grundlagen und praktische aspekte des neuen personalausweises
Post on 24-Jan-2017
236 Views
Preview:
TRANSCRIPT
Fraunhofer SITFraunhofer SITEinführung des neuen Personalausweis (nPA)
DFN-Betriebstagung / 26.10.2010
Sven VowéSIT / Transaktions- und Dokumentensicherheit (TAD)
1Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Themen des VortragsThemen des Vortrags
Vorstellung Fraunhofer SIT
Nutzungsvoraussetzungen für Bürger
Nutzungsvoraussetzungen für Dienstanbieter
Technischer Ablauf der eID AnwendungTechnischer Ablauf der eID-Anwendung
Anwendungstest
Ziele
Teilnehmer und Anwendungsfälle
Support
SIT im Anwendungstest
Aktueller Stand des Projekts
2Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Our MissionFraunhofer SITFraunhofer SIT
Fraunhofer Institute for Secure I f i T h l (SIT)
Our MissionFraunhofer SIT
Information Technology (SIT)
Goals
Secure, Economic, CompliantSecure, Economic, Compliant
Ready-to-use, User-friendly
179 employees (June 2009)
105 research
21 d i i t ti21 administration
32 students
21 apprentices & trainees21 apprentices & trainees
3Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Kompetenzen
Digital Identities
Kompetenzen
Biometrics
Hardware & embedded security
Information Rights ManagementInformation Rights Management
Side channel attacks / robustness
Methods for security testing
Risk-Management
IT-Forensics
PKI / telematics
Security validation / modells
Process-Security Anti-Product-Piracy
Data protection / web 2.0
SOA- & Cloud-Security
Process-Security
OS-Security
Identity Management SOA & Cloud Security
PKI / telematics
Security validation / modells
Longterm security & digital signatures
Security by means of IT
4Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Web & Internet security Security by means of IT
Nutzungsvoraussetzungen - BürgerNutzungsvoraussetzungen Bürger
Der Bürger benötigt:
PC/Mac mit Internetzugang
Den neuen Personalausweis (nPA)
Mit aktivierter eID-FunktionMit aktivierter eID Funktion
Mit aktivierter eID-PIN (6-stellig)
Ei k k l K l fü di ID A dEinen kontaktlosen Kartenleser für die eID-Anwendung
Die Software ‘AusweisApp’
5Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Nutzungsvoraussetzungen - BürgerNutzungsvoraussetzungen Bürger
Der neue Personalausweis (nPA)
Scheckkartenformat (ID-1)
SmartCard
CC ZertifizierungCC-Zertifizierung
Kontaktloser RFID-Chip
ISO-14443 Interface
Arbeitsreichweite: max. 3,5 cm
„Unique Identifier“ jeweils zufällig
Kostenentwurf / Kommunale Abweichungen möglich
Unter 24 Jahre: 19,80 €
Normalpreis (ab 24 Jahre): 28 80 €Normalpreis (ab 24 Jahre): 28,80 €
Aktivieren / Deaktivieren der eID-Funktion: 6 €
6Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Nutzungsvoraussetzungen - BürgerNutzungsvoraussetzungen Bürger
Elektronische Anwendungen
Hoheitliche Anwendung
Digitales Lichtbild, Pflicht
2 Fingerabdrücke Optional2 Fingerabdrücke, Optional
eID-Anwendung
Elektronischer Identitätsnachweis
Nutzung eGovernment & eBusiness
Optional
Signatur-Anwendung
Aufbringen der QES möglich
Zusatzkosten für den BürgerZusatzkosten für den Bürger
Optional
7Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Nutzungsvoraussetzungen - BürgerNutzungsvoraussetzungen Bürger
Datenstrukturen auf dem Chip
8Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Nutzungsvoraussetzungen - BürgerNutzungsvoraussetzungen Bürger
Datenstrukturen auf dem Chip – eID-Anwendung
9Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Nutzungsvoraussetzungen - BürgerNutzungsvoraussetzungen Bürger
Spezialfunktionen des nPA
Altersverifikation
Chip erhält Datum zur Überprüfung der Altersgrenze
Chip liefert zurück ob Ausweishalter älter oder nicht (TRUE/FALSE) Chip liefert zurück, ob Ausweishalter älter oder nicht (TRUE/FALSE)
Wohnortsverifikation
Chip erhält Amtlichen Gemeindeschlüssel (AGS)
AGS = Bundesland | Regierungsbezirk | Stadt oder Kreis | Gemeinde
Beispiel: 0276 (Deutschland) 06 (Hessen) 411 (Darmstadt)
Chip prüft intern auf Übereinstimmung (TRUE / FALSE)
Pseudonym / Dienste- und kartenspezifisches Kennzeichen
Chip erhält Merkmal des Dienstanbieters M und Domain-Parameter dChip erhält Merkmal des Dienstanbieters MDA und Domain-Parameter d
Chip errechnet intern mit geheimen Merkmal MNPA
Pseudonym = Hash ( DH-Key-Agreement ( MDA , MNPA , d ))
10Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Nutzungsvoraussetzungen - BürgerNutzungsvoraussetzungen Bürger
Kontaktloser Kartenleser für eID-Anwendung
CAT-B: Klasse-1-Leser (Basisleser)
ohne PIN-Pad !
>10 EUR>10 EUR
CAT-S: Klasse-2-Leser (Standardleser)
mit PIN-Pad
>30 EUR
CAT-K: Klasse-3-Leser (Komfortleser)
mit PIN-Pad
eigenes Display
>100 EUR>100 EUR
mit spezieller BSI-Zertifizierung als Signaturkomponente geeignet
11Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Nutzungsvoraussetzungen - BürgerNutzungsvoraussetzungen Bürger
Software ‘AusweisApp’
Ermöglicht Bürgern die einfache Nutzung der eID-Anwendung
nPA-Initialisierung (Transport-PIN eID-PIN)
GUI für eID-Anwendung: Wahl der Datengruppen PIN-EingabeGUI für eID Anwendung: Wahl der Datengruppen, PIN Eingabe
Ausschreibung des Bundesministerium des Innern (Mitte 2009)
Gewinner Siemens/Bundesdruckerei/OpenLimit
AusweisApp und eID-Server
kostenfrei erhältlich
Unterstützte Betriebssysteme
Windows 2000, Windows XP, Windows Vista, Windows 7
Debian 5 0 (2 6 26+) Ubuntu 9 04 (2 6 29+) OpenSUSE 11 1 (2 6 27+)Debian 5.0 (2.6.26+), Ubuntu 9.04 (2.6.29+), OpenSUSE 11.1 (2.6.27+)
Mac OS X 10.5+
Browser-Plugins
12Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Firefox, Safari, Internet Explorer
Nutzungsvoraussetzungen - DienstNutzungsvoraussetzungen Dienst
Dienstanbieter benötigen:
Berechtigungszertifikatg g
Anbindung an eID-Server
13Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Nutzungsvoraussetzungen - DienstNutzungsvoraussetzungen Dienst
Beantragung einer Berechtigung beim Bundesverwaltungsamt:
Unternehmensdaten (u.a. Name, Sitz)
Zweck des Berechtigungszertifikatsg g
Beschreibung des Dienstangebots
Gewünschter Zugriff auf Datenfelder des nPA (!)
Handelsregisterauszug
Verantwortliche Datenschutzaufsichtsbehörde
NutzungsbedingungenNutzungsbedingungen
Nach Erforderlichkeitsüberprüfung wird Genehmigung erteilt / abgelehnt
Beantragungsprozess seit Sommer 2010 LIVE
14Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Nutzungsvoraussetzungen - DienstNutzungsvoraussetzungen Dienst
Anbindung an eID-Server
Betreiben eines eigenen eID-Servers
Hohe Sicherheitsanforderungen
Eigene Verwaltung der BerechtigungszertifikateEigene Verwaltung der Berechtigungszertifikate
Nur in Einzelfällen
Nutzung eines externen mandantenfähigen eID-Service
Service-Level-Agreement (SLA) mit eID-Service
Verwaltung der Berechtigungszertifikate im Auftrag
Abwicklung der eID-Anwendung im Auftrag
Integration in eigene Web-Applikation
2 Anbindungen an eID-Service spezifiziert (BSI TR-03130)2 Anbindungen an eID-Service spezifiziert (BSI TR-03130)
Im Anwendungstest: SAML (user-centric)
Alternative: Web-Service (hier nicht betrachtet)
15Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Ablauf der eID-AnwendungAblauf der eID Anwendung
PC / Kartenleser
BrowserBrowserHTTPSHTTPS
Server Dienstanbieter
Schritt 1
Bü b ht W b B d Di t b t
Server Dienstanbieter
Bürger besucht per Web-Browser das Dienstangebot
Authentifizierung per eID wird ausgewählt
16Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Ablauf der eID-AnwendungAblauf der eID Anwendung
Server Dienstanbieter
HTTPS-Redirect
PC
Server Dienstanbieter
S h i 2
eID-Server
Schritt 2
Dienstanbieter leitet Authentisierungsanfrage an eID-Server weiter
In Form eines SAML-Request (GET-Parameter im HTTPS-Redirect)In Form eines SAML Request (GET Parameter im HTTPS Redirect)
SAML-Request signiert und verschlüsselt
Enthält u.a. auszulesende Datengruppen und ID des Dienstanbieters
17Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Ablauf der eID-AnwendungAblauf der eID Anwendung
PCBrowser
B o se Pl gin
BrowserBrowserHTTPSHTTPS
Schritt 3
Browser-PluginAusweisApp
eID-Server
Schritt 3
eID-Server liefert Webseite mit eingebettetem OBJECT-Tag aus
OBJECT hat speziellen MIME-Type und Parameter
Browser-Plugin des BürgerClients hat MIME-Type-Handler
Parameter werden ausgelesen
18Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
BürgerClient wird gestartet (Parameter werden übergeben)
Ablauf der eID-AnwendungAblauf der eID Anwendung
PCBrowser
B o se Pl gin
AusweisAppAusweisAppTLSTLS
Schritt 4
Browser-PluginAusweisApp
eID-Server
Schritt 4
AusweisApp baut Verbindung zu eID-Server auf
Kanal per TLS geschützt
BürgerClient erhält
Datenschutzerklärung des Dienstanbieters
19Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Liste der auszulesenden Datengruppen
Ablauf der eID-AnwendungAblauf der eID Anwendung
PCA s eisApp
Schritt 5
AusweisApp
Schritt 5
Die AusweisApp führt den Benutzer durch die Authentifizierung
Anzeige der Dienstanbieterangaben
Auswählen der zu übertragenen Datenfelder
Eingabe der PIN
Ü
20Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Ablauf der Sicherheitsprotokolle und Übertragung der Daten
Ablauf der eID-AnwendungAblauf der eID Anwendung
21Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis 21
Ablauf der eID-AnwendungAblauf der eID Anwendung
22Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis 22
Ablauf der eID-AnwendungAblauf der eID Anwendung
23Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis 23
Ablauf der eID-AnwendungAblauf der eID Anwendung
24Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis 24
Ablauf der eID-AnwendungAblauf der eID Anwendung
PACEPACE
PCKartenleser
nPA
PACEPACE
Schritt 6Schritt 6
Schutz der kontaktlosen Schnittstelle
PACE = Password Authenticated Connection Establishment (TR-03110)
Kryptographisches Protokoll (Diffie-Hellman / Elliptic Curve Cryptography)
Etabliert geschützten Kanal
25Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Eingabe = eID-PIN des Bürgers
Ablauf der eID-AnwendungAblauf der eID Anwendung
PCKartenleserTerminal AuthenticationTerminal Authentication
Schritt 7
eID-Server
nPA
Schritt 7
eID-Server authentifiziert sich gegenüber nPA
Terminal Authentication (TR-03110)
Challenge-Response Protokoll
eID-Server überträgt Berechtigungszertifikat des Dienstanbieters
26Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
nPA validiert das Zertifikat
Ablauf der eID-AnwendungAblauf der eID Anwendung
PCKartenleserChip AuthenticationChip Authentication
Schritt 8
eID-Server
nPA
Schritt 8
nPA authentifiziert sich gegenüber eID-Server
Chip Authentication (TR-03110)
nPA weist nach, dass er ein gültiger Personalausweis ist
Schritt 6-8 = Extended Access Control (EAC)
27Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Ergebnis: Ende-zu-Ende-Sicherheit zwischen nPA und eID-Server
Ablauf der eID-AnwendungAblauf der eID Anwendung
PCKartenleserTransmitTransmit
Schritt 9
eID-Server
nPA
Schritt 9
Übertragen der Datengruppen durch geschützten Kanal zum eID-Server
28Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Ablauf der eID-AnwendungAblauf der eID Anwendung
Server Dienstanbieter
HTTPS-Redirect
PC
Server Dienstanbieter
S h i 10
eID-Server
Schritt 10
eID-Server leitet Authentisierungsantwort an Dienstanbieter weiter
In Form eines SAML-Response (POST-Daten im HTTPS-Redirect)In Form eines SAML Response (POST Daten im HTTPS Redirect)
SAML-Response signiert und verschlüsselt
Enthält die ausgelesenen Datengruppen
29Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Anwendungstest – OrganisationAnwendungstest Organisation
Auftraggeber: BMIgg
Technische Richtlinien: BSI
Kompetenzzentrum Neuer Personalausweis
Konsortialführer BearingPoint
Steria Mummert Consulting
Technisches KompetenzzentrumTechnisches Kompetenzzentrum
Fraunhofer FOKUS
Fraunhofer SIT
Entwicklung, Betrieb und Support AusweisApp und eID-Service
Industriekonsortium mit Konsortialführer: Siemens
Kartenproduktion und -Ausgabe, Betrieb eID-Service: Bundesdruckerei
Entwicklung und Support BürgerClient: OpenLimit
30Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Entwicklung und Support BürgerClient: OpenLimit
Anwendungstest - TeilnehmerAnwendungstest Teilnehmer
Testeilnehmer Testszenario
Air Berlin PLC & Co. Luftverkehrs KG Fluggastabfertigung
Allianz Deutschland AG Kundenserviceprozesse im Versicherungsportal
Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) KFZ-Zulassungsverfahren OK.VORFAHRT u.a.
ARGE eKfz Teilprojekte eKFZ u a ARGE eKfz Teilprojekte eKFZ u.a.
Bayerisches Landesamt für Steuern, Bereich IUK, Verfahrens-Management ELSTER (BLSt-ELSTER)
Registrierungsverfahren für die Teilnahme am ELSTER-Verfahren über das Elster-Online-Portal (elektronische Steuererklärung)
CosmosDirekt Versicherungen Authentisierte Willenserklärungen / Mitteilungen
Datenzentrale Baden-Württemberg (DZB) Online Gewerbeanzeige des Kommunalen Gewerbemanagements (KoGeMa)
Deutsche Kreditbank (DKB) Direktbank
Deutsche Rentenversicherung (DRV) eService der Deutschen Rentenversicherungg ( ) g
d-hosting die rackspace & Connectivity GmbH im Auftrag der Selbsthilfeverbände von Menschen mit Behinderungen
Verfahren für Menschen mit Behinderung oder chronischen Erkrankungen
FRITZ & MACZIOL GmbH Elektronisches Abfallnachweisverfahren (eANV)
Fujitsu Technology Solutions GmbH "Fujitsu Online Shop Deutschland" Fujitsu Technology Solutions GmbH Fujitsu Online Shop Deutschland
Gothaer Allgemeine Versicherung AG Antragstellung
Hagener E-Government Konsortium (Stadt Hagen, HABIT, Fernuniversität Hagen, SAP, u.a.)
Kommunale Verwaltungsdienstleistungen im virtuellen Rathaus21
31Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Anwendungstest - TeilnehmerAnwendungstest Teilnehmer
Testeilnehmer Testszenario
HSH Soft- und Hardware Vertriebs GmbH E-Bürgerservice
HUK24 AG Online-Versicherungen
Informatikzentrum der Sparkassenorganisation GmbH (SIZ) Online-Beantragung von qualifizierten elektronischen Signaturen
]Init[ AG in Zusammenarbeit mit AG Extrapol der Polizeien des Bundes und der Länder
Länderübergreifenden Polizeizusammenarbeit auf der Plattform EXTRAPOL
InterCard AG Kundenkarte mit Zahlfunktion
Lotterie-Treuhandgesellschaft GlücksspielLotterie Treuhandgesellschaft Glücksspiel
LVM-Versicherungen Authentifizierung, Portalzugang, Adressübernahme
Provinzial Rheinland AG Versicherungsbeantragung
Schufa Holding AG Verbraucherportal „meineschufa.de“ und Online-Antrag zur EigenauskunftOnline-Antrag zur Eigenauskunft
Tönjes Holding AG Identitätsnachweis bei Kfz - Online - Zulassungen
T-Systems in Zusammenarbeit mit dem Innenministerium Baden-Württemberg
Verwaltungsdiensteportal des Landes Baden-Württemberg „mein service-bw“ und EU-DLR (Teilbereiche)
Umweltbundesamt - Deutsche Emissionshandelsstelle (DEHSt)
Antrag auf Zuteilung von Emissionszertifikaten und Emissionsberichterstattung
Verkehrsverbund Rhein-Ruhr (VRR) eTicket-System
32Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Willi Weber GmbH & Co. Kg Altersverifikation an Zigarettenautomaten
Anwendungstest - AnwendungsfälleAnwendungstest Anwendungsfälle
Registrierung für Dienstleistungen
18%
Altersverfikation8%
Sonstige Anwendungen12%
Internetservices und elektronische Hilfen für behinderte Menschen
4%18%
Online-Beantragung qeS 6%
Zugangskontrolle5%
Automatisches Ausfüllen
Registrierung für Dienstleistungen mittels
Pseudonym10%
Eröffnung Benutzerkontos und Anmeldung am
sicheren DE-Mail-Dienst 6% E-Government-Suiten Automatisches Ausfüllen
von Web-Formularen 15%
10%6%
Quelle: Steria Mummert Consulting
33Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Anwendungstest – Rolle des SITAnwendungstest Rolle des SIT
Schulungen und Support für technische Anfrageng pp g
Fachkompetenz technische Richtlinien + IT-Sicherheit
Testdienst (Referenzimplementierung eID-Anwendung)
Maximaler Schutz der Schlüssel durch Hardware Security Module
Ticket-System (2nd Level Support)
Testmanagement Tool für ProbandenTestmanagement-Tool für Probanden
Sicherheitstests der eID-Infrastruktur-Komponenten
Zusammenspiel AusweisApp / eID-Server / Dienstanbieter
eID-Integration ins Webangebot des Dienstanbieters
34Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Anwendungstest – Aktueller StandAnwendungstest Aktueller Stand
Beantragung des nPA möglich ab 01.11.2010g g g
Geschätzte Lieferzeit des beantragten nPA ~2-3 Wochen
3 Basis Kartenleser (Klasse 1) bereits BSI zertifiziert3 Basis-Kartenleser (Klasse 1) bereits BSI-zertifiziert
>10 Kartenleser aller Klassen derzeit in Zertifizierungsprozess
Liste der verfügbaren Kartenleser und Zertifizierungsstatusg g
www.ccepa.de Technische Informationen Kartenleser
Am 01.11.2010 schalten einige Dienstanbieter nPA-Authentisierung LIVE
Verlängerung des Anwendungstests bis zum 31.12.2010 beschlossen
Weitere eID Server / eID Service Anbieter in 2010 / 2011:Weitere eID-Server / eID-Service Anbieter in 2010 / 2011:
bos (Bremen Online Services)
MTG (Media Transfer AG)
35Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
( )
Teilnahme offener AnwendungstestTeilnahme offener Anwendungstest
VoIP Authentisierung mit dem neuen Personalausweisg
In-House Entwicklung des Fraunhofer SIT
Gegenseitige Authentifizierung der Gesprächspartner
Ende-zu-Ende-Verschlüssselung der Mediendatenströme
Kommunikation mit Call-Centern im E-Business / E-Government
Zertifikatsvergabe in der DFN-PKI mit dem neuen Personalausweis
Universität Koblenz-Landau / FB4 / IT-Risk Management (Prof. Grimm)g ( )
Prototypische Implementierung im Rahmen des Praktikum „ePA4“
Kooperation mit Fraunhofer SIT
Praktikum beinahe abgeschlossen – lauffähig mit DFN Test-PKI via SOAP-API
36Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Fragen ?Fragen ?
Vielen Dank für Ihre Aufmerksamkeit :-))
37Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
QuellenQuellen
Bundesministerium des Innern (BMI), Pressemitteilung 03.06.2010http://www.bmi.bund.de/cln_174/SharedDocs/Pressemitteilungen/DE/2010/mitMarginalspalte/p // / _ / / g / / / g p /06/neuer_personalausweis.html
Bundesamt für Sicherheit in der Informationstechnik (BSI)Technische Richtlinie TR-03110 – EAC and PACE v2.02
Bundesamt für Sicherheit in der Informationstechnik (BSI)Technische Richtlinie TR-03130 - eID-Server Version 1.1
Bundesamt für Sicherheit in der Informationstechnik (BSI) Technische Richtlinie TR 03127 Technische Richtlinie TR-03127 -Architektur Elektronischer Personalausweis Version 1.01
Bundesamt für Sicherheit in der Informationstechnik (BSI) Technische Richtlinie TR-03128 -EAC-PKI‘n für den elektronischen Personalausweis Version 1.0
OpenLimitAusweisApp Testversion 4 Update 1 und 2 – QuickGuide
Kompetenzzentrum Neuer PersonalausweisBearingPoint Consulting, Steria Mummert Consulting, Fraunhofer FOKUS, Fraunhofer SITPräsentation zum Anwendungstest
Wikimedia Commons Server Bildchen
38Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis
Wikimedia Commons – Server-Bildchenhttp://upload.wikimedia.org/wikipedia/commons/d/d7/Gnome-network-server.svg
top related