bundesdruckerei)
Signtrust (Deutsche Post)
T-Systems (Deutsche Telekom AG)
Berechtigungszertifikate
Aktuelle Liste: Die PDF-Datei wird jede Nacht um 3:00:01 Uhr (4:00:01 Uhr / Sommerzeit) neu erstellt, unabhängig davon ob es Änderungen gab oder nicht, d.h., dass Erstellungsdatum gibt keine Auskunft über den Stand der Datenerhebung.
Fundstelle:
http://gsb.download.bva.bund.de/VfB/npavfb.pdf
Kontakt:
Bundesverwaltungsamt (BVA)Vergabestelle für Berechtigungszertifikate
Telefon: 0 22 8 99/3 58-33 00
E-Mail: npa@bva.bund.deHomepage: http://www.bva.bund.de/vfb
Technische Infrastruktur
Sichere Infrastruktur über PKI (Public Key Infrastructure)
Die Root-CA liegt beim BSI . Mögliche eID-Server für Diensteanbieter (mit Berechtigungs-zertifikat).
Eigene Entwicklung (TRs des BSI beachten)
Nutzung eines eID-Servers
Nutzung eins eID-Services
Listen mit eID Servern und eID Services beim Kompetenzcenter nPA:
http://www.ccepa.de/eid-server-anbieter
http://www.ccepa.de/eid-service-anbieter
Technische Infrastruktur
Welches Risiko besteht bei der Benutzung der eID?
Problem Zertifizierungsstellen: z.B. DigiNotar in NL
Siehe Themenseite bei heise:
http://www.heise.de/firma/DigiNotar
Titel (Auszug)
Über 500 Zertifikate: Ausmaß des CA-Hacks schlimmer als erwartet
Niederländische Regierung übernimmt Kontrolle über DigiNotar
DigiNotar-Hack: Kritische Infrastruktur war unzureichend geschützt
Aufsichtsbehörde untersagt DigiNotar das Ausstellen qualifizierte Zertifikate
DigiNotar wird liquidiert
EU-Behörde für IT-Sicherheit kritisiert Zertifizierungsstellen
(Enisa: Securing Europe's Information Society)
Technische Grundlagen
[[Image:]]
Die eID-Funktion des nPA
Funktionsweise der eID im Online-Verfahren
Muss im nPA freigeschaltet werden (Optional)
Gibt im Internet Antwort auf die Frage „wer bin ich“
Weiter Online Ausweisfunktion (neben der QES)
Alters und Wohnortbestätigung
Pseudonymer Zugang (s.U.)
Technische Richtlinie des BSI
BSI TR-03130 eID-Server
Fundstelle (ca. 21 TR mit ca. 55 Dokumenten)
Die Funktionsweise des eID-Verfahrens
[[Image:]]
So könnte eine Online-Transaktion mit dem nPA aussehen
Ein Internetbenutzer besucht eine Webseite und soll sich ausweisen
Der Internetbenutzer (Ausweisinhaber) legt seinen Ausweis auf den Kartenleser
Der Dienstanbieter schickt sein Berechtigungszertifikat zur AusweisApp auf den PC des Internetbenutzers
Der Internetnutzer sieht:
- Auslesezweck
- Kontaktdaten des Zertifikatsinhabers
- Kontaktdaten der zuständigen Datenschutzbehörde
So könnte eine Online-Transaktion mit dem nPA aussehen
Ein Internetbenutzer kann über die AusweisApp bestimmte Datenfelder ankreuzen:
Anrede
Name
Adresse
Der Internetnutzer kann auch gezielt Daten „abwählen“
Zur endgültigen Datenfreigabe ist die Eingabe der 6-stelligen PIN erforderlich
Eingabe über Tatstatur am PC (gilt als unsicher) oder
Direkte Eingabe über das Tastenfeld des Komfortlesers
Danach wird der Kommunikationskanal aufgebaut
Ad hoc-Zertifikat (auch Kurzzertifikat genannt) für den nPA
Unter Ad Hoc-Zertifikaten, werden Zertifikate verstanden die innerhalb weniger Minuten für das virtuellen Unterschreiben zur Verfügung zu stellen, dem Nutzer zur Verfügung stehen. Die Bundesdruckerei, das Land Hessen und SAP habe die technische Realisierung des Nachlade-prozesses auf den neuen Personalausweis (nPA) erprobt und auf der CeBIT 2011 vorgeführt.
Im Rahmen einer Gewerbeanmeldung ist es möglich, innerhalb des Antragsprozesses ein entsprechendes Zertifikat für die elektronische Signatur auf den neuen Personalausweis (nPA) zu laden und dann mit diesem umgehend online zu unterschreiben.
Ad hoc-Zertifikat (auch Kurzzertifikat genannt) für den nPA
Für die Anwender bringen diese Ad Hoc-Zertifikate den Vorteil das entsprechende Zertifikat umgehend nutzen zu können (ohne Zeitverlust), weiterhin wird der Aufwand ein Zertifikat zu erwerben deutlich minimiert und für Nutzer wie Dienstanbieter wird ein Medienbruch freier Status erreicht .
Aktuell werten die Projektpartner die positiven Erfahrungen und konkretisieren aktuell die Pläne für die Überführung in den Echtbetrieb .
Weitere Informationen sind in einer Präsentation mit dem Titel "Die schnelle elektronische Signatur mit Ad Hoc-Zertifikaten" von Enrico Entschew zu finden, welche am 23. September 2011 gehalten wurde .
Fundstelle: http://www.teletrust.de/uploadsmedia/
Ein Pseudonym verwenden
TMG: §13 (6) Pflichten des Diensteanbieters: „Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.“
Datensparsamkeit: Wenn z.B. nur eine Altersverifizierung nötig ist, sollen zusätzlich keine anderen (für den Zweck unnötigen) Daten erhoben werden
Der neue Personalausweis verbindet die Pseudo-Anonymität mit meinen gesicherten Identitäten
Wie genau geht die Pseudo-Anonymität beim nPA?
Der nPA bietet die Möglichkeit sich mit einem Pseudonym bei einem Onlinedienst anzumelden .
Der nPA stellt dabei sicher, das der Inhaber jederzeit vom Dienst wiedererkannt wird, ohne dass der Dienstanbieter jemals die Identität des Inhabers den nPA erfährt . Dazu wird eine lange Zeichenfolge erzeugt, in deren Berechnung der geheime Schlüssel des nPA und der öffentliche Schlüssel des Dienstanbieters einfließen . Jeder Dienstanbieter erhält vom gleichen Ausweisinhaber ein anderes Pseudonym, somit wird ein Abgleich unmöglich.
Problem Sperrlisten
Auch die Sperrliste soll keine Rückschlüsse auf den Inhaber des Pseudonyms zulassen
Wird der nPA gesperrt, soll auch das Pseudonym ungültig werden
Lösung: nPA erzeugt zusätzlich zum eigentlichen Pseudonym noch eine Sperrkennung
In die Berechnung der Sperrkennung fließt das Zertifikat des Dienstanbieters ein
Der öffentliche Teil der Sperrkennung wird beim Sperrdienst hinterlegt . Der Sperrdienst führt eine globale Liste mit den Sperrkennungen ungültiger nPA . Die Berechtigungs-CA errechnet daraus und mit den Zertifikaten der Dienstanbieter sog. dienst-spezifische Sperrlisten ohne Personenbezug.
Die verschiedenen Klassen von Kartenlesern
Basis
keine eigene Tastatur und kein Display
BSI Siegel
Sicherheitsklasse 1
Standard
mit Tastatur und Display
bei der Nutzung der eID Funktion werden vor dem Datenzugriff die Berechtigungen und Berechtigten im Display an
BSI Siegel
Sicherheitsklasse 3
Comfort
Wie Standard, jedoch mit der Möglichkeit der QES
Sicherheitsklasse 4 mit integriertem Sicherheitsmodul
Die eID-Funktion des nPA
[[Image:]]
Die verschiedenen Sicherheitsklassen
ZKA (seit August 2011: DK – Deutsche Kreditwirtschaft)
ZKA ist die Abkürzung für Zentraler Kreditausschuss. Es ist ein Gremium der deutschen Banken, das u.a. Normen für den Datenaustausch beim Homebanking definiert hat.
Die Sicherheitsklassen
Die Sicherheitsklassen des ZKA geben bei Chipkartenlesern an, welchen Grad der Sicherheit die Geräte bei der Datenübertragung bieten.
Die verschiedenen Sicherheitsklassen
Klasse 1
Keine eigene Tastatur, Daten bei der Eingabe des Benutzers auf dem Weg zur Chipkarte über den PC ausgespäht werden
Keylogger-Angriff möglich
Klasse 2
Eigene Tastatur, Daten gehen nicht über den PC zur Chipkarte
Klasse 3
Wie Klasse 2, jedoch zwingend mit Display
Einfache Kontrolle durch den Anwender möglich
Klasse 4
Wie Klasse 3, jedoch zusätzlich mit Sicherheitsmodul RSA (asym. Verschlüsselung)
Kartenleser kann durch eigene Signatur als Klasse 4 vom Partner identifiziert werden
IT-Investprogramm der Bundesregierung
Aus dem Konjunkturpaket II wurden bis zu 24 Mio. € bereitgestellt
Ziel: die Privathaushalte mit Lesegeräten zu versorgen
Die Sicherheit im Umgang mit dem nPA zu verbessern
Ausgabe von ca. 1,5 Mio IT-Sicherheitskits mit Förderung soll Ende 2011 auslaufen
Basislesegeräte kostenlos (z.B. über die KKH)
Subventionierte Lesegeräte z.B. bei Amazon
Die AusweisApp
Fundstelle: https://www.ausweisapp.de
Hier gibt es eine Liste mit den verschiedenen Lesegeräten mit Bewertung
Hier kann auch die AusweisApp geladen werden
Hier werden die wichtigsten Fragen beantwortet
Die AusweisApp unterstützt die nachfolgend genannten Betriebssysteme:
- Windows XP, Vista 7 mit 32Bit / 64Bit
- Ubuntu 10.04 /10.10 / 11.04 mit 32Bit
- Debian 5.0 / 6.0 mit 32Bit
- OpenSUSE 11.3 / 11.4 / 12.1 mit 32Bit
- Mac OS 10.6 und 10.7 sollen noch dieses Jahr erscheinen
Die App stellt eine verschlüsselte Verbindung zwischen dem nPA (über den Ausweisleser) und der Gegenseite (eID-Server) her
Im Hintergrund werden von der App Zertifikats- und Authentizitäts-prüfungen vorgenommen
Bietet dem Bürger an seinem PC eine Oberfläche zur Nutzung des nPA
Der Bürger kann im Internet
- sich ausweisen
- elektronisch unterschreiben
Wurde im Auftrag des BMI von Siemens IT-Solutions entwickelt
Zusammen mit der Bundesdruckerei und Open Limit SignCubes AG
Risiko in Zusammenhang mit der eID
Aus Sicht des Dienstanbieters:
Der Dienstanbieter kann sicher sein, dass der echte nPA mit der darauf angegebenen Person im Leser steckt. Er kann sich aber nicht sicher sein, ob die Person davon wusste! Der Anbieter kann nicht feststellen, welcher Klasse von Leser benutzt wurde .
Aus Sicht der Anwender:
Kein rechtliches Haftungsrisiko, falls sein nPA durch Schadsoftware auf dem PC missbraucht wurde. Die Authentisierung per eID bedeutet keine Willenserklärung!
Signaturarten
[[Image:]]
(einfache) elektronische Signatur
Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen.
Signaturschlüsselinhaber muss keine natürliche Person sein
Sicherheitsniveau: gering
Beispiele:
- E-Mail Adresse
- Eingescanntes Bild der eigenen Unterschrift
- Organisationssiegel
fortgeschrittene elektronische Signatur
Wie die einfache elektronische Signatur, aber:
- Privater und öffentlicher Schlüssel
- Signatur ist ausschließlich dem Signaturschlüssel-Inhaber zuzuordnen (natürliche Person)
- die Identifizierung des Signaturschlüssel-Inhabers muss ermöglicht sein
- die Mittel zur Erzeugung muss der Signaturschlüssel-Inhaber unter seiner Kontrolle halten
- eine nachträgliche Veränderung der Daten müssen/können erkannt werden
Sicherheitsniveau: mittel
Beispiele: Ausweiskopien, Softwarezertifikat, Chipkarte
qualifizierte elektronische Signatur
Ist das Pendant zur herkömmlichen Unterschrift in der elektronischen Welt. Ermöglicht die langfristige Überprüfbarkeit der Urheberschaft wie z.B. einer E-Mail. Die Signatur beruht auf einem Zeitpunkt der Signaturerzeugung (SSEE) gültigen qualifizierten Zertifikat. Das Zertifikat wird von Zertifierungsdiensteanbietern (ZDA) herausgeben. Der ZDA garantiert Richtigkeit der Angaben gemäß dem SigG. DieBeaufsichtigung durch Bundesnetzagentur (BnetzA).
Der ZDA muss zur Herausgabe von Zertifikaten mind. „angezeigt“ sein.
Sicherheitsniveau: hoch
Der ZDA kann sich zusätzlich bei BnetzA akkreditieren lassen.
Sicherheitsniveau: sehr hoch
Hierzu kann ein Gütezeichen kann erworben werden.
Die QES bietet ein hohes Maß an Rechtssicherheit.
Beispiele:
Chip einer Chipkarte
Gütezeichen
Bundesnetzagentur bietet Anbietern die Möglichkeit, ein Gütezeichen zu erwerben
Akkreditierter Zertifizierungsdiensteanbieter gem. §15 Abs. 1 Satz 3 SigV
Gütezeichen ermöglicht Nachweis über umfassend geprüften technischen und administrativen Sicherheit für seine Dienste
ZDA stellt qualifizierte Zertifikate und Zeitstempel aus
Übersicht der aktuell tätigen ZDAs:
[[Image:]]
Bild 1: Muster-Gütezeichen
Funktionsweise QES
Der Private Schlüssel (Kpriv) wird zur Signaturerzeugung benötigt und muss geheim gehalten werden. Der Öffentliche Schlüssel (Kpub) ist allen Kommunikationspartner bekannt und dient zur Überprüfung der Signatur. Die Veröffentlichung des Kpub erfolgt durch den ZDA. Das Zertifikat hat feste Gültigkeitsdauer. Die Sperrung des Zertifikat durch Schlüsselinhaber möglich. Die
gesperrten Zertifikate werden in einem Verzeichnisdienst des ZDA gespeichert.
[[Image:]]
Sicherheit QES
Hohe Sicherheitsanforderungen schließen eine Fälschung der Signaturen aus. Die fortlaufende Bewertung der kryptografischen Verfahren durch BSI mit Hilfe der Signaturerstellungseinheit (SSEE) (§ 2, Nr. 10 SigG) ermöglicht Speicherung der sicheren Signatur im Chip. Ein umfassendes Sicherheitskonzept zur Sicherstellung der Vertrauenskette erforderlich. Die Aufbewahrungsfristen für Antragsunterlagen liegen bei 30 Jahren.
[[Image:]]
Unterscheidung QES zu eID
eID – Elektronischer Identitätsnachweis | QES – Qualifizierte elektronische Signatur | |
Logik | „Das bin ich“ | „Das habe ich unterschrieben“ |
Anbieter | Staat | Zertifizierungsdiensteanbieter |
Aktivierung | Personalausbehörde | Zertifizierungsdiensteanbieter |
Anzeige | Identität des Diensteanbieters und angeforderte Daten | Zu unterzeichnendes Dokument |
Zugriffsschutz | eID-PIN | Signatur-PIN |
Zweck | à Sicherer Identitätsnachweis | à Rechtsverbindliche elektronische Unterschrift |
Sicherheitsaspekte und Zugriffsberechtigungs-Zertifikate mit selbsterstellten Anwendungen in Zusammenhang mit der „eID-Funktion“
Auslesen der Daten aus dem nPA
Auslesen von Datengruppen und Nutzung der Spezialfunktionen nur bei definierten Sicherheitszustand in der AusweisApp möglich
Sicherheitszustand:
- PIN
- Durchführung der Sicherheitsprotokolle (z.B. PACE s.u.) Terminal- und Chip-Authentisierung
- Gültiger (errechneter, einmaliger) Sitzungsschlüssel
Sicherheitszustand und Sitzungsschlüssel verlieren nach Herunternehmen des nPA sofort die Gültigkeit
Bei jeder Nutzung des nPA muss die PIN erneut eingegeben werden
Sicherheit der Ausweis-App
Software-Komponente, die vom BMI kostenlos zur Verfügung gestellt wird . Sie stellt die sichere Kommunikation zwischen Kartenlesegerät, Ausweischip und einem entfernten eID-Server her
Middelware gem. eCard-API-Framework, s.u.
Die Offenlegung des Quellcodes der AusweisApp ist geplant .
Vertraulichkeit, Fälschungssicherheit und Authentizität der Daten
Werden durch technische Protokolle erreicht
PACE = Password Authenticated Connection Establishment
EAC = Extended Access Control, bestehend aus Terminal- und Chipauthentisierung
Werden durch technische Verfahren erreicht
Sichere Verschlüsselungsverfahren
Auf die technischen Protokolle und Verfahren wird an dieser Stelle nicht weiter eingegangen.
Das eCard-API-Framework
BSI TR-03112
Gemeinsame eCard Strategie der Bundesregierung vom 09.03.2005
Zielrichtung auf verschiedene eCards (d.h. deren Anwendungen):
¨elektronische Gesundheitskarte (eGK)
¨elektronischer Personalausweis (ePA)
¨elektronischer Reisepass (ePass)
¨elektronische Steuererklärung (ELSTER)
¨elektronischer Einkommensnachweis (ELENA)
¨zukünftig auch weitere......
Ziel:
Das Bereitstellen einer einfachen und homogenen Schnittstelle, um in den verschiedenen Anwendungen eine einheitliche Nutzung der unterschiedlichen Chipkarten zu ermöglichen
Das eCard-API-Framework umfasst eine Reihe von einfachen und plattformunabhängigen Schnittstellen
Die Kommunikation zwischen den jeweiligen Anwendung soll vereinheitlicht werden
_________API = „Application program(ming) interface“ - Schnittstelle für Programme
Das eCard-API-Framework
[[Image:]]
Gute Fundstelle:
Kompetenzzentrum Sichere Identität beim Fraunhofer FOKUS
… erforscht, entwickelt und demonstriert sicheres Identitätsmanagement für Wirtschaft und Verwaltung ...
Einsatzmöglichkeiten in Deutschland
E-Commerce
Identitätsnachweis online gegenüber Banken und Finanzdienstleistern
Ablösung des Postident-Verfahren
Online-Banking
Versicherung abschließen
Altersverifikation
E-Government
Identitätsnachweise online gegenüber Behörden und Institutionen
Bürgerdienste
Behördengänge entfallen
An-und Abmeldungen online
Führerschein umschreiben lassen
Online-Registrierung
[[Image:]]
Infoterminals
[[Image:]]
Online-Behördengänge
[[Image:]]
Online-Banking
[[Image:]]
Praktische Umsetzung an einem Beispiel
citeq – Münster
E-Government mit dem nPA:
„Münster stellt erstes Verfahren zur elektronischen Beantragung von Führungszeugnissen online!“ am 17.10.2011
n Fundstelle:
Beantragung eines Führungszeugnisses
Vorher: Beantragung schriftlich oder persönlich im Amt
Heute: Online über das Internet
- Einsatz der eID des nPA
- Erarbeitung eines Online Formulars
- Vorteile: verkürzte Bearbeitungszeiten
- ein Medienbruch, dadurch eine Fehlerquelle weniger
[[Image:]]
Legende
leer = unausgefüllte Felder
grün = Daten aus eID
rot = Daten aus dem Fachverfahren
gelb = Ausfülldialog
blau = von Antragsteller ausgefüllt
DOI = Deutschland Online Infrastructure
Priorisiertes Vorhaben der deutschen Verwaltung zum Datenaustausch im Rahmen der E-Government Initiative „Deutschland Online“
Onlineantrag Punkteauskunft aus dem Zentralregister
Vorher: Beantragung schriftlich oder persönlich im Kraftfahrt- Bundesamt (KBA)
Heute: Seit dem 02. Mai 2011
Einsatz der eID des nPA
Kartenlesegerät und AusweisApp erforderlich
Vorteile: verkürzte Bearbeitungszeiten
Europa
STORK (Secure idenTity acrOss boRders linked)
europäisches Wettbewerbs- und Innovations-Framework
Ziel ist ein europaweites interoperables System zur Nutzung der eID
Zusammenspiel der nationalen elektronischen Identitäten in jedem Mitgliedsstaat nutzen
Fundstelle :
STORK Pilotprojekte
Cross-border Authentication Platform for Electronic Services
Ein Demonstrator, der grenzüberschreitende Dienste darstellt
Teilnehmer: Belgien, Deutschland, Öesterreich, Portugal und EstlandSafer Chat
Förderung der sicheren Nutzung des Internets durch Kinder und Jugendliche
Student Mobility
Das Studieren in anderen Mitgliedsstaaten erleichtern
Electronic Delivery
Grenzüberschreitende sichere Online-Zustellung von Dokumenten
Change of Address
Erleichterung beim Umzug innerhalb der EU
eID wandert mit, Adresse wird automatisch geändert
Einsatzmöglichkeiten des nPA außerhalb Deutschlands
Außerhalb Europas
Estland
Herausgabe 2002
Chipkarte ermöglicht rechtskräftige Verträge mit digitaler Signatur
Dient ebenso als Nachweis der Krankenversicherung
Kann auch im ÖPNV als Fahrkarte genutzt werden
Ersetzt nicht für alle Länder den Reisepass
Ab 18 Jahre für 10 Jahre gültig
[[Image:]]
Vereinigte Staaten (USA)
Kein Personalausweis im eigentlichen Sinne
Führerschein als Ersatz (ID-Card)
Identifikation durch Social Security Card bzw. Sozialversicherungsnummer
Keine Identifikation anhand eines Fotos oder ähnliches möglich à Vertrauensbasis
Seit 2008 existiert neben dem Reisepass auch eine Passport Card
[[Image:]]
China
Herausgabe am 21. Dezember 2005
Vorderseite
Name
Foto
Geschlecht
Geburts- und Ausstellungsdatum und Ausweisnummer
Rückseite
Name des Vaters, Mutter und des Ehepartners sowie wenn vorhanden Rang in der Armee
Geburtsort
Sicherheitsmerkmal
Laminierte Papierkarte mit Hologramm und Barcode
Die Bedeutung des nPA für das Thema E-Government
Zusammenfassung
Verbesserte Sicherheit bei der Inhaber-Identifikation
Speichert biometrische Merkmale (digitales Bild, optional: zwei Fingerabdrücke)
Online einsetzbar, ohne Medienbruch
Eindeutige und sichere Identifikation im Internet
Zielbereiche: E-Government und E-Business
Bei Bedarf: qualifizierte elektronische Signatur (QES) auf nPA
Anonyme Transaktionen möglich, z.B. Altersverifikation
Definierte Anwendungsschnittstelle (eCard-API)
Berechtigungszertifikate erhöhen die Sicherheit bei Transaktionen (gegenseitiger Identitäts-nachweis)
Das Berechtigungszertifikat trägt zur Datensparsamkeit bei, da bei Beantragung der genaue Zweck des Einsatzes (Erforderlichkeit) und der Umfang der Daten bekannt sein müssen
Keine Datenübermittlung außerhalb des Berechtigungszertifikates
Vergabe der Zertifikate gesetzlich geregelt und in hoheitlicher Hand beim BVA
Möglichkeit der Sperrung der Zertifikate (Sperrliste)/Online-Funktion
Schwachstelle Zertifikate (Sichere zentrale Infrastruktur im RZ)
Schwachstelle der eigene PC
Stichwort: Schadsoftware
Zukünftig haben alle Bürger den nPA, die Aktivierung der Online-Möglichkeiten ist optional
Erhöhung der Sicherheit durch Besitz (nPA) und Wissen (PIN) Ausnahme: Hoheitliche Abfrage (z.B. Polizei), keine PIN Abfrage
Verschlüsselte Datenübertragung im Internet
Sperrliste für verlorene nPA, auch Online abfragbar
Änderung der PIN durch den Inhaber möglich
Zusätzlicher Aufwand für den Inhaber: bei Online-Nutzung muss eine Lesegerät angeschafft werden
Spontane Nutzung von Diensten (auch E-Government) möglich, keine vorherige Registrierung
Fazit
Grundsätzliche Voraussetzung für ein E-Government sind viele Aspekte:
- Datensicherheit / Datensparsamkeit
- Sicherheit / Vertrauen
- Durchdringung / Anwendungen
Aber ohne den nPA geht es „überhaupt nicht“
Durchbruch der „Qualifizierten elektronischen Signatur“
Erstes Signatur-Gesetz: 16.05.2001
Fazit
Akzeptanz der Bürger / Bequemlichkeit
Bisher ohne eID:
Zugang durch einfach Passwörter, die im Browser hinterlegt werden können
Mit der eID:
- Ausweis aus der Brieftasche nehmen und auf den Leser legen
- Durchklicken der Bildschirme
- Eingabe der PIN
- E-Government muss dem Bürger Vorteile bieten
Gewinnt der nPA nicht weiter an Akzeptanz kann E-Government kein Erfolgsmodell werden
E-Government hängt von der Durchdringung des nPA im Deutschland ab
Quellenangabe
[[Image:]]