nPA - Seminar 01916

Der Elektronische Personalausweis

Gliederung

1. Grundlagen zum nPA

1.1 Einführung

1.2 Rechtliche Grundlagen

1.3 Technische Grundlagen

2. Sicherheitsaspekte

2.1 Die eID-Funktion des nPA

2.2 Signaturarten

2.3 Unterschiede „Qualifizierte elektronische Signatur zu eID-Funktion“

2.4 Sicherheitsaspekte und Zugriffsberechtigungs-Zertifikate mit selbsterstellten Anwendungen in Zusammenhang der eID-Funktion

3. Einsatzmöglichkeiten des nPA in Deutschland

1. 1. Grundsätzliche Überlegungen
   2. Praktische Umsetzung an Beispielen

4. Einsatz des nPA außerhalb Deutschlands

4.1 Europa - Projekt STORK

4.2 Andere Länder außerhalb Europas

5. Bedeutung des nPA für das Thema E-Government

5.2 Zusammenfassung

1. 1. Fazit

Einführung

1938 wurde die Kennkarte als ein Vorläufer des heutigen Personalausweises eingeführt. Mit dem Beginn des 2. Weltkrieges führten die Nationalsozialisten den Ausweiszwang ein. Nach Ende des Krieges wurde 1951 in der Bundesrepublik und West-Berlin der Personalausweis in Form eines Passbuches im sogenannten ID-2-Format (74x105 mm) ausgegeben.

[[Image:]]1938: Kennkarte als Vorläufer

Nach Ende des Krieges wurde 1951 in der Bundesrepublik und West-Berlin der Personalausweis in Form eines Passbuches im sogenannten ID-2-Format (74x105 mm) ausgegeben.

[[Image:]]01. Januar 1951: Bundesrepublik Deutschland führt Personalausweis als Passbuch (ID-2-Format (74x105 mm)) ein .

Am 01. April 1987 wurde der kunststofflaminierte und fälschungssichere Personalausweis eingeführt, ebenfalls im ID-2-Format. Erstmals wurde hierfür eine Gebühr i.H.v. 10 DM fällig. Am 01. November 2001 wurde zur Verbesserung der Sicherheit ein holografisches Sicherheitsmerkmal, das sogenannte „Identigram“ auf den Ausweis gebracht. Am 09.Januar 2002 wurde durch eine Gesetzesänderung, die Verwendung biometrischer Daten ermöglicht, als Folge der Anschläge in dem New York vom 11.September 2001.

[[Image:]]01. Januar 1987: Ausgabe des fälschungssicheren Ausweises mit 'Identigram'

Seit dem 01.11.2010 ist jetzt der neue Personalausweis im ID-1-Format d.h. in Scheckkartengröße (85,6x53,9 mm)) mit einem RFID-Chip auf der Vorderseite im Umlauf. Dadurch werden Online-Dienstleistungen und Geschäfte im Internet (E-Commerce) ermöglicht.

[[Image:]]01. November 2010: Einführung des neuen elektronischen Personalausweises (ID-1-Format (85,6x53,9 mm))

Was ist neu?

Der neue Personalausweis vereint die Sichtfunktionen des herkömmlichen Ausweises mit drei neuen elektronischen Funktionen.

1. Die Biometriefunktion: Sie ermöglicht es bestimmten berechtigten Behörden, etwa der Polizei, das auf dem RFID-Chip des Ausweises gespeicherte Lichtbild des Ausweisinhabers auszulesen. Auf Wunsch des Ausweisinhabers können auch zwei Fingerabdrücke elektronisch gespeichert werden.

2. Der Elektronische Identitätsnachweis, die sogenannte eID-Funktion mit der es möglich sein soll, sich im Internet fortan sicher auszuweisen. Mittels eines speziellen Ausweislesegeräts, das am Computer des Ausweisinhabers angeschlossen sein muss, kann einer 6-stelligen PIN und einer Software der sogenannten "Ausweisapp" kann der Ausweisinhaber z.B. bei Online-Shops, Banken oder auch bei Behörden mit den notwendigen Daten legitimieren.

3. Durch eine qualifizierte elektronische Signatur (QES) im Sinne des § 126a BGB wird es dem Bürger ermöglicht eine virtuelle Unterschrift zu leisten, die der eigenhändigen Unterschrift rechtlich annähernd gleich gestellt ist. Dafür muss der Nutzer ein spezielles Signaturzertifikat erwerben und auf seinen Ausweis laden. Weitere Informationen folgen später in der Präsentation.

[[Image:]]

Einführung

Daten auf dem Ausweis

Wie bereits erwähnt bietet der neue Personalausweis, wie auch schon der alte Ausweis, einen Sichtausweis, auf dem einige Daten des Personalausweisinhabers lesbar aufgedruckt sind.

Dazu gehören:

• Familienname und Geburtsname
• Vornamen
• Doktorgrad
• Tag und Ort der Geburt
• Lichtbild
• Unterschrift
• Körpergröße
• Augenfarbe
• Anschrift, bei Anschrift im Ausland die Angabe „keine Hauptwohnung in Deutschland“
• Staatsangehörigkeit
• Seriennummer

[[Image:]]Einführung

Wie auf dem bisherigen Personalausweis sind auf dem neuen Ausweisdokument die folgenden Angaben sichtbar aufgebracht:

• Familienname und Geburtsname
• Vornamen
• Doktorgrad
• Tag und Ort der Geburt
• Lichtbild
• Unterschrift
• Körpergröße
• Augenfarbe
• Anschrift, bei Anschrift im Ausland die Angabe „keine Hauptwohnung in Deutschland“
• Staatsangehörigkeit
• Seriennummer

Im Vergleich zum alten Ausweis sind zusätzlich zwei neue Angaben auf dem Ausweis sichtbar:

• Postleitzahl
• Ordens- oder Künstlername
  

Außerdem ist auf der Vorderseite eine neue Nummer aufgebracht.

Diese 6-stellige Zugangsnummer lässt keine Rückschlüsse auf die Person zu und wird benötigt, wenn die PIN versehentlich zweimal falsch eingegeben wurde .

Allgemein

• Gültigkeitsdauer 10 Jahre

Vor Vollendung des 24. Lebensjahres 6 Jahre

• Gebühr beträgt 28,80 € im Inland / Alte Ausweis kostete 8 €
• Betragung im Ausland möglich

Kosten erhöhen sich auf 30 €

• Nachträgliches Einschalten der eID (Online-Ausweisfunktion) sowie Ändern der PIN und Entsperrung der eID im Bürgeramt für 6 €
• Keine Umtauschpflicht für die alten Ausweise

Gültigkeit bis Ablaufdatum

Hoheitliche Funktionen

Der nPA ist als Ersatz für den Reisepass in der EU nutzbar . Die Unterscheidung zu ePass durch freiwillige Speicherung der Fingerabdrücke, beim ePass ist verpflichtend.

Das Auslesen der Information des nPA durch Behörden nur in Verbindung mit hoheitlichen Berechtigungszertifikaten möglich unter Verwendung der MRZ (Zugangsnummer).

Berechtigung zum Auslesen durch:

• Polizeibehörden
• Zollverwaltung
• Pass-, Personal- und Meldebehörden
  

Die Passbehörden dürfen z.B. auch eID-Funktion ein-/ausschalten.

Nicht hoheitliche Funktionen

eID-Funktion

Liefert den gleichen Identitätsnachweis wie es die Funktion als Sichtdokument außerhalb des Internets . Der Nutzer hat die Möglichkeit, sich gegenüber Dritten (Behörde oder privater Dritter) eindeutig und authentisch auszuweisen .

¨AusweisApp

¨Client kann im Internet die eID-Funktion nutzen

Rechtliche Grundlagen

Gesetz über Personalausweise und den elektronischen Identitätsnachweis (PAuswG)

Änderungen zum Passgesetz

Melderechtsrahmengesetz

Signaturverordnung

Geldwäschegesetz

Personalausweisverordnung (PAuswV)

Verwaltungsverfahrensgesetz (VwVfG)

Technische Richtlinien und Schutzprofile des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Personalausweisgesetz (PAauswG)

Entwurf der Bundesregierung am 23.07.2008

Beschluss des Bundestages am 18.12.2008, Bundesrates am 13.02.2009

Veröffentlichung am 24.06.2009, Inkrafttreten am 01.11.2010

¨Ausweispflicht (§ 1)

Jeder Deutsche ab 16 Jahre, unter 16 auf Antrag

Gültigkeit 10 Jahre oder 6 Jahre (unter 24 Jahre)

Elektronischer Identitätsnachweis (§ 18) (1)

Nachweis der Identität gegenüber öffentlichen & nichtöffentlichen Stellen

Nur unter Berücksichtigung u.a. des §3a Verwaltungsverfahrensgesetzes 

(2): Übermittlung der Daten unter Berücksichtigung des Datenschutzes und -sicherheit zur Gewährleistung der Vertraulichkeit und Unversehrtheit der Daten

Personalausweisverordnung (PAauswV)

Entwurf der Bundesregierung am 22.04.2010

Beschluß des Bundesrates am 04.06.2010, Inkrafttreten am 01.11.2011

Biometriegestützen Identitätsnachweis für E-Government & E-Buisness

¨Technische Richtlinien (§ 2)

Speicherung des Lichtbildes, Fingerabdrücke, Vorgaben durch BSI

¨Speicherung von personenbezogenen Daten, Zugriffschutz (§ 14)

Übermittlung von personenbezogenen Daten durch Berechtigungszertifikate

Geheimnummer als zusätzliches Authentisierungsmerkmal

¨Ausgabe von hoheitlichen Berechtigungszertifikaten (§ 36)

BMI legt ausgebende Behörde fest, Veröffentlichung im elektronischen Bundesanzeiger

Verwaltungsverfahrensgesetz (VwVfG)

Entwurf der Bundesregierung 25. Mai 1976, Inkrafttreten 01.01.1977

Änderung des Art. 3a 14. August 2009

¨§ 3a Elektronische Kommunikation

(1) Die Übermittlung elektronischer Dokumente ist zulässig, soweit der Empfänger hierfür einen Zugang eröffnet.

(2) Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist, durch die elektronische Form ersetzt werden. In diesem Fall ist das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz zu versehen. Die Signierung mit einem Pseudonym, das die Identifizierung der Person des Signaturschlüsselinhabers nicht ermöglicht, ist nicht zulässig.

(3) Ist ein der Behörde übermitteltes elektronisches Dokument für sie zur Bearbeitung nicht geeignet, teilt sie dies dem Absender unter Angabe der für sie geltenden technischen Rahmenbedingungen unverzüglich mit. Macht ein Empfänger geltend, er könne das von der Behörde übermittelte elektronische Dokument nicht bearbeiten, hat sie es ihm erneut in einem geeigneten elektronischen Format oder als Schriftstück zu übermitteln.

Technische Richtlinien

Das BSI gibt technische Richtlinien (BSI TR) heraus und definiert IT-Sicherheitsstandards

Aufbau und Absicherung von IT-Systemen

Ergänzung zu Prüfvorschriften des BSI und liefert u.a. Methoden zu Konformitätsprüfungen

Berücksichtigung der intern. Standards nach Common Criteria

Die Richtlinien haben nur Empfehlungscharakter.

Beispiele:

• BSI TR-03112 Das e-Card API-Framework
• BSI TR-03116-2 eCard-Projekte der Bundesregierung
• BSI TR-03130 eID-Server
• BSI TR-03121 Biometrie in hoheitlichen Anwendungen
• BSI TR-03119 Anforderungen an Chipkartenleser mit nPA Unterstützung

Technische Grundlagen

Der nPA (elektronische ID Card) hat Scheckkartenformat. Zusätzlich enthält der nPA einen kontaktlosen integrierten Chip zur Speicherung persönlicher und biometrischer Daten (RFID) .

Die Speicherung von Fingerabdrücken (zwei Stück) ist optional und kann mehr Identitätsschutz bieten (Biometrie). Der nPA gilt auch als besonders fälschungssicher und besitzt 23 Sicherheits-merkmale .

[[Image:]]

Weitere Anmerkungen zu „RFID“

RFID = Radio Frequency Identication

RFID Modul besteht aus Antenne und Steuereinheit

Passive RFID Transponder (auf dem nPA) besitzen keine eigene Energiequelle und versorgen sich aus den Funksignalen des Abfragegerätes

Reichweite (typisch): wenige Zentimeter / bis 1 Meter denkbar

Persönliche Daten können mit jedem geeigneten Lesegerät mit entsprechenden Berechtigungszertifikat ausgelesen werden

Vor dem Auslesen muss der Ausweisinhaber eine 6-stellige PIN eingeben Ausnahme: keine PIN bei hoheitlichen Abfragen (Polizei, etc.)

Schwachstelle: Lesegeräte ohne eigene Tastatur (Basis-Leser)

Empfehlung aus Sicht des Datenschutzes:

Der Ausweisinhaber kann den Datenaustausch durch eine „RFID-Schutzhülle“ wirkungsvoll verhindern .

Berechtigungszertifikat

[[Image:]]

Berechtigungszertifikate

Das BVA übernimmt die Aufgabe der Registrierungsstelle und es entscheidet über die Erteilung und Aufhebung der Zertifikate. Die technische Bereitstellung der Berechtigungszertifikate übernimmt ein Zertifikateanbieter (BerCA). BerCA ist akkreditiert nach Signaturgesetz und Signaturver-ordnung.

Aktuelle Anbieter:

D-Trust GmbH (Bundesdruckerei)

Signtrust (Deutsche Post)

T-Systems (Deutsche Telekom AG)

Berechtigungszertifikate

Aktuelle Liste: Die PDF-Datei wird jede Nacht um 3:00:01 Uhr (4:00:01 Uhr / Sommerzeit) neu erstellt, unabhängig davon ob es Änderungen gab oder nicht, d.h., dass Erstellungsdatum gibt keine Auskunft über den Stand der Datenerhebung.

Fundstelle:

http://gsb.download.bva.bund.de/VfB/npavfb.pdf

Kontakt:

Bundesverwaltungsamt (BVA)Vergabestelle für Berechtigungszertifikate

Telefon: 0 22 8 99/3 58-33 00

E-Mail: npa@bva.bund.deHomepage: http://www.bva.bund.de/vfb

Technische Infrastruktur

Sichere Infrastruktur über PKI (Public Key Infrastructure)

Die Root-CA liegt beim BSI . Mögliche eID-Server für Diensteanbieter (mit Berechtigungs-zertifikat).

Eigene Entwicklung (TRs des BSI beachten)

Nutzung eines eID-Servers

Nutzung eins eID-Services

Listen mit eID Servern und eID Services beim Kompetenzcenter nPA:

http://www.ccepa.de/eid-server-anbieter

http://www.ccepa.de/eid-service-anbieter

Technische Infrastruktur

Welches Risiko besteht bei der Benutzung der eID?

Problem Zertifizierungsstellen: z.B. DigiNotar in NL

Siehe Themenseite bei heise: 

http://www.heise.de/firma/DigiNotar

Titel (Auszug)

Über 500 Zertifikate: Ausmaß des CA-Hacks schlimmer als erwartet

Niederländische Regierung übernimmt Kontrolle über DigiNotar

DigiNotar-Hack: Kritische Infrastruktur war unzureichend geschützt

Aufsichtsbehörde untersagt DigiNotar das Ausstellen qualifizierte Zertifikate

DigiNotar wird liquidiert

EU-Behörde für IT-Sicherheit kritisiert Zertifizierungsstellen

(Enisa: Securing Europe's Information Society)

Technische Grundlagen

[[Image:]]

Die eID-Funktion des nPA

Funktionsweise der eID im Online-Verfahren

Muss im nPA freigeschaltet werden (Optional)

Gibt im Internet Antwort auf die Frage „wer bin ich“

Weiter Online Ausweisfunktion (neben der QES)

Alters und Wohnortbestätigung

Pseudonymer Zugang (s.U.)

Technische Richtlinie des BSI

BSI TR-03130 eID-Server

Fundstelle (ca. 21 TR mit ca. 55 Dokumenten)

https://www.bsi.bund.de/DE/Themen/ElektronischeAusweise/TRundSchutzprofile/trundschutzprofile_node.html

Die Funktionsweise des eID-Verfahrens

[[Image:]]

So könnte eine Online-Transaktion mit dem nPA aussehen

Ein Internetbenutzer besucht eine Webseite und soll sich ausweisen

Der Internetbenutzer (Ausweisinhaber) legt seinen Ausweis auf den Kartenleser

Der Dienstanbieter schickt sein Berechtigungszertifikat zur AusweisApp auf den PC des Internetbenutzers

Der Internetnutzer sieht:

• Auslesezweck
• Kontaktdaten des Zertifikatsinhabers
• Kontaktdaten der zuständigen Datenschutzbehörde

So könnte eine Online-Transaktion mit dem nPA aussehen

Ein Internetbenutzer kann über die AusweisApp bestimmte Datenfelder ankreuzen:

Anrede

Name

Adresse

Der Internetnutzer kann auch gezielt Daten „abwählen“

Zur endgültigen Datenfreigabe ist die Eingabe der 6-stelligen PIN erforderlich

Eingabe über Tatstatur am PC (gilt als unsicher) oder

Direkte Eingabe über das Tastenfeld des Komfortlesers

Danach wird der Kommunikationskanal aufgebaut

Ad hoc-Zertifikat (auch Kurzzertifikat genannt) für den nPA

Unter Ad Hoc-Zertifikaten, werden Zertifikate verstanden die innerhalb weniger Minuten für das virtuellen Unterschreiben zur Verfügung zu stellen, dem Nutzer zur Verfügung stehen. Die Bundesdruckerei, das Land Hessen und SAP habe die technische Realisierung des Nachlade-prozesses auf den neuen Personalausweis (nPA) erprobt und auf der CeBIT 2011 vorgeführt.

Im Rahmen einer Gewerbeanmeldung ist es möglich, innerhalb des Antragsprozesses ein entsprechendes Zertifikat für die elektronische Signatur auf den neuen Personalausweis (nPA) zu laden und dann mit diesem umgehend online zu unterschreiben.

Ad hoc-Zertifikat (auch Kurzzertifikat genannt) für den nPA

Für die Anwender bringen diese Ad Hoc-Zertifikate den Vorteil das entsprechende Zertifikat umgehend nutzen zu können (ohne Zeitverlust), weiterhin wird der Aufwand ein Zertifikat zu erwerben deutlich minimiert und für Nutzer wie Dienstanbieter wird ein Medienbruch freier Status erreicht .

Aktuell werten die Projektpartner die positiven Erfahrungen und konkretisieren aktuell die Pläne für die Überführung in den Echtbetrieb .

Weitere Informationen sind in einer Präsentation mit dem Titel "Die schnelle elektronische Signatur mit Ad Hoc-Zertifikaten" von Enrico Entschew zu finden, welche am 23. September 2011 gehalten wurde .

Fundstelle: http://www.teletrust.de/uploadsmedia/

Ein Pseudonym verwenden

TMG: §13 (6) Pflichten des Diensteanbieters: „Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.“

Datensparsamkeit: Wenn z.B. nur eine Altersverifizierung nötig ist, sollen zusätzlich keine anderen (für den Zweck unnötigen) Daten erhoben werden

Der neue Personalausweis verbindet die Pseudo-Anonymität mit meinen gesicherten Identitäten

Wie genau geht die Pseudo-Anonymität beim nPA?

Der nPA bietet die Möglichkeit sich mit einem Pseudonym bei einem Onlinedienst anzumelden .

Der nPA stellt dabei sicher, das der Inhaber jederzeit vom Dienst wiedererkannt wird, ohne dass der Dienstanbieter jemals die Identität des Inhabers den nPA erfährt . Dazu wird eine lange Zeichenfolge erzeugt, in deren Berechnung der geheime Schlüssel des nPA und der öffentliche Schlüssel des Dienstanbieters einfließen . Jeder Dienstanbieter erhält vom gleichen Ausweisinhaber ein anderes Pseudonym, somit wird ein Abgleich unmöglich.

Problem Sperrlisten

Auch die Sperrliste soll keine Rückschlüsse auf den Inhaber des Pseudonyms zulassen

Wird der nPA gesperrt, soll auch das Pseudonym ungültig werden

Lösung: nPA erzeugt zusätzlich zum eigentlichen Pseudonym noch eine Sperrkennung

In die Berechnung der Sperrkennung fließt das Zertifikat des Dienstanbieters ein

Der öffentliche Teil der Sperrkennung wird beim Sperrdienst hinterlegt . Der Sperrdienst führt eine globale Liste mit den Sperrkennungen ungültiger nPA . Die Berechtigungs-CA errechnet daraus und mit den Zertifikaten der Dienstanbieter sog. dienst-spezifische Sperrlisten ohne Personenbezug.

Die verschiedenen Klassen von Kartenlesern

Basis

keine eigene Tastatur und kein Display

BSI Siegel

Sicherheitsklasse 1

Standard

mit Tastatur und Display

bei der Nutzung der eID Funktion werden vor dem Datenzugriff die Berechtigungen und Berechtigten im Display an

BSI Siegel

Sicherheitsklasse 3

Comfort

Wie Standard, jedoch mit der Möglichkeit der QES

Sicherheitsklasse 4 mit integriertem Sicherheitsmodul

Die eID-Funktion des nPA

[[Image:]]

Die verschiedenen Sicherheitsklassen

ZKA (seit August 2011: DK – Deutsche Kreditwirtschaft)

ZKA ist die Abkürzung für Zentraler Kreditausschuss. Es ist ein Gremium der deutschen Banken, das u.a. Normen für den Datenaustausch beim Homebanking definiert hat.

Die Sicherheitsklassen

Die Sicherheitsklassen des ZKA geben bei Chipkartenlesern an, welchen Grad der Sicherheit die Geräte bei der Datenübertragung bieten.

Die verschiedenen Sicherheitsklassen

Klasse 1

Keine eigene Tastatur, Daten bei der Eingabe des Benutzers auf dem Weg zur Chipkarte über den PC ausgespäht werden

Keylogger-Angriff möglich

Klasse 2

Eigene Tastatur, Daten gehen nicht über den PC zur Chipkarte

Klasse 3

Wie Klasse 2, jedoch zwingend mit Display

Einfache Kontrolle durch den Anwender möglich

Klasse 4

Wie Klasse 3, jedoch zusätzlich mit Sicherheitsmodul RSA (asym. Verschlüsselung)

Kartenleser kann durch eigene Signatur als Klasse 4 vom Partner identifiziert werden

IT-Investprogramm der Bundesregierung

Aus dem Konjunkturpaket II wurden bis zu 24 Mio. € bereitgestellt

Ziel: die Privathaushalte mit Lesegeräten zu versorgen

Die Sicherheit im Umgang mit dem nPA zu verbessern

Ausgabe von ca. 1,5 Mio IT-Sicherheitskits mit Förderung soll Ende 2011 auslaufen

Basislesegeräte kostenlos (z.B. über die KKH)

Subventionierte Lesegeräte z.B. bei Amazon

Die AusweisApp

Fundstelle: https://www.ausweisapp.de

Hier gibt es eine Liste mit den verschiedenen Lesegeräten mit Bewertung

Hier kann auch die AusweisApp geladen werden

Hier werden die wichtigsten Fragen beantwortet

Die AusweisApp unterstützt die nachfolgend genannten Betriebssysteme:

• Windows XP, Vista 7 mit 32Bit / 64Bit
• Ubuntu 10.04 /10.10 / 11.04 mit 32Bit
• Debian 5.0 / 6.0 mit 32Bit
• OpenSUSE 11.3 / 11.4 / 12.1 mit 32Bit
• Mac OS 10.6 und 10.7 sollen noch dieses Jahr erscheinen

Die App stellt eine verschlüsselte Verbindung zwischen dem nPA (über den Ausweisleser) und der Gegenseite (eID-Server) her

Im Hintergrund werden von der App Zertifikats- und Authentizitäts-prüfungen vorgenommen

Bietet dem Bürger an seinem PC eine Oberfläche zur Nutzung des nPA

Der Bürger kann im Internet

• sich ausweisen
• elektronisch unterschreiben

Wurde im Auftrag des BMI von Siemens IT-Solutions entwickelt

Zusammen mit der Bundesdruckerei und Open Limit SignCubes AG

Risiko in Zusammenhang mit der eID

Aus Sicht des Dienstanbieters:

Der Dienstanbieter kann sicher sein, dass der echte nPA mit der darauf angegebenen Person im Leser steckt. Er kann sich aber nicht sicher sein, ob die Person davon wusste! Der Anbieter kann nicht feststellen, welcher Klasse von Leser benutzt wurde .

Aus Sicht der Anwender:

Kein rechtliches Haftungsrisiko, falls sein nPA durch Schadsoftware auf dem PC missbraucht wurde. Die Authentisierung per eID bedeutet keine Willenserklärung!

Signaturarten

[[Image:]]

(einfache) elektronische Signatur

Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen.

Signaturschlüsselinhaber muss keine natürliche Person sein

Sicherheitsniveau: gering

Beispiele:

• E-Mail Adresse
• Eingescanntes Bild der eigenen Unterschrift
• Organisationssiegel
  

fortgeschrittene elektronische Signatur

Wie die einfache elektronische Signatur, aber:

• Privater und öffentlicher Schlüssel
• Signatur ist ausschließlich dem Signaturschlüssel-Inhaber zuzuordnen (natürliche Person)
• die Identifizierung des Signaturschlüssel-Inhabers muss ermöglicht sein
• die Mittel zur Erzeugung muss der Signaturschlüssel-Inhaber unter seiner Kontrolle halten
• eine nachträgliche Veränderung der Daten müssen/können erkannt werden

Sicherheitsniveau: mittel

Beispiele: Ausweiskopien, Softwarezertifikat, Chipkarte

qualifizierte elektronische Signatur

Ist das Pendant zur herkömmlichen Unterschrift in der elektronischen Welt. Ermöglicht die langfristige Überprüfbarkeit der Urheberschaft wie z.B. einer E-Mail. Die Signatur beruht auf einem Zeitpunkt der Signaturerzeugung (SSEE) gültigen qualifizierten Zertifikat. Das Zertifikat wird von Zertifierungsdiensteanbietern (ZDA) herausgeben. Der ZDA garantiert Richtigkeit der Angaben gemäß dem SigG. DieBeaufsichtigung durch Bundesnetzagentur (BnetzA).

Der ZDA muss zur Herausgabe von Zertifikaten mind. „angezeigt“ sein.

Sicherheitsniveau: hoch

Der ZDA kann sich zusätzlich bei BnetzA akkreditieren lassen.

Sicherheitsniveau: sehr hoch

Hierzu kann ein Gütezeichen kann erworben werden.

Die QES bietet ein hohes Maß an Rechtssicherheit.

Beispiele:

Chip einer Chipkarte

Gütezeichen

Bundesnetzagentur bietet Anbietern die Möglichkeit, ein Gütezeichen zu erwerben

Akkreditierter Zertifizierungsdiensteanbieter gem. §15 Abs. 1 Satz 3 SigV

Gütezeichen ermöglicht Nachweis über umfassend geprüften technischen und administrativen Sicherheit für seine Dienste

ZDA stellt qualifizierte Zertifikate und Zeitstempel aus

Übersicht der aktuell tätigen ZDAs:

http://www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/QES/Veroeffentlichungen/Zertifizierungsdiensteanbieter

[[Image:]]

Bild 1: Muster-Gütezeichen

Funktionsweise QES 

Der Private Schlüssel (Kpriv) wird zur Signaturerzeugung benötigt und muss geheim gehalten werden. Der Öffentliche Schlüssel (Kpub) ist allen Kommunikationspartner bekannt und dient zur Überprüfung der Signatur. Die Veröffentlichung des Kpub erfolgt durch den ZDA. Das Zertifikat hat feste Gültigkeitsdauer. Die Sperrung des Zertifikat durch Schlüsselinhaber möglich. Die

gesperrten Zertifikate werden in einem Verzeichnisdienst des ZDA gespeichert.

[[Image:]]

Sicherheit QES

Hohe Sicherheitsanforderungen schließen eine Fälschung der Signaturen aus. Die fortlaufende Bewertung der kryptografischen Verfahren durch BSI mit Hilfe der Signaturerstellungseinheit (SSEE) (§ 2, Nr. 10 SigG) ermöglicht Speicherung der sicheren Signatur im Chip. Ein umfassendes Sicherheitskonzept zur Sicherstellung der Vertrauenskette erforderlich. Die Aufbewahrungsfristen für Antragsunterlagen liegen bei 30 Jahren.

[[Image:]]

Unterscheidung QES zu eID

	eID – Elektronischer Identitätsnachweis	QES – Qualifizierte elektronische Signatur
Logik	„Das bin ich“	„Das habe ich unterschrieben“
Anbieter	Staat	Zertifizierungsdiensteanbieter
Aktivierung	Personalausbehörde	Zertifizierungsdiensteanbieter
Anzeige	Identität des Diensteanbieters und angeforderte Daten	Zu unterzeichnendes Dokument
Zugriffsschutz	eID-PIN	Signatur-PIN
Zweck	à Sicherer Identitätsnachweis	à Rechtsverbindliche elektronische Unterschrift

Sicherheitsaspekte und Zugriffsberechtigungs-Zertifikate mit selbsterstellten Anwendungen in Zusammenhang mit der „eID-Funktion“

Auslesen der Daten aus dem nPA

Auslesen von Datengruppen und Nutzung der Spezialfunktionen nur bei definierten Sicherheitszustand in der AusweisApp möglich

Sicherheitszustand:

• PIN
• Durchführung der Sicherheitsprotokolle (z.B. PACE s.u.) Terminal- und Chip-Authentisierung
• Gültiger (errechneter, einmaliger) Sitzungsschlüssel

Sicherheitszustand und Sitzungsschlüssel verlieren nach Herunternehmen des nPA sofort die Gültigkeit

Bei jeder Nutzung des nPA muss die PIN erneut eingegeben werden

Sicherheit der Ausweis-App

Software-Komponente, die vom BMI kostenlos zur Verfügung gestellt wird . Sie stellt die sichere Kommunikation zwischen Kartenlesegerät, Ausweischip und einem entfernten eID-Server her

Middelware gem. eCard-API-Framework, s.u.

Die Offenlegung des Quellcodes der AusweisApp ist geplant .

Vertraulichkeit, Fälschungssicherheit und Authentizität der Daten

Werden durch technische Protokolle erreicht

PACE = Password Authenticated Connection Establishment

EAC = Extended Access Control, bestehend aus Terminal- und Chipauthentisierung

Werden durch technische Verfahren erreicht

Sichere Verschlüsselungsverfahren

Auf die technischen Protokolle und Verfahren wird an dieser Stelle nicht weiter eingegangen.

Das eCard-API-Framework

BSI TR-03112

Gemeinsame eCard Strategie der Bundesregierung vom 09.03.2005

Zielrichtung auf verschiedene eCards (d.h. deren Anwendungen):

¨elektronische Gesundheitskarte (eGK)

¨elektronischer Personalausweis (ePA)

¨elektronischer Reisepass (ePass)

¨elektronische Steuererklärung (ELSTER)

¨elektronischer Einkommensnachweis (ELENA)

¨zukünftig auch weitere......

Ziel:

Das Bereitstellen einer einfachen und homogenen Schnittstelle, um in den verschiedenen Anwendungen eine einheitliche Nutzung der unterschiedlichen Chipkarten zu ermöglichen

Das eCard-API-Framework umfasst eine Reihe von einfachen und plattformunabhängigen Schnittstellen

Die Kommunikation zwischen den jeweiligen Anwendung soll vereinheitlicht werden

_________API = „Application program(ming) interface“ - Schnittstelle für Programme

Das eCard-API-Framework

[[Image:]]

Gute Fundstelle:

Kompetenzzentrum Sichere Identität beim Fraunhofer FOKUS

http://cc-identitaet.de

… erforscht, entwickelt und demonstriert sicheres Identitätsmanagement für Wirtschaft und Verwaltung ...

Einsatzmöglichkeiten in Deutschland

E-Commerce

Identitätsnachweis online gegenüber Banken und Finanzdienstleistern

Ablösung des Postident-Verfahren

Online-Banking

Versicherung abschließen

Altersverifikation

E-Government

Identitätsnachweise online gegenüber Behörden und Institutionen

Bürgerdienste

Behördengänge entfallen

An-und Abmeldungen online

Führerschein umschreiben lassen

Online-Registrierung

[[Image:]]

Infoterminals

[[Image:]]

Online-Behördengänge

[[Image:]]

Online-Banking

[[Image:]]

Praktische Umsetzung an einem Beispiel

citeq – Münster

E-Government mit dem nPA:

„Münster stellt erstes Verfahren zur elektronischen Beantragung von Führungszeugnissen online!“ am 17.10.2011

n Fundstelle:

¨http://www.citeq.de

Beantragung eines Führungszeugnisses

Vorher: Beantragung schriftlich oder persönlich im Amt

Heute: Online über das Internet

• Einsatz der eID des nPA
• Erarbeitung eines Online Formulars
• Vorteile: verkürzte Bearbeitungszeiten
• ein Medienbruch, dadurch eine Fehlerquelle weniger

[[Image:]]

Legende

leer = unausgefüllte Felder

grün = Daten aus eID

rot = Daten aus dem Fachverfahren

gelb = Ausfülldialog

blau = von Antragsteller ausgefüllt

DOI = Deutschland Online Infrastructure

Priorisiertes Vorhaben der deutschen Verwaltung zum Datenaustausch im Rahmen der E-Government Initiative „Deutschland Online“

Onlineantrag Punkteauskunft aus dem Zentralregister

Vorher: Beantragung schriftlich oder persönlich im Kraftfahrt- Bundesamt (KBA)

Heute: Seit dem 02. Mai 2011

Einsatz der eID des nPA

Kartenlesegerät und AusweisApp erforderlich

Vorteile: verkürzte Bearbeitungszeiten

Europa

STORK (Secure idenTity acrOss boRders linked)

europäisches Wettbewerbs- und Innovations-Framework

Ziel ist ein europaweites interoperables System zur Nutzung der eID

Zusammenspiel der nationalen elektronischen Identitäten in jedem Mitgliedsstaat nutzen

Fundstelle :

http://www.eid-stork.eu

STORK Pilotprojekte

Cross-border Authentication Platform for Electronic Services

Ein Demonstrator, der grenzüberschreitende Dienste darstellt

Teilnehmer: Belgien, Deutschland, Öesterreich, Portugal und EstlandSafer Chat

Förderung der sicheren Nutzung des Internets durch Kinder und Jugendliche

Student Mobility

Das Studieren in anderen Mitgliedsstaaten erleichtern

Electronic Delivery

Grenzüberschreitende sichere Online-Zustellung von Dokumenten

Change of Address

Erleichterung beim Umzug innerhalb der EU

eID wandert mit, Adresse wird automatisch geändert

Einsatzmöglichkeiten des nPA außerhalb Deutschlands

Außerhalb Europas

Estland

Herausgabe 2002

Chipkarte ermöglicht rechtskräftige Verträge mit digitaler Signatur

Dient ebenso als Nachweis der Krankenversicherung

Kann auch im ÖPNV als Fahrkarte genutzt werden

Ersetzt nicht für alle Länder den Reisepass

Ab 18 Jahre für 10 Jahre gültig

[[Image:]]

Vereinigte Staaten (USA)

Kein Personalausweis im eigentlichen Sinne

Führerschein als Ersatz (ID-Card)

Identifikation durch Social Security Card bzw. Sozialversicherungsnummer

Keine Identifikation anhand eines Fotos oder ähnliches möglich à Vertrauensbasis

Seit 2008 existiert neben dem Reisepass auch eine Passport Card

[[Image:]]

China

Herausgabe am 21. Dezember 2005

Vorderseite

Name

Foto

Geschlecht

Geburts- und Ausstellungsdatum und Ausweisnummer

Rückseite

Name des Vaters, Mutter und des Ehepartners sowie wenn vorhanden Rang in der Armee

Geburtsort

Sicherheitsmerkmal

Laminierte Papierkarte mit Hologramm und Barcode

Die Bedeutung des nPA für das Thema E-Government

Zusammenfassung

Verbesserte Sicherheit bei der Inhaber-Identifikation

Speichert biometrische Merkmale (digitales Bild, optional: zwei Fingerabdrücke)

Online einsetzbar, ohne Medienbruch

Eindeutige und sichere Identifikation im Internet

Zielbereiche: E-Government und E-Business

Bei Bedarf: qualifizierte elektronische Signatur (QES) auf nPA

Anonyme Transaktionen möglich, z.B. Altersverifikation

Definierte Anwendungsschnittstelle (eCard-API)

Berechtigungszertifikate erhöhen die Sicherheit bei Transaktionen (gegenseitiger Identitäts-nachweis)

Das Berechtigungszertifikat trägt zur Datensparsamkeit bei, da bei Beantragung der genaue Zweck des Einsatzes (Erforderlichkeit) und der Umfang der Daten bekannt sein müssen

Keine Datenübermittlung außerhalb des Berechtigungszertifikates

Vergabe der Zertifikate gesetzlich geregelt und in hoheitlicher Hand beim BVA

Möglichkeit der Sperrung der Zertifikate (Sperrliste)/Online-Funktion

Schwachstelle Zertifikate (Sichere zentrale Infrastruktur im RZ)

Schwachstelle der eigene PC

Stichwort: Schadsoftware

Zukünftig haben alle Bürger den nPA, die Aktivierung der Online-Möglichkeiten ist optional

Erhöhung der Sicherheit durch Besitz (nPA) und Wissen (PIN) Ausnahme: Hoheitliche Abfrage (z.B. Polizei), keine PIN Abfrage

Verschlüsselte Datenübertragung im Internet

Sperrliste für verlorene nPA, auch Online abfragbar

Änderung der PIN durch den Inhaber möglich

Zusätzlicher Aufwand für den Inhaber: bei Online-Nutzung muss eine Lesegerät angeschafft werden

Spontane Nutzung von Diensten (auch E-Government) möglich, keine vorherige Registrierung

Fazit

Grundsätzliche Voraussetzung für ein E-Government sind viele Aspekte:

• Datensicherheit / Datensparsamkeit
• Sicherheit / Vertrauen
• Durchdringung / Anwendungen

Aber ohne den nPA geht es „überhaupt nicht“

Durchbruch der „Qualifizierten elektronischen Signatur“

Erstes Signatur-Gesetz: 16.05.2001

Fazit

Akzeptanz der Bürger / Bequemlichkeit

Bisher ohne eID:

Zugang durch einfach Passwörter, die im Browser hinterlegt werden können

Mit der eID:

• Ausweis aus der Brieftasche nehmen und auf den Leser legen
• Durchklicken der Bildschirme
• Eingabe der PIN
• E-Government muss dem Bürger Vorteile bieten

Gewinnt der nPA nicht weiter an Akzeptanz kann E-Government kein Erfolgsmodell werden

E-Government hängt von der Durchdringung des nPA im Deutschland ab

Quellenangabe

[[Image:]]