Download - eIdentity & eSignature
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Erwartungen E-Identität und E-Signatur in der PraxisÜberblick über den aktuellen Stand in den europäischen Staaten
Dr. Peter Parycek, MSc - ZentrumsleiterZentrum für E-Government an der Donau-Universität Krems
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Donau-Universität Krems Staatliche Weiterbildungsuniversität
• 16 Departments
• 4100 Studierende
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Zentrum für E-Government & Zentrum für praxisorientierte Informatik: Lehre
Universitätsprogramme:Professional MSc E-GovernmentProfessional MSc IT ConsultingInformation Security Management, MScProfessional MSc IT in Healthcare and Life ScienceProfessional MSc Supply-Chain ManagementProfessional MSc Strategie, Technologie und ganzheitliches Management
Kooperationen in Deutschland: IHKIG Metall
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Zentrum für E-Government & Zentrum für praxisorientierte Informatik: Projekte
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Agenda
1. Überblick: eSig = eID?
2. Länderansätze
3. Internationale Interoperabilität
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
eID & eSigeID & eSig
1. eSig = eID ?
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Zweck der eSig
Authentizität von Urheber & Daten
Zuordnung der Daten zum Unterzeichner
Schutz vor Abstreiten durch Unterzeichner
Sicherung der signierten Daten vor Manipulation• am Übertragungsweg
• durch den Empfänger
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Signatur-Richtline der Europäischen Kommission
eSig: Rechtliche Grundlage
Nationale Signaturgesetzeder Mitgliedsstaaten
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Arten Elektronischer Signaturen„Einfache“ elektronische Signatur
dient der Feststellung der Identität des Signatorsauch für juristische Personen möglich
„Fortgeschrittene“ elektronische Signaturist ausschließlich dem Signator zugeordnetermöglicht die Identifikation des Signatorswird mit Mitteln erstellt, die der Signator unter seiner alleinigen Kontrolle halten kannev. nachträgliche Veränderungen wären feststellbar auch für juristische Personen möglich
„Qualifizierte“ elektronische Signaturist eine fortgeschrittene Signaturberuht auf qualifiziertem Zertifikat (nur für natürliche Personen!)wird mit einer sicheren Signaturerstellungseinheit (SSCD) erzeugt
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
KEINE eID Richtline!
eID: Rechtliche Grundlage ?
Teilweise gibt es nationale Bestimmungen
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
eID Konzepte
Username & PasswortSoftware ZertifikatUSB LösungenSmart-Card LösungenVirtual Smart-Card Lösungen
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
APP 1flaches MODELL
sektorales MODELL getrenntes MODELL
ID
APP 2ID
APP 3ID
APP 1ID1
APP 2ID2
APP 3ID3
ID
APP 1ID1
APP 2ID2
APP 3ID3
eID & Datenschutz
Quelle: Prof. Posch, BKA
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
eID & eSigeID & eSig
2. Länderbeispiele
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Trust Center derZertifizierungsdiensteanbieter (ZDA)
Register aus dem Öffentlichen Sektor
eID = ZDA* + öffentlichen Register
ZMRBMI
‚Elektronische Identität‘
* ZDA = Zertifizierungsdiensteanbieter
ZDAA-Trust ERnP
BMI
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Stammzahl (SZ) Erzeugung (§ 6 Abs. 2 E-GovG)
ZMR-Zahl:
Verschlüsselung
Stammzahl
SZ = Verschlüsselte ZMR-Zahl
Stammzahlregisterbehörde errechnet die Stammzahl
SZ wird auf Karte geschrieben
Stammzahlregisterbehörde speichert die SZ NICHT (Virtuelles Register)
123456789012
Stammzahl: MDEyMzQ1Njc
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
bPK: Erzeugung
Stammzahl
Umrechnung unmöglich!
bPK a
z.B. Steuern & Abgaben z.B. Bauen & Wohnen
bPK b
nicht rückführbareAbleitung!
Quelle: BKA
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
eID & eSig im Verwaltungsverfahren
Duale Zustellung
Duale Zustellung
Fachanwendung / Backoffice
Fachanwendung / BackofficePortalPortal
z.B. HELP; Wien.gv.at
z.B. ELAK, Register (ZMR, GWR, Vollmachtsreg., Adressreg.),FinanzOnline u.a. Fachanwendungen z.B. zustellung.gv.at
Quelle: BKA
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Bürgerkartenkonzept: Ausprägungen
eCard = SozialversicherungskarteMaestro BankomatkarteDienstausweise (Ministerien, Länder, ..)Schüler- & Studentenausweise
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
BRD: eSig
Besonderheit der „Schriftform“ (§ 126 BGB)Elektronische Form (§ 126a Abs 1 )
"Soll die gesetzlich vorgeschriebene schriftliche Form durch dieelektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen."
Qualifizierte Signatur!
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
ePA: Elektronischer Personalausweis
3 Funktionen:
1. Identitätsfeststellung durch Polizei u.a. Behörden (= hoheitsrechtlich)
2. eID für Bürger & Wirtschaft (= privatrechtlich)
3. Optional elektronische Signatur
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
eID: Elektronischer Identifikationsnachweis
eID Funktionen für eGeschäfts- & Verwaltungsprozesse
eID Nachweis:Vorname(n), Familienname, (Akadem. Grad), Tag & Ort der Geburt,gegenwärtige Anschrift Max. Gültigkeitsdatum (ab 24.Lebensjahr 10 Jahre; für Jüngere 6 J.)"D" für BRDDokumentenart: Personalausweis kartenspezifische Kennzeichen
BürgerIn entscheidet welche Daten weitergegeben werden!
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Niederlande: eID Modell
DigiD bietet zentrale Lösung (GBO.overheid.nl)
3 QualitätsstufenDigiD Basis: Username & PasswortDigiD Midden: Session-specific Login via SMSDigiD Hoog: ID-Card (geplant)
Output: eindeutige ID-Nummer!; keine weiteren Daten
basiert auf Verträgen - kein eigenes Gesetz!
DigiD High könnte mit Signaturgesetz verbunden werden
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Malta: eID
3 Phasen:Phase 1: Username & Passwort zur IdentifizierungPhase 2: & ZertifikatePhase 3: Neue Personalausweise mit Zertifikaten
Phase 1 wurde umgesetztPhase 2 wird mit Business Kunden getestet
ABER: Zertifikate nur zur Identifizierung, nicht zum Signieren!
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
EU: Weitere Beispiele
Country Signature Detail / Other info
Belgium Qualified signature
Through mandatory eID card containing national register number. Qualified soft certificates from accredited CSPs are becoming secondary to the eID card.
Bulgaria Qualified certificate
Bulgaria Qualified certificate The so called ‘Universal Electronic Signature’, a soft certificate containing the Uniform Citizen Number.
Croatia Qualified certificate
Croatia Qualified certificate Software certificate from (one) accredited CSP
Cyprus Authentication Signature functionality is to some extent emulated through authentication procedures, but no real e- signature applications were identified.
Extrem heterogenes Umfeld – Länderspezifische Lösungen
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
eID & eSigeID & eSig3. Internationale Interoperabilität
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
App
licat
ion
Tier
Mid
dlew
are
Tier
Toke
n Ti
er
http://www.eid-stork.eu/
Europaweites eSig & eID Projekt: STORK
Quelle: BKA
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Dr. Peter Parycek, MSc Zentrumsleiter E-GovernmentDonau-Universität Krems0043/2732/893 23120043/664/[email protected]
Webseiten: http://www.donau-uni.ac.at/egovhttp://www.slideshare.net/parycek/http://www.linkedin.com/in/peterparycek
ENDE
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Links
Studie zu eSig in Europa: http://ec.europa.eu/idabc/en/document/6485/5938/#activities
Studie zu eID in Europa:http://ec.europa.eu/information_society/activities/ict_psp/library/ref_docs/index_en.htm#eid
Aktuelle Projekte:eID: www.eid-stork.eu/eProcurement: www.peppol.eu/
Beispiele: www.epractice.eu/ ; www.digid.nl/
EU-Richtlinie: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:EN:HTML
www.digitales.oesterreich.gv.at
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Links Österreichisches E-Government
Standards: http://reference.e-government.gv.at/
Zentrales Bürgerportal: www.help.gv.at/
www.buergerkarte.at/
Zentrum für sichere Informationstechnologie: www.a-sit.at/
Datenschutzkommission: www.dsk.gv.at/
www.sozialversicherung.at/
Zertifizierungsdiensteanbieter: www.a-trust.at/
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Recommendations
REC 01: Member States should be reminded of the letter and spirit of the public sector clause (art. 3.7), including their obligation in principle not to introduce requirements which constitute an obstacle to cross-border services for citizens; and of their notification obligations under article 11 of the Directive which require them to notify the Commission of any additional requirements imposed in application of article 3.7 insofar as these are a part of any voluntary accreditation scheme. Target group: Member StatesRECO2: Application owners should take note of signature solutions being used in other countries as identified by this study, and be made aware of their obligation in principle not to exclude foreign signature solutions whenever possible, unless specific considerations meeting the criteria of the public sector clause would permit this. Target group: eGovernment application ownerRECO3: Application owners should be advised to shift from the current situation of ad hoc decisions for each application, to a system where they require their users to employ a certain security/reliability level, such as the appropriate legal classification under the eSignatures Directive, rather than a specific certificate or CSP. Target group: eGovernment application ownerREC 04: Member States should be made conscious of the fact that their possible national decentralisation of competences does not absolve them of their obligations of adhering to the eSignatures Directive’s provisions, which includes the obligation of ensuring that local governments adhere to this framework. Target group: Member States
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Recommendations
RECO5: Application owners should be made conscious of the interoperability consequences of requiring the use of identification attributes in signatures which are only available within their country. Target group: eGovernment application ownerRECO6: When determining the requirements for e-signature applications, application owners must ensure that the signature requirements are not abused to add functionality which is unrelated to the signature functionality itself when this would impair interoperability. There is no objection against using electronic signatures to add functionality (such as automatically filling out identity information or automated error correction) beyond the traditional functions of a handwritten signature (such as expression of consent, non-repudiation etc.); however, applications should not make such added functionality mandatory when this has the unintended side effect of making the use of foreign signature solutions impossible, unless an alternative can be offered to users whose signatures may not offer the added functionality. Target group: eGovernment application ownerRECO7 It is recommended that a pan-European signature certificate validation platform model is developed to resolve the issues of certificate validation and the issue of creating trust between existing CSPs. Such a platform would allow non-national PKI certificates to be validated in any country. Target group: Member States.
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Recommendations
RECO8: Because of the internal market provisions of the Directive, the creation of pan-European validation platform should at a minimum be preceded by a consultation of the Member States on the main policy and legal issues arising as a result of the introduction of such a platform. Target group: European Commission and Member StatesRECO9: The unique number required by the application to identify the citizen/business should not be a mandatory part of the signature/certificate. Target group: eGovernment application ownerRECO10: Application owners should be recommended to make use of PKI-based signatures in applications where interoperability in the short term is a key objective Target group: eGovernment application ownerRECO11: Compliance with ETSI Qualified Certificate profile is recommended. Target group: eGovernment application ownerRECO12: The client signature tool should use standardized interfaces or applications that are de-facto available on any platform. Target group: eGovernment application owner RECO13: eGovernment applications that want to provide maximum interoperability within an open environment should rely on CSPs that do not impose any specific non-standardised interfaces. Target group: eGovernment application owner
Donau-Universität KremsDr. Peter Parycek, Zentrum für E-Government
Recommendations
RECO14: Promote the use of international standards (CAdES or XAdES) as eSignature formats. Target group: European Commission, Member States, International standardisation bodiesRECO15 New eGovernment applications should be encouraged to make use of PKI-based signatures if cross border interoperability is considered of Importance Target group: eGovernment application ownerRECO16 Publish, on a central website, a list of Certification Service Providers supervised43 by their respective national responsible body Target group: European CommissionRECO17 Implement the European IDA Bridge/Gateway CA (EBGCA) model that uses the centralised administrative structure of a bridge, and distributes trust using both cross-certifications and Certificate Trust Lists. Target group: European CommissionRECO18 The same legal concerns as voiced by RECO8 apply, and the same consultation of the Member States should be sought. Target group: European Commission; Member StatesRECO19 Set-up a pan-European ‘Validation Authority Federation’ Target group: European Commission; Member States