Sicherheit von Fernidentifizierungsverfahren - edvgt.de · durch Vertrauensniveaus angelehnt an...

Sicherheit von Fernidentifizierungsverfahren

Saarbrücken, 20. September 2017

Ulf Löckmann | Sicherheit von Fernidentifizierungsverfahren | 28.09.2017 | Seite 2

Potenzielle Anwendungsgebiete für FernidentifizierungsverfahrenGrundlage Anwendung gesetzl. Anforderung (gekürzt)

§§ 12, 13 GwG z. B. Kontoeröffnung eID*; qeS;sonstige Verfahren mit gleichwertiger Sicherheit (gem. RV)

Art. 24 Abs. 1 eIDAS-VO

Ausstellung qualifizierter Zertifikate

eID*, qeS; sonstige national anerkannte Verfahren mit gleichwertiger Sicherheit

§ 111 Abs. 1 TKG Freischaltung von Prepaid-Mobilfunkdiensten

andere geeignete Verfahren (gem. Verfügung)

§ 3 Abs. 3 De-Mail-G

Eröffnung eines De-Mail-Kontos

eID; qeS; sonstige geeignete technische Verfahren mit gleichwertiger Sicherheit

div. / keine z. B. Altersverifikation, Online-Zugänge, ...


Ziele einer sicheren Fernidentifizierung

Gewährleistung einer zuverlässigen Identifizierung:

● Existenz: Es gibt eine Person, auf die alle angegebenen Attribute zutreffen.● Legitimität: Alle Attribute gehören zu der handelnden Person.● Eindeutigkeit: Keine zwei Personen verfügen über identische Werte


Ziele einer sicheren Fernidentifizierung– Existenz –

Gewährleistung der Existenz:

● Vertrauenswürdige ID-Dokumente● Vertrauenswürdige Übertragungskanäle● Zuverlässige Prüfung der ID-Dokumente● Zuverlässige Prüfung verwendeter Übertragungskanäle


Ziele einer sicheren Fernidentifizierung– Legitimität –

Gewährleistung der Legitimität:

● Vertrauenswürdige ID-Dokumente● Vertrauenswürdige Übertragungskanäle● Zuverlässige Prüfung der ID-Dokumente

● Zuverlässige Prüfung verwendeter Übertragungskanäle● Zuverlässiger Abgleich zwischen der zu identifizierenden Person

und dem ID-Dokument

Abgleich nur mit existierender

Identität


Ziele einer sicheren Fernidentifizierung– Eindeutigkeit –

Gewährleistung der Eindeutigkeit:

● Erfasste ID-Attribute ermöglichen eine eindeutige Identifizierung● Korrekte Erfassung der benötigten ID-Attribute


Grundlegende Kriterien für Vertrauensniveaus (TR-03107-1; Auszug)

normal substanziell hoch

Enrolment bekannte Stelle vertrauenswürdige Stelle vertrauenswürdige Stelle

- Identitätsprüfung nach eIDAS Durchführungsverordnung (EU) 2015/1502

- Ausgabe nur an Berechtigte nur an Berechtigtezwei Wege

nur an Berechtigtezwei Wege

explizite Aktivierung

Authentisierung sicher gegen Angriffspotenzial enhanced-basic

sicher gegen Angriffspotenzial moderate

sicher gegen Angriffspotenzial high

- Faktoren ein Faktor zwei Faktoren zwei Faktorenmanipulationssicher

- Verfahren dynamische Authentisierung dynamische Authentisierung

Rückruf/Sperrung ≤ 24h ≤ 2h ≤ 1h

Absicherung von Kommunikations-beziehungen

Absicherung auf Transportebene

Ende-zu-Ende-Beziehung bzw. Absicherung durch

vertrauenswürdige Stellen

Ende-zu-Ende-Beziehung bzw. Absicherung durch

vertrauenswürdige Stellen

für Formvorschriften gelten ggf. besondere Anforderungen


Online-Ausweisfunktion: Vertrauensniveau hoch

● persönliche Identifizierung in der Meldebehörde● persönliche Ausgabe● separater PIN-Brief, Aktivierung durch Ablösung der Transport-PIN● Verwendung durch Wissen und Besitz● maximal drei Fehleingaben● Sperrhotline 24x7● Vertrauenswürdigkeit und Prüfbarkeit durch staatliche PKI● Ende-zu-Ende-Vertrauensbeziehung und -Verschlüsselung durch sichere

Chip-Authentisierung


Aktuelles zurOnline-Ausweisfunktion

Aktuelles zur Online-Ausweisfunktion des Personalausweises/eAT:● Notifizierung nach eIDAS-Verordnung auf Niveau hoch läuft● Verpflichtung zur Anerkennung durch alle Mitgliedsstaaten vrsl. ab 09/2018● Vereinfachte Nutzbarkeit durch mobile AusweisApp2● Angestrebt durch Änderung des PAuswG (07/2017):

● Vereinfachung der Vergabe von Berechtigungszertifikaten● Steigerung der Verbreitung der eID-Funktion


Ziele einer sicheren videobasierten Fernidentifizierung

Gewährleistung einer zuverlässigen Identifizierung mittels Videochat:

● Existenz: Der Ausweis ist echt, gültig und unverfälscht.● Legitimität: Der Ausweis gehört der handelnden Person.● Eindeutigkeit: Der ausgelesene Datensatz ist eindeutig.

Voraussetzungen (u. a.):

1. Physische (Ver-)Fälschungen der Person (z. B. Maske) und des Ausweisdokuments müssen zuverlässig erkennbar sein.

2. Manipulationen und Simulationen auf videobearbeitungstechnischer Ebene müssen ausgeschlossen werden können.


Ziele einer sicheren videobasierten Fernidentifizierung

1. Physische (Ver-)Fälschungen der Person (z. B. Maske) und des Ausweisdokuments müssen zuverlässig erkennbar sein.

2. Manipulationen und Simulationen auf videobearbeitungstechnischer Ebene müssen ausgeschlossen werden können.

http://lgdv.cs.fau.de/GGTSPU-fw1.bsi.bund.de-12088-1168379-N7lNdD57y62jHgMU-DAT/uploads//publications/thies2015realtime.pdf

https://www.youtube.com/watch?v=ohmajJTcpNk




Analyse der videobasierten Fernidentifizierung

Schwerpunkt:Manipulationen und Simulationen des Ausweisdokuments auf videobearbeitungstechnischer Ebene

Projekt:Verschiedene bild-/videobearbeitungstechnische Manipulationsansätze wurden analysiert und hinsichtlich ihres Aufwands abgeschätzt.

Ressourcen:● Vollzeitäquivalente Fachkräfte: 1● Projektlaufzeit: 6 Monate


Sicherheitsmerkmaledes Personalausweises

Quelle: https://www.kartensicherheit.de/files/pdf1/Flyer_Bundesdruckerei_Sicherheitsmerkmale_nPA.pdf

1+14 Mehrfarbige Guillochen.Guillochen sind Schutzmuster ausfeinen, ineinander verschlungenenLinien. Bei Reproduktionen werdendie Linienstrukturen des Originals

in punktierte Rasterstrukturen aufgelöst. Die Guillochen zeigen als zentrale Motive auf der Vorderseite den Bundesadler und auf der Rückseite das Brandenburger Tor.

2+15 Mikroschriften. In dasSicherheitsdruckdesign ist alsPositiv- und Negativmikroschriftder Schriftzug „BUNDES-REPUBLIK DEUTSCHLAND“integriert.

3+16 UV-Aufdruck. Unter UV-Beleuchtung luminesziert das Guillochenmotiv in mehreren Farben. Auf der Vorderseite ist zusätzlich ein UV-Aufdruck mit Bundesadlern und der Endlosschrift „BUNDESREPUBLIK

DEUTSCHLAND“ enthalten. 4 Optisch variable Farben. Das Erscheinungsbild der Titelzeile „BUNDESREPUBLIK DEUTSCHLAND“ geht beim Kippen der Karte – je nach Betrachtungswinkel – von Grün in Blau über.

5 Holografisches Porträt. Das Lichtbild wird bei Betrachtung unter flacherem Winkel rechts neben dem herkömmlichen Bild in holografischer Form sichtbar. In diese Sekundärdarstellung des Ausweisfotos sind vier Bundesadlermotive eingearbeitet.6 3D-Bundesadler. Eine 3D-Darstellung des Bundesadlers ist unter bestimmten Betrachtungswinkeln in roter Farbe über der sechsstelligen Kartenzugangsnummer erkennbar.

7 Kinematische Bewegungsstrukturen. Die über dem herkömmlichen Lichtbild angeordneten Bewegungsstrukturen zeigen einen von zwölf Sternen umgebenen Bundesadler. Durch Kippen der Ausweiskarte verwandelt sich das Adlermotiv über eine Sechseckstruktur in den Buchstaben „D“. Außerdem bewegen sich die Sechsecke; die Sterne verändern abwechselnd ihre Größe.8 Makroschriften. Über dem linken Rand des herkömmlichen Lichtbildes erscheint im Hologramm ein geschwungenes Makroschriftband mit dem Text „BUNDESREPUBLIK DEUTSCHLAND“, an das sich mehrere Mikroschriftzeilen mit gleichem Inhalt anschließen.

9 Kontrastumkehr. Beim Kippender Karte erfolgt beimkinematischen Adlermotiv eineKontrastumkehr: Der zunächsthelle Adler erscheint nun dunkelin einer hellen Sechseckfläche.

10 Maschinell prüfbare Struktur. Das Identigram® enthält eine Struktur, die neben der Sichtkontrolle auch einemaschinelle Echtheitsprüfung des Ausweises ermöglicht. Diese Struktur beinhaltet keine personenbezogenen oder dokumentenspezifischen Daten.11 Farbintegrationstechnik (InnoSec®FUSION). Das Lichtbild wird über das Personalisierungssystem InnoSec®FUSION farbig dargestellt und sicher in das Material der Karte integriert. Mit der gleichen Technik wird die alphanumerische Seriennummer (in OCR-B-Schrift) eingebracht.12+20 Lasergravur. Alle Personalisierungsdaten – außerLichtbild und Seriennummer – sind mittels Lasergravurkontrastreich in die inneren Kartenschichten des Ausweiskörpers integriert.

13 Taktile Merkmale. Das Gültigkeitsdatum und die sechsstellige Kartenzugangsnummer auf der Vorderseite des Personalausweises werden per Lasergravur als fühlbare Schrift aufgebracht.

17 Personalausweislogo. Dieses Logo wird auf der Rückseite der Ausweiskarte abgebildet. Es kennzeichnet seit November 2010 auch Anwendungen und Lesegeräte, die den neuen Personalausweis unterstützen.

18 Melierfasern. Auf der Ausweisrückseite sind transparente Melierfasern in das Kartenmaterial integriert. Diese sind unregelmäßig verteilt und lumineszieren unter UV-Beleuchtung.

19 Oberflächenprägung. Eine Sicherheits- prägung von Mikroschriften und einer Deutschlandkarte auf der Kartenrückseite verleihen dem Dokument im linken oberen Bereich eine reliefartig fühlbare Oberfläche. 21 Laserkippbild. Im so genannten Changeable Laser Image (CLI) werden – je nach Betrachtungswinkel – das Gültigkeitsdatum des Dokuments oder das Porträt des Ausweisinhabers sichtbar.

22 Maschinenlesbare Zone. Die maschinenlesbaren Zeilenauf der Ausweisrückseite enthalten Dokumententyp,Ausstellungsland, Seriennummer, Geburtsdatum, Gültigkeits-datum, Staatsangehörigkeit, Namen sowie Prüfziffern inmaschinell lesbarer Form (OCR-B).

23 Personalisierter Sicherheitsfaden. Auf der Ausweisrückseite verläuft horizontal ein maschinell prüfbarer Sicherheitsfaden, der mit der Dokumentennummer sowie dem Namen des Ausweisinhabers personalisiert wird.

Nachträgliche Adressänderungen werden auch beim neuenPersonalausweis mittels eines Aufklebers verzeichnet, der durch eine transparente Folie geschützt sein kann. Das für den Aufkleber verwendete Sicherheitspapier ist mit einem zwei-farbigen Guillochenmotiv bedruckt und enthält spezielleFasern, die unter UV-Beleuchtung mehrfarbig lumineszieren. Neben der neuen Anschrift wird auf dem Adressaufkleber auch die Seriennummer des Ausweises eingetragen sowie das Dienstsiegel der zuständigen Behörde angebracht.

https://www.kartensicherheit.de/files/pdf1/Flyer_Bundesdruckerei_Sicherheitsmerkmale_nPA.pdf


Erstellung Ausweisvorlage


Erstellung Ausweisvorlage (Rückseite)


Angriffsszenario bei der videobasierten Fernidentifizierung


Technische Voraussetzungen

Standardkomponenten

● Handelsüblicher PC (leistungsfähigeGrafikkarte, schneller Prozessor)

● Höherwertige Kamera● Farblaserdrucker● ggf. Hardware-Delay für Sound● ggf. Panoramakamera

für Lichtquellensimulation


Ablauf der „Identifizierung“

● Gedruckte Vorlage (einfach, ohne Sicherheitsmerkmale)● Aufnahme der Reflexionssimulation (individuelles Lichtquellenmuster)● Tracking durch Prozessor● Berechnung der optisch variablen Merkmale und Spiegelungen auf der

Grafikkarte● quasi Echtzeitberechnung, Sicherheitspuffer einstellbar● künstliches Verrauschen der digitalen Bilder● Einspielung in den Videochat


Mindestmaßnahmen für videobasierte Fernidentifizierung

● Absicherung der Kommunikation (Verpflichtende Ende-zu-Ende- Verschlüsselung der Videoverbindung, Umsetzung der Empfehlungen aus TR-02102)

● Abgleich von Form und Inhalt der optischen Sicherheitsmerkmale zu den auf dem Ausweis enthaltenen Merkmalen und zu Referenzen (mittels Standbildern oder durch technische Unterstützung)

● Zufällige Aufforderung zur Überdeckung und Bewegung des Ausweisdokuments und des Gesichtes / Kopfes; Prüfung auf Artefakte mittels Ausschnittsvergrößerung

● Psychologische Fragestellungen und Beobachtungen im Prozess (Plausibilität, Absicht der handelnden Person)

● Automatisierte Gültigkeits- und Plausibilitätsprüfungen Ausweisdaten


Weitere Ansätze zur Identifizierung

„Ketten-Identifizierung“● Vertrauensniveau wird u. a. bestimmt durch

- Autentifizierungsmittel und -verfahren- Vertrauenswürdigkeit des Dienstleisters und der Daten- Absicherung der Kommunikationsbeziehung- Sicherstellung der Aktualität der Daten?

● Verfügung gem. § 111 TKG: „Vorab-Verifikation“ / „Identifizierung auf Vorrat“

→ Authentifizierung durch einfache PIN→ keine Anforderungen an die Aktualität der Daten

andere elektronische Identitäten…


eIDs nach eIDAS-Verordnung

● Verwendung bestehender nationaler Systeme● Einheitliche Vertrauensniveaus● Einsatzmöglichkeit in allen Mitgliedsstaaten● Verpflichtende Anerkennung notifizierter Systeme● Notifizierung der Online-Ausweisfunktion auf Niveau hoch läuft


Vertrauensniveaubewertung von Verfahren zur Identitätsprüfung natürlicher Personen

● Neue Technische Richtlinie des BSI TR-03147● Vergleichbarkeit von Identifizierungsverfahren

durch Vertrauensniveaus angelehnt an eIDAS-Verordnung und ISO 29115● Rechtssicherheit für Diensteanbieter● Vermeidung anwendungsspezifischer Zusatzanforderungen● Festlegung des Vertrauensniveau für den konkreten Einsatzzweck in

Fachgesetzen / durch Aufsichtsstellen

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03147/index_htm.html

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03147/index_htm.html


Vielen Dankfür Ihre Aufmerksamkeit!

Kontakt

Dr. Ulf Lö[email protected]. +49 (0) 228 99 9582 5767Fax +49 (0) 228 99 10 9582 5767

Bundesamt für Sicherheit in der InformationstechnikReferat D 11 – eID-Anwendungen im E-GovernmentGodesberger Allee 185 -18953175 Bonnwww.bsi.bund.de

Sicherheit von Fernidentifizierungsverfahren - edvgt.de · durch Vertrauensniveaus angelehnt an...

Documents

Transcript of Sicherheit von Fernidentifizierungsverfahren - edvgt.de · durch Vertrauensniveaus angelehnt an...