eCard-API Framework in Deutschland und Europa · November 2008 Folie 4 ... eine europaweite eID...

Bernd Kowalski

Bundesamt für Sicherheit in der Informationstechnik (BSI)Gemeinsames Kolloquium des BSI und der PTB

12. November 2008 - Braunschweig

eCard Strategie der Bundesregierung elektronischer Personalausweis (ePA) eCard-API Framework europäische Perspektive: eID Large Scale Pilot (LSP)

eCard-API Frameworkin Deutschland und Europa

Bernd Kowalski 12. November 2008 Folie 2

eCard-Strategie der Bundesregierung

ePass ePAeAT

eGKHBA

ELENA (Jobcard) ELSTER

EG-Verordnung(Januar 2005) Kabinettbeschluss (März 2005)

• Biometrie • Biometrie• el. ID-Nachweis• optional Signatur

• el. ID-Nachweis• optional Signatur • Signatur

• el. ID-Nachweis• optional Signatur

eCard-Projekte des Bundes


Interoperable Sicherheitsfunktionen Signatur und Authentisierung für alle Chipkarten, alle Anwendungen und alle Marktteilnehmer.

Die Karten-emittierenden Projekte statten ihre Karten mit einer optional aktivierbaren Qualifizierten Signatur (QS) aus.

Alle eGovernment-Anwendungen akzeptieren für die QS die einheitlichen Standards des Signaturbündnisses bzw. der eCard-Strategie.

Herstellung und Bereitstellung interoperabler Karten und Zertifikate (Trust Center) sind Aufgabe der Privatwirtschaft.

eCard-Strategie der BundesregierungWas ist die „eCard-Strategie” ?

Ziele der BundesregierungEckpunkte des Kabinettsbeschlusses vom 9.03.2005 - Auszug -


Anforderungen aus eCard-Projekten

Unterstützung der Funktionalität von eGK, HBA und SMC (u.a. CVC, Kartenapplikationsmanagement, Activate Record, Speicherfunktionalität, Logische Kanäle,QES-Aktivierung im Feld, SICCT-Leser)

Unterstützung der Funktionalität des ePass und ePA (u.a. BAC, EAC, PACE, EC-Crypto, auch ISO14443)

Unterstützung beliebiger Signaturkarten (für ELSTER und eLena)

Unterstützung von High-Level-PKI- und Signaturfunktionen

Sicherheit und Evaluierbarkeit

Plattformunabhängigkeit (Java, C, C++, C# auf diversen OS)

Skalierbarkeit (vom Einplatzsystem bis hin zur verteilten Serverumgebung)

Internationale Perspektive: kompatibel zu ISO und Microsoft (CardSpace/MiniTreiber)

eCard-Strategie der BundesregierungTechnische Anforderungen


Technische Abstimmung u.a. mit

gematik / BMG

ELSTER

ELENA

Standardisierung

DIN

CEN

ISO

Nutzung der Schnittstelle für eigene Produkte

eCard-Strategie der BundesregierungUnterstützung der eCard-API


Hoheitliche- und „eID“-Funktionen:

ePA


ePA

Gegenseitiger Identitätsnachweis – Beide Seiten weisen sich aus !


MarkteinführungZeitplan

3. Phase: Wirkbetrieb 20 % +

(2012)

2. Phase: Wirkbetrieb Anlauf

1.11.2010

1. Phase: Pilotierung 2008 bis 2010

Elektronischer Personalausweis

ePA


ePA - Infrastrukturkomponenten

ePA


Service-Access-Layer

Identity -Layer

Terminal-Layer

Application -Layer

eCard-Interface

GRTool, Border

Control ...

eHealth-Application

ePA-Application JobCard ELSTER ...

ISO24727-3-Interface

ePassport CardInfo

ePA CardInfo

eGK/HBA CardInfo

ePassportConvenience

Support Services

Support-Interface

Generic Card Services

...

Management Services

Mgmt-Interface

Encryption Services

Signature ServicesIdentity Services

IFD-Interface

SCARD-InterfacePC/SC 2.0 IFD-

HandlerIFD-

HandlerIFD

SICCT

CT-API-Interface

MKT, B1 etc.

SICCT-Interface

ePAConvenience

eHealthConvenience

JobCardConvenience

eID

Manage-ment

ManagementConvenience

ELSTERConvenience ...

eCard-API-Framework


BürgerClient und eID-Server für den ePA

Service Access Layer

High Security Module(HSM), etc.

Application Layer

Identity Layer

Service Access Layer

Terminal Layer

GeschäftslogikBrowser

Terminal Layer

Identity Layer

ePA

Leser

Bürger Diensteanbieter

Application Layerhttps

Sichere Verbindung

eID - ServerBürgerClient

eCard-API-Framework


Sicherheitsumgebung des eID-ServereID-Server

…

Secure Gateway (IP-VPN)

Admin &Workflow

Mehrere MandantenSichere VerbindungSichere Administration

SecureCVCs,

KeyStore

SecureeID-RLs

eCard-API-Framework

Sichere Verbindung

http (Web)

Update eID-Sperrlisten (eID-RL),Berechtigungszertifikate (CVC)

LANWeb

Application Layer

VPN

BürgerClient

Vergabestellefür Berechtigungs-

zertifikate (VfB)

Nationale Zertifikatsdienste-

anbieter (ZDA)

GeschäftslogikDienste-anbieter

Sichere UmgebungSichere Speicherung

High Security Module(HSM), etc.

eCard-API-Framework


Europäische Perspektive:eID Large Scale Pilot

EU-Rahmenprogramm für Wettbewerbsfähigkeit und Innovation (CIP) Unterprogramm: IKT-Förderprogramm (ICT PSP)

eID LSP (Pilot Type A) bündelt nationale eID-Initiativen

Übergreifendes Ziel: eine europaweite eID Infrastruktur (pan-european eID management (eIDM) backbone)

Strategische Ziele des eID LSP

Beschleunigung der Entwicklung von eID für öffentliche Behördendienste

Koordinierung von nationalen und europäischen Initiativen

Test von sicheren und bedienungsfreundlichen eID-Lösungen

Aufbau von europäisch interoperablen, nationalen Piloten


Middleware-Ansatz

Card and Reader drivers

(middleware)

eService 1

eService 2

eService 3

Preliminary agreement

Consumer’s technical and functional commitments

Provider’s technical and functional policies

End-user MS.A CVCAPrimary Trust Area Secondary Trust Area

auth

oris

atio

n

eService 3

eService 3

eService 3

Service Consumer

Service Provider

1

2

3

5

7

4

6

MSBMSA

MSAMS.B CVCA

Cross Certification


WP6.1 Cross-Border Authentication Platform for Electronic Services

Arbeitspakete unter

deutscher Leitung:

6.1.1 eID tokens and e-services to be used

Auswahl geeigneter eID Token und e-Services

Definition von Vertrauenswürdigkeitsstufen (trust levels)

6.1.5 Implementation of Service-bw for Europe applications

Anbindung des Service-bw durch zu Beginn des Projektes festzulegende Anwendungen

Weitere EU-Partner mit Portallösungen im WP6:

Belgien (6.1.3), UK (6.1.4), Estland (6.1.6) und Österreich (6.1.7)

Inventory PhaseArchitecture

Phase Implementation Phase

WP1

WP7

WP2

WP3WP4

WP5

WP6

Zeit


Application

Internet

eID Server(eCard-API)

Bürgerclient(eCard-API)

Application

Internet

MOA-ID(server MW)

Bürgerkartenumg.(client MW)

Austria(middleware model)

Germany(middleware model)

other European middleware

other European proxy (PEPS)

STORK interoperability layer

Erster Schritt in Richtung Interoperabilität

http://www.a-trust.at/default.asp?node=345


Kontakt

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Bernd KowalskiGodesberger Allee 185 - 18953175 Bonn

Tel: 0228-99-9582-5700Fax: 0228-99-10-9582-5700

[email protected]

eCard-API Framework in Deutschland und Europa · November 2008 Folie 4 ... eine europaweite eID...

Documents

Transcript of eCard-API Framework in Deutschland und Europa · November 2008 Folie 4 ... eine europaweite eID...