Grundlagen und praktische Aspekte des neuen Personalausweises

Fraunhofer SITFraunhofer SITEinführung des neuen Personalausweis (nPA)

DFN-Betriebstagung / 26.10.2010

Sven VowéSIT / Transaktions- und Dokumentensicherheit (TAD)

1Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis

Themen des VortragsThemen des Vortrags

Vorstellung Fraunhofer SIT

Nutzungsvoraussetzungen für Bürger

Nutzungsvoraussetzungen für Dienstanbieter

Technischer Ablauf der eID AnwendungTechnischer Ablauf der eID-Anwendung

Anwendungstest

Ziele

Teilnehmer und Anwendungsfälle

Support

SIT im Anwendungstest

Aktueller Stand des Projekts


Our MissionFraunhofer SITFraunhofer SIT

Fraunhofer Institute for Secure I f i T h l (SIT)

Our MissionFraunhofer SIT

Information Technology (SIT)

Goals

Secure, Economic, CompliantSecure, Economic, Compliant

Ready-to-use, User-friendly

179 employees (June 2009)

105 research

21 d i i t ti21 administration

32 students

21 apprentices & trainees21 apprentices & trainees


Kompetenzen

Digital Identities

Kompetenzen

Biometrics

Hardware & embedded security

Information Rights ManagementInformation Rights Management

Side channel attacks / robustness

Methods for security testing

Risk-Management

IT-Forensics

PKI / telematics

Security validation / modells

Process-Security Anti-Product-Piracy

Data protection / web 2.0

SOA- & Cloud-Security

Process-Security

OS-Security

Identity Management SOA & Cloud Security

PKI / telematics

Security validation / modells

Longterm security & digital signatures

Security by means of IT


Web & Internet security Security by means of IT

Nutzungsvoraussetzungen - BürgerNutzungsvoraussetzungen Bürger

Der Bürger benötigt:

PC/Mac mit Internetzugang

Den neuen Personalausweis (nPA)

Mit aktivierter eID-FunktionMit aktivierter eID Funktion

Mit aktivierter eID-PIN (6-stellig)

Ei k k l K l fü di ID A dEinen kontaktlosen Kartenleser für die eID-Anwendung

Die Software ‘AusweisApp’



Der neue Personalausweis (nPA)

Scheckkartenformat (ID-1)

SmartCard

CC ZertifizierungCC-Zertifizierung

Kontaktloser RFID-Chip

ISO-14443 Interface

Arbeitsreichweite: max. 3,5 cm

„Unique Identifier“ jeweils zufällig

Kostenentwurf / Kommunale Abweichungen möglich

Unter 24 Jahre: 19,80 €

Normalpreis (ab 24 Jahre): 28 80 €Normalpreis (ab 24 Jahre): 28,80 €

Aktivieren / Deaktivieren der eID-Funktion: 6 €



Elektronische Anwendungen

Hoheitliche Anwendung

Digitales Lichtbild, Pflicht

2 Fingerabdrücke Optional2 Fingerabdrücke, Optional

eID-Anwendung

Elektronischer Identitätsnachweis

Nutzung eGovernment & eBusiness

Optional

Signatur-Anwendung

Aufbringen der QES möglich

Zusatzkosten für den BürgerZusatzkosten für den Bürger

Optional



Datenstrukturen auf dem Chip



Datenstrukturen auf dem Chip – eID-Anwendung



Spezialfunktionen des nPA

Altersverifikation

Chip erhält Datum zur Überprüfung der Altersgrenze

Chip liefert zurück ob Ausweishalter älter oder nicht (TRUE/FALSE) Chip liefert zurück, ob Ausweishalter älter oder nicht (TRUE/FALSE)

Wohnortsverifikation

Chip erhält Amtlichen Gemeindeschlüssel (AGS)

AGS = Bundesland | Regierungsbezirk | Stadt oder Kreis | Gemeinde

Beispiel: 0276 (Deutschland) 06 (Hessen) 411 (Darmstadt)

Chip prüft intern auf Übereinstimmung (TRUE / FALSE)

Pseudonym / Dienste- und kartenspezifisches Kennzeichen

Chip erhält Merkmal des Dienstanbieters M und Domain-Parameter dChip erhält Merkmal des Dienstanbieters MDA und Domain-Parameter d

Chip errechnet intern mit geheimen Merkmal MNPA

Pseudonym = Hash ( DH-Key-Agreement ( MDA , MNPA , d ))



Kontaktloser Kartenleser für eID-Anwendung

CAT-B: Klasse-1-Leser (Basisleser)

ohne PIN-Pad !

>10 EUR>10 EUR

CAT-S: Klasse-2-Leser (Standardleser)

mit PIN-Pad

>30 EUR

CAT-K: Klasse-3-Leser (Komfortleser)

mit PIN-Pad

eigenes Display

>100 EUR>100 EUR

mit spezieller BSI-Zertifizierung als Signaturkomponente geeignet



Software ‘AusweisApp’

Ermöglicht Bürgern die einfache Nutzung der eID-Anwendung

nPA-Initialisierung (Transport-PIN eID-PIN)

GUI für eID-Anwendung: Wahl der Datengruppen PIN-EingabeGUI für eID Anwendung: Wahl der Datengruppen, PIN Eingabe

Ausschreibung des Bundesministerium des Innern (Mitte 2009)

Gewinner Siemens/Bundesdruckerei/OpenLimit

AusweisApp und eID-Server

kostenfrei erhältlich

Unterstützte Betriebssysteme

Windows 2000, Windows XP, Windows Vista, Windows 7

Debian 5 0 (2 6 26+) Ubuntu 9 04 (2 6 29+) OpenSUSE 11 1 (2 6 27+)Debian 5.0 (2.6.26+), Ubuntu 9.04 (2.6.29+), OpenSUSE 11.1 (2.6.27+)

Mac OS X 10.5+

Browser-Plugins


Firefox, Safari, Internet Explorer

Nutzungsvoraussetzungen - DienstNutzungsvoraussetzungen Dienst

Dienstanbieter benötigen:

Berechtigungszertifikatg g

Anbindung an eID-Server



Beantragung einer Berechtigung beim Bundesverwaltungsamt:

Unternehmensdaten (u.a. Name, Sitz)

Zweck des Berechtigungszertifikatsg g

Beschreibung des Dienstangebots

Gewünschter Zugriff auf Datenfelder des nPA (!)

Handelsregisterauszug

Verantwortliche Datenschutzaufsichtsbehörde

NutzungsbedingungenNutzungsbedingungen

Nach Erforderlichkeitsüberprüfung wird Genehmigung erteilt / abgelehnt

Beantragungsprozess seit Sommer 2010 LIVE



Anbindung an eID-Server

Betreiben eines eigenen eID-Servers

Hohe Sicherheitsanforderungen

Eigene Verwaltung der BerechtigungszertifikateEigene Verwaltung der Berechtigungszertifikate

Nur in Einzelfällen

Nutzung eines externen mandantenfähigen eID-Service

Service-Level-Agreement (SLA) mit eID-Service

Verwaltung der Berechtigungszertifikate im Auftrag

Abwicklung der eID-Anwendung im Auftrag

Integration in eigene Web-Applikation

2 Anbindungen an eID-Service spezifiziert (BSI TR-03130)2 Anbindungen an eID-Service spezifiziert (BSI TR-03130)

Im Anwendungstest: SAML (user-centric)

Alternative: Web-Service (hier nicht betrachtet)


Ablauf der eID-AnwendungAblauf der eID Anwendung

PC / Kartenleser

BrowserBrowserHTTPSHTTPS

Server Dienstanbieter

Schritt 1

Bü b ht W b B d Di t b t


Bürger besucht per Web-Browser das Dienstangebot

Authentifizierung per eID wird ausgewählt




HTTPS-Redirect

PC


S h i 2

eID-Server

Schritt 2

Dienstanbieter leitet Authentisierungsanfrage an eID-Server weiter

In Form eines SAML-Request (GET-Parameter im HTTPS-Redirect)In Form eines SAML Request (GET Parameter im HTTPS Redirect)

SAML-Request signiert und verschlüsselt

Enthält u.a. auszulesende Datengruppen und ID des Dienstanbieters



PCBrowser

B o se Pl gin

BrowserBrowserHTTPSHTTPS

Schritt 3

Browser-PluginAusweisApp

eID-Server

Schritt 3

eID-Server liefert Webseite mit eingebettetem OBJECT-Tag aus

OBJECT hat speziellen MIME-Type und Parameter

Browser-Plugin des BürgerClients hat MIME-Type-Handler

Parameter werden ausgelesen


BürgerClient wird gestartet (Parameter werden übergeben)


PCBrowser

B o se Pl gin

AusweisAppAusweisAppTLSTLS

Schritt 4

Browser-PluginAusweisApp

eID-Server

Schritt 4

AusweisApp baut Verbindung zu eID-Server auf

Kanal per TLS geschützt

BürgerClient erhält

Datenschutzerklärung des Dienstanbieters


Liste der auszulesenden Datengruppen


PCA s eisApp

Schritt 5

AusweisApp

Schritt 5

Die AusweisApp führt den Benutzer durch die Authentifizierung

Anzeige der Dienstanbieterangaben

Auswählen der zu übertragenen Datenfelder

Eingabe der PIN

Ü


Ablauf der Sicherheitsprotokolle und Übertragung der Daten


21Fraunhofer SIT – Technisches Kompetenzzentrum neuer Personalausweis 21


PACEPACE

PCKartenleser

nPA

PACEPACE

Schritt 6Schritt 6

Schutz der kontaktlosen Schnittstelle

PACE = Password Authenticated Connection Establishment (TR-03110)

Kryptographisches Protokoll (Diffie-Hellman / Elliptic Curve Cryptography)

Etabliert geschützten Kanal


Eingabe = eID-PIN des Bürgers


PCKartenleserTerminal AuthenticationTerminal Authentication

Schritt 7

eID-Server

nPA

Schritt 7

eID-Server authentifiziert sich gegenüber nPA

Terminal Authentication (TR-03110)

Challenge-Response Protokoll

eID-Server überträgt Berechtigungszertifikat des Dienstanbieters


nPA validiert das Zertifikat


PCKartenleserChip AuthenticationChip Authentication

Schritt 8

eID-Server

nPA

Schritt 8

nPA authentifiziert sich gegenüber eID-Server

Chip Authentication (TR-03110)

nPA weist nach, dass er ein gültiger Personalausweis ist

Schritt 6-8 = Extended Access Control (EAC)


Ergebnis: Ende-zu-Ende-Sicherheit zwischen nPA und eID-Server


PCKartenleserTransmitTransmit

Schritt 9

eID-Server

nPA

Schritt 9

Übertragen der Datengruppen durch geschützten Kanal zum eID-Server




HTTPS-Redirect

PC


S h i 10

eID-Server

Schritt 10

eID-Server leitet Authentisierungsantwort an Dienstanbieter weiter

In Form eines SAML-Response (POST-Daten im HTTPS-Redirect)In Form eines SAML Response (POST Daten im HTTPS Redirect)

SAML-Response signiert und verschlüsselt

Enthält die ausgelesenen Datengruppen


Anwendungstest – OrganisationAnwendungstest Organisation

Auftraggeber: BMIgg

Technische Richtlinien: BSI

Kompetenzzentrum Neuer Personalausweis

Konsortialführer BearingPoint

Steria Mummert Consulting

Technisches KompetenzzentrumTechnisches Kompetenzzentrum

Fraunhofer FOKUS

Fraunhofer SIT

Entwicklung, Betrieb und Support AusweisApp und eID-Service

Industriekonsortium mit Konsortialführer: Siemens

Kartenproduktion und -Ausgabe, Betrieb eID-Service: Bundesdruckerei

Entwicklung und Support BürgerClient: OpenLimit


Entwicklung und Support BürgerClient: OpenLimit

Anwendungstest - TeilnehmerAnwendungstest Teilnehmer

Testeilnehmer Testszenario

Air Berlin PLC & Co. Luftverkehrs KG Fluggastabfertigung

Allianz Deutschland AG Kundenserviceprozesse im Versicherungsportal

Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) KFZ-Zulassungsverfahren OK.VORFAHRT u.a.

ARGE eKfz Teilprojekte eKFZ u a ARGE eKfz Teilprojekte eKFZ u.a.

Bayerisches Landesamt für Steuern, Bereich IUK, Verfahrens-Management ELSTER (BLSt-ELSTER)

Registrierungsverfahren für die Teilnahme am ELSTER-Verfahren über das Elster-Online-Portal (elektronische Steuererklärung)

CosmosDirekt Versicherungen Authentisierte Willenserklärungen / Mitteilungen

Datenzentrale Baden-Württemberg (DZB) Online Gewerbeanzeige des Kommunalen Gewerbemanagements (KoGeMa)

Deutsche Kreditbank (DKB) Direktbank

Deutsche Rentenversicherung (DRV) eService der Deutschen Rentenversicherungg ( ) g

d-hosting die rackspace & Connectivity GmbH im Auftrag der Selbsthilfeverbände von Menschen mit Behinderungen

Verfahren für Menschen mit Behinderung oder chronischen Erkrankungen

FRITZ & MACZIOL GmbH Elektronisches Abfallnachweisverfahren (eANV)

Fujitsu Technology Solutions GmbH "Fujitsu Online Shop Deutschland" Fujitsu Technology Solutions GmbH Fujitsu Online Shop Deutschland

Gothaer Allgemeine Versicherung AG Antragstellung

Hagener E-Government Konsortium (Stadt Hagen, HABIT, Fernuniversität Hagen, SAP, u.a.)

Kommunale Verwaltungsdienstleistungen im virtuellen Rathaus21


Anwendungstest - TeilnehmerAnwendungstest Teilnehmer

Testeilnehmer Testszenario

HSH Soft- und Hardware Vertriebs GmbH E-Bürgerservice

HUK24 AG Online-Versicherungen

Informatikzentrum der Sparkassenorganisation GmbH (SIZ) Online-Beantragung von qualifizierten elektronischen Signaturen

]Init[ AG in Zusammenarbeit mit AG Extrapol der Polizeien des Bundes und der Länder

Länderübergreifenden Polizeizusammenarbeit auf der Plattform EXTRAPOL

InterCard AG Kundenkarte mit Zahlfunktion

Lotterie-Treuhandgesellschaft GlücksspielLotterie Treuhandgesellschaft Glücksspiel

LVM-Versicherungen Authentifizierung, Portalzugang, Adressübernahme

Provinzial Rheinland AG Versicherungsbeantragung

Schufa Holding AG Verbraucherportal „meineschufa.de“ und Online-Antrag zur EigenauskunftOnline-Antrag zur Eigenauskunft

Tönjes Holding AG Identitätsnachweis bei Kfz - Online - Zulassungen

T-Systems in Zusammenarbeit mit dem Innenministerium Baden-Württemberg

Verwaltungsdiensteportal des Landes Baden-Württemberg „mein service-bw“ und EU-DLR (Teilbereiche)

Umweltbundesamt - Deutsche Emissionshandelsstelle (DEHSt)

Antrag auf Zuteilung von Emissionszertifikaten und Emissionsberichterstattung

Verkehrsverbund Rhein-Ruhr (VRR) eTicket-System


Willi Weber GmbH & Co. Kg Altersverifikation an Zigarettenautomaten

Anwendungstest - AnwendungsfälleAnwendungstest Anwendungsfälle

Registrierung für Dienstleistungen

18%

Altersverfikation8%

Sonstige Anwendungen12%

Internetservices und elektronische Hilfen für behinderte Menschen

4%18%

Online-Beantragung qeS 6%

Zugangskontrolle5%

Automatisches Ausfüllen

Registrierung für Dienstleistungen mittels

Pseudonym10%

Eröffnung Benutzerkontos und Anmeldung am

sicheren DE-Mail-Dienst 6% E-Government-Suiten Automatisches Ausfüllen

von Web-Formularen 15%

10%6%

Quelle: Steria Mummert Consulting


Anwendungstest – Rolle des SITAnwendungstest Rolle des SIT

Schulungen und Support für technische Anfrageng pp g

Fachkompetenz technische Richtlinien + IT-Sicherheit

Testdienst (Referenzimplementierung eID-Anwendung)

Maximaler Schutz der Schlüssel durch Hardware Security Module

Ticket-System (2nd Level Support)

Testmanagement Tool für ProbandenTestmanagement-Tool für Probanden

Sicherheitstests der eID-Infrastruktur-Komponenten

Zusammenspiel AusweisApp / eID-Server / Dienstanbieter

eID-Integration ins Webangebot des Dienstanbieters


Anwendungstest – Aktueller StandAnwendungstest Aktueller Stand

Beantragung des nPA möglich ab 01.11.2010g g g

Geschätzte Lieferzeit des beantragten nPA ~2-3 Wochen

3 Basis Kartenleser (Klasse 1) bereits BSI zertifiziert3 Basis-Kartenleser (Klasse 1) bereits BSI-zertifiziert

>10 Kartenleser aller Klassen derzeit in Zertifizierungsprozess

Liste der verfügbaren Kartenleser und Zertifizierungsstatusg g

www.ccepa.de Technische Informationen Kartenleser

Am 01.11.2010 schalten einige Dienstanbieter nPA-Authentisierung LIVE

Verlängerung des Anwendungstests bis zum 31.12.2010 beschlossen

Weitere eID Server / eID Service Anbieter in 2010 / 2011:Weitere eID-Server / eID-Service Anbieter in 2010 / 2011:

bos (Bremen Online Services)

MTG (Media Transfer AG)


( )

Teilnahme offener AnwendungstestTeilnahme offener Anwendungstest

VoIP Authentisierung mit dem neuen Personalausweisg

In-House Entwicklung des Fraunhofer SIT

Gegenseitige Authentifizierung der Gesprächspartner

Ende-zu-Ende-Verschlüssselung der Mediendatenströme

Kommunikation mit Call-Centern im E-Business / E-Government

Zertifikatsvergabe in der DFN-PKI mit dem neuen Personalausweis

Universität Koblenz-Landau / FB4 / IT-Risk Management (Prof. Grimm)g ( )

Prototypische Implementierung im Rahmen des Praktikum „ePA4“

Kooperation mit Fraunhofer SIT

Praktikum beinahe abgeschlossen – lauffähig mit DFN Test-PKI via SOAP-API


Fragen ?Fragen ?

Vielen Dank für Ihre Aufmerksamkeit :-))


QuellenQuellen

Bundesministerium des Innern (BMI), Pressemitteilung 03.06.2010http://www.bmi.bund.de/cln_174/SharedDocs/Pressemitteilungen/DE/2010/mitMarginalspalte/p // / _ / / g / / / g p /06/neuer_personalausweis.html

Bundesamt für Sicherheit in der Informationstechnik (BSI)Technische Richtlinie TR-03110 – EAC and PACE v2.02

Bundesamt für Sicherheit in der Informationstechnik (BSI)Technische Richtlinie TR-03130 - eID-Server Version 1.1

Bundesamt für Sicherheit in der Informationstechnik (BSI) Technische Richtlinie TR 03127 Technische Richtlinie TR-03127 -Architektur Elektronischer Personalausweis Version 1.01

Bundesamt für Sicherheit in der Informationstechnik (BSI) Technische Richtlinie TR-03128 -EAC-PKI‘n für den elektronischen Personalausweis Version 1.0

OpenLimitAusweisApp Testversion 4 Update 1 und 2 – QuickGuide

Kompetenzzentrum Neuer PersonalausweisBearingPoint Consulting, Steria Mummert Consulting, Fraunhofer FOKUS, Fraunhofer SITPräsentation zum Anwendungstest

Wikimedia Commons Server Bildchen


Wikimedia Commons – Server-Bildchenhttp://upload.wikimedia.org/wikipedia/commons/d/d7/Gnome-network-server.svg

Grundlagen und praktische Aspekte des neuen Personalausweises

Documents

Transcript of Grundlagen und praktische Aspekte des neuen Personalausweises