SeGF 2014 | Das SSO-Portal des EJPD ermöglicht den sicheren Einsatz von mobilen Geräten in einem...

Eidgenössisches Justiz- und Polizeidepartement EJPD

Informatik Service Center ISC-EJPD

Die Mobile-ID

Das neue

Authentisierungsmittel

am SSO-Portal EJPD


Informatik Service Center ISC-EJPD Polizeifunk in einem Fahrzeug 1948



Die Referenten:

3 Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD

Peter Andres / Stephan Schweizer

Peter Andres, ISC-EJPD

Abteilungsleiter Technologie

Mitglied der Geschäftsleitung

Stephan Schweizer, AdNovum Informatik AG

Nevis Product Manager



Agenda

4

Wer ist das ISC-EJPD – eine Kurzvorstellung

Der Use-Case: Die Polizei bei der täglichen Arbeit

Die Anforderungen und Rahmenbedingungen

Die Integration ins SSO-Portal EJPD

Roadmap

Live-Demo

Fragen

Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD




Das ISC-EJPD (Informatik Service Center)

Kurzvorstellung

www.isc-ejpd.admin.ch



6

Unsere Tätigkeit

Als kompetenter Anbieter von hoch verfügbaren

Informationssystemen im sicherheitskritischen Umfeld

entwickeln und betreiben wir national und international

vernetzte, komplexe Fachanwendungen.

Der Schwerpunkt der von uns erstellten Fachanwen-

dungen liegt in den Bereichen „Polizei, Justiz und

Migration“.

Im Auftrag der Strafverfolgungsbehörden führen wir die

Überwachung des Post- und Fernmeldeverkehrs durch

und koordinieren die dazu notwendigen Aufgaben.





7

Unterstützte Kernaufgaben

Bereich Kernaufgaben

Polizei: - Fahndung (Personen-, Fahrzeug- und Sachfahndung)

- Kriminalpolizeiliche Ermittlung

- Nachrichtendienst

- Erkennungsdienst (Fingerabdrücke, DNA-Profile)

- Ausweiswesen

Justiz: - Registerführung (z.B. Straf-, Zivilstands-, Handelsregister)

- Spezifische Geschäftsverwaltung für die Justiz

Migration: - Asylwesen

- Visaerteilung

- Management der Einreise, Aufenthalt und Niederlassung von Ausländern





8

Unsere Endbenutzer und Partner

SSO-Portal

EJPD

· BK

· EDA

· EDI

· EJPD

· VBS

· EFD

· EVD

· UVEK

Kantone

· Kantonale Ämter

· Kantonspolizei

Gemeinden

Partner

· Nationale

· Internationale

Interpol

Schengen

Auslandvertretungen

· Botschaften





9

Die wichtigsten Kennzahlen

Kunden

Unterstützte Benutzer 36‘800

Davon innerhalb EJPD 2‘000

Personal

Interne Mitarbeitende 222

Lernende / Praktikanten 12

Externe Mitarbeitende ca. 95

Applikationen und Projekte

Unterstützte Anwendungen 146

Kundenprojekte 78





10

Referenz-Anwendungen

Anwendungen Benutzer Leistungsmerkmale

Single-Sign-On (SSO-Portal) 36‘800 Sicherheitsinfrastruktur

CH-Fahndungssystem (RIPOL) 27‘000 510‘000 Fälle

Migrationssystem (ZEMIS) 24‘000 6‘500‘000 Personen

Schengen-Fahndungssystem (SIS II) 15‘000 183‘000 Anfragen / Tag

Visumsausstellung (EVA) 4‘510 500‘000 Visa / Jahr

Strafregister (Vostra) 1‘500 570‘000 Personen

Standesregister (Infostar) 1‘300 1‘700‘000 Personen

Ausweisschriften (ISA) 1‘000 3‘000‘000 Ausweispapiere

Verarbeitungssystem Dienst ÜPF (ISS)

3‘000

9‘000 Überwachungs-

massnahmen





11

Für weiterführende Informationen stehen

wir Ihnen gerne zur Verfügung:


Fellerstrasse 15

3003 Bern

Tel.: +41 (0)31 323 78 11

www.isc-ejpd.admin.ch

[email protected]

Das ISC-EJPD ist für Sie da!





12

Die Mobile-ID

Das neue

Authentisierungsmittel

am SSO-Portal



13

Police goes mobile



14

Anwendungsszenario: Polizist@work

Polizeifahrzeug

Anwendungs-

Server Kanton

SIS (Schengen Information System )

EJPD-Portal EJPD-Anwendungen

Polizist

Kantonale

Umsysteme





Das Problem: Sicherheit versus Usability





16

Warum eine neue Authentisierungsart?

Anforderung: Kantonale Polizeikorps möchten

mit iOS Geräten auf das SSO-Portal zugreifen.

Polizeikorps möchten keine zusätzlichen Geräte

verwenden.

Die Sicherheit sollte gleich hoch sein wie bei der

Verwendung von Client-Zertifikaten (SmartCard)

beim Zugriff auf besonders schützenswerte

Daten.

Die SmartCard-Anbindung an mobile Geräte

ist nur schwer und umständlich realisierbar.



http://www.fotocommunity.de/pc/pc/display/30623187



17

Wir suchen eine (hoch)sichere mobile Lösung





18

SIM-Karte als Träger eines privaten und eines

öffentlichen Schlüssels (analog SmartCard)

Sicher – da starke kryptographische Verfahren

mit Zertifikaten angewendet werden (analog

SmartCard)

Unabhängig vom mobilen Gerät und vom

Betriebssystem des mobilen Geräts

Immer dabei – kein zusätzliches, umständliches

Gerät

Viele Anwendungsfälle (Authentisierung,

Signatur von Transaktionen)

Mobile-ID – Was ist die Idee?





19

iOS-Sicherheitsanalyse





20

Nur für iOS Geräte (iPhone / iPad)

Einsatz von Mobile Device Management

Zertifikate der Swisscom (1. Schritt) und der

AdminPKI (2. Schritt) werden akzeptiert.

Für die Freigabe des Zugriffs auf eine

Fachanwendung via Mobile-ID ist die

Zustimmung des jeweiligen Anwendungs-

verantwortlichen erforderlich.

Vorgaben der Bundesverwaltung sind

einzuhalten.

EJPD-Rahmenbedingungen





21

Anwendungsszenarios: Polizist@work

SSO-Portal EJPD

Service-Provider

EJPD-

Anwendungen

Anwendungs-

Server Kanton

Mobile Authentication

Service

Polizeifahrzeug

Mobile App

2 3

4 5

EJPD Identity Provider

1

7

6





22

Die Integration ins

EJPD SSO-Portal



Benutzersicht, Schritt 1:

23

Login mit User ID und Passwort:





Benutzersicht, Schritt 2:

24

TI-hdomx59y

Vergleich Transaktions-ID

und Eingabe PIN:





Technische Sicht: Die Akteure





Integrationsansatz mit Nevis

Zentralisierung der Mobile-ID-Funktionalitäten innerhalb Nevis

Vorteil: Keine Anpassungen an den 146 Applikationen!





EJPD SSO-Portal Architektur-Details

Integration Mobile ID

Web-Service

Mobile ID Credential-

Verwaltung





Schritt 1: Aktivierung bei Mobile-Provider

Voraussetzung: SIM-Karte muss für Mobile-ID-Service registriert sein.

Der Benutzer kann danach die gleiche SIM-Karte auch für die Authentisierung bei anderen Anbietern verwenden!





Schritt 2a: Aktivierung im EJPD SSO-Portal

Voraussetzung: Benutzer ist bereits stark authentisiert.





30

Schritt 2b: Aktivierung im EJPD SSO-Portal



Bestätigung der Mobile-Nummer durch Aktivierungscode



Credential-Verwaltung mit nevisIDM





32

Die Mobile-ID

Nächste Schritte



33

SIM-Karte mit integriertem Smartcard-Chip

Einfache Bedienung eines vertrauten Geräts

(ohne Zusatzgerät)

Verlust wird sofort bemerkt

ABER

Braucht GSM-Netz

Keine E-Mail-Verschlüsselung möglich

Ist nur bedingt kombinierbar (z.B. Batch)

Braucht ein Smartphone

Der Service ist kostenpflichtig (Swisscom)

Ist eine Ergänzung zur Smartcard

Vorteile: Einfach und sicher …aber





34

Q1 2013 – Spezifikationen (SSO-Portal)

Q1 2013 – Genehmigung auf Stufe Bund

Q3 2013 – Architektur-Durchstich

Q4 2013 – Proof of Concept Mobile ID

Authentication

Q1 2014 – Start Pilotbetrieb mit Kapo ZH

Q2 2014 – Pilotbetrieb Mobile ID

Authentication (max. 40 User, 3-4

weitere Korps [BE / GE, SG, AI],

gestaffelt)

Q1 2015 – Produktionsaufnahme Mobile ID

Authentication*

* Abhängig von Pilotbetrieb, noch keine Zusage des EJPD

Roadmap





35 Die Mobile-ID Die neue Authentisierung am SSO-Portals

Peter Andres

Die Mobile-ID

Funktion in der Praxis



36

Live-Demo mit dem SSO-Portal

SSO-Portal [IdP / SP] Applikation(en) 2

Mobile Authentication Service

[Swisscom]

Verschlüsselter und

signierter SMS-

Austausch 3G Network

3

4

5

1

HTTP over SSL

6

Authentication Service

[SSO-Portal]

Challenge (Text) Challenge (Text)



https://mobileid-demo.adnovum.ch/portal/?login




Peter Andres / Stephan Schweizer Live-Demo

http://www.google.ch/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=iLJ1GOhnT2hbpM&tbnid=l2XcVB4uQ2EXfM:&ved=0CAUQjRw&url=http://www.tv-testbild.com/html/color.htm&ei=2wAGU4rUN8nUtAap6YGABA&bvm=bv.61725948,d.Yms&psig=AFQjCNEsb7gw-LFGt_DL8Zc3kYvPHQW-mQ&ust=1392988757638280



38

Fragen



SeGF 2014 | Das SSO-Portal des EJPD ermöglicht den sicheren Einsatz von mobilen Geräten in einem...

Business

Transcript of SeGF 2014 | Das SSO-Portal des EJPD ermöglicht den sicheren Einsatz von mobilen Geräten in einem...