E-Government-Initiative für D und den neuen Personalausweis
Größe: px
Ab Seite anzeigen:

Download "E-Government-Initiative für De-Mail und den neuen Personalausweis"

Transkript

1 E-Government-Initiative für D und den neuen Personalausweis Freie Hansestadt Bremen Sicherheitskonzept zum Einsatz von Komfortkartenlesern in SB-Terminals Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im Rahmen der E-Government-Initiative für D und den neuen Personalausweis erstellt wurden. Deshalb werden die jeweils Verantwortlichen im Impressum auf der letzten Seite der Dokumente genannt. Sie stehen Ihnen für inhaltliche Fragen zur Verfügung.

2 Sicherheitskonzept zum Einsatz von Komfortkartenlesern in SB-Terminals Version vom Dieses Dokument wurde durch das Fraunhofer Institut FOKUS erstellt.

3 Inhalt Abkürzungen Einführung... 4 Abgrenzung Anwendungsfälle für die QES... 5 Signieren eines Dokumentes... 5 Aktivierung des neuen Personalausweises als SSEE... 6 PIN-Verwaltung... 6 Weitere Anwendungsfälle Systemüberblick... 7 Einsatzumgebung... 7 Kartenlesegeräte... 8 Option 1: Komfortkartenleser als physische Einheit... 9 Option 2: Komfortkartenleser mit separatem PIN-Pad Option 3: Verteilter Komfortkartenleser Rollen Gesetzlicher und Regulatorischer Hintergrund Schutzbedarfsfeststellung Annahmen Bedrohungen Maßnahmen Anhang Anwendungsfall Signieren eines Dokumentes Aktivierung des neuen Personalausweises als SSEE Literaturverzeichnis

4 Abkürzungen CA CAN CAR CHAT CHR CVC CVCA DV EAC MAC npa PACE PAuswG PAuswV PIN QES SAK SigG SigV SSEE TA ZDA Chip Authentication Card Access Number Certificate Authority Reference Certificate Holder Authorization Template Certificate Holder Reference Card Verifiable Certificate Country Verifying Certificate Authority Document Verifier Extended Access Control Message Authentication Code neuer Personalausweis Password Authenticated Connection Establishment Personalausweisgesetz Personalausweisverordnung Personal Identification Number qualifizierte elektronische Signatur Signaturanwendungskomponente Signaturgesetz Signaturverordnung Sichere Signaturerstellungseinheit Terminal Authentication Zertifizierungsdiensteanbieter 3

5 1. Einführung Am wurde in Deutschland der neue Personalausweis im Scheckkartenformat eingeführt. Der neue Personalausweis (npa) bietet den Bürgerinnen und Bürgern nun auch elektronische Funktionen und viele Einsatzmöglichkeiten in der digitalen Welt. Neue Funktionen für den Bürger sind die Online-Ausweisfunktion (auch elektronischer Identitätsnachweis, kurz eid, genannt) und die Unterschriftsfunktion mit einer qualifizierten elektronischen Signatur (QES). Diese stellt das elektronische Pendant zur eigenhändigen Unterschrift dar, wodurch Transaktionen, die die Schriftform erfordern, auch auf elektronischem Wege rechtsverbindlich durchgeführt werden können. Sie kann bei Bedarf vom Ausweisinhaber aktiviert werden 1. Der Einsatz einer QES stellt diverse Anforderungen an die Heiminfrastruktur der Bürgerinnen und Bürger. So werden beispielsweise ein spezielles Kartenlesegerät sowie bestimmte Software benötigt. Um den Bürgerinnen und Bürgern die Anwendung der QES zu erleichtern, sollen auch Selbstbedienungsautomaten (in diesem Dokument auch als SB-Terminals 2 bezeichnet) in öffentlichen Einrichtungen, beispielsweise Behörden oder Bürgerämtern aufgestellt werden in denen bereits alle Hard- und Softwarekomponenten integriert sind. Der Bürger kann an diesem SB-Terminal mit den elektronischen Funktionalitäten des neuen Personalausweises Behördengänge durchführen. Für Behördengänge mit explizitem Schriftformerfordernis soll ein Kartenlesegerät in das SB-Terminal integriert werden, das qualifizierte elektronische Signaturen unterstützt. Derartige Kartenlesegeräte werden als Komfortkartenleser bezeichnet. Außerdem muss das SB-Terminal mit bestimmten Softwarekomponenten für die QES ausgestattet werden. Bei der Signierung eines Dokumentes mit einer QES werden die Begriffe sichere Signaturerstellungseinheit (SSEE) und Signaturanwendungskomponente (SAK) verwendet. Der Begriff sichere Signaturerstellungseinheit ist in der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen definiert worden und umfasst die Software oder Hardware, die zur Erzeugung, Speicherung oder Anwendung eines Signaturschlüssels erforderlich ist. Im Rahmen des neuen Personalausweises agiert der Ausweis selbst als sichere Signaturerstellungseinheit. Der Begriff der Signaturanwendungskomponente wird im deutschen Signaturgesetz 3 definiert und beschreibt Software- und Hardwareprodukte, die dazu bestimmt sind, Daten dem Prozess der Erzeugung oder Prüfung qualifizierter elektronischer Signaturen zuzuführen oder qualifizierte elektronische Signaturen zu prüfen oder qualifizierte Zertifikate nachzuprüfen und die Ergebnisse anzuzeigen. Dieses Dokument beschreibt ein generisches Sicherheitskonzept für einen integrierbaren Komfortkartenleser in Selbstbedienungsautomaten im Hinblick auf den Einsatz qualifizierter elektronischer Signaturen. Ein Fokus liegt dabei auf dem Einsatz der QES mit dem neuen 1 Indem ein qualifiziertes Zertifikat bei einem privaten Zertifizierungsdiensteanbieter (ZDA) erworben wird. 2 In der Literatur wird der Begriff Terminal manchmal für Kartenleser verwendet (Z.B. in der TR-03119). In diesem Dokument wird falls nicht anders angegeben SB-Terminal mit Selbstbedienungsautomat gleich gesetzt. 3 Das deutsche Signaturgesetz (SigG) setzt die europäische Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen in nationales Recht um. 4

6 Personalausweis. Das Signieren mit anderen Signaturkarten kann durch das SB-Terminal unterstützt werden, wird aber in dieser Betrachtung nicht untersucht. Das Dokument beschreibt die rechtlichen Grundlagen, mögliche Anwendungsfälle sowie unterschiedliche Optionen zur Integration eines Komfortkartenlesers in Selbstbedienungsautomaten. Außerdem werden Bedrohungen und Maßnahmen für den speziellen Einsatz in SB-Terminals identifiziert. Abgrenzung Dieses Dokument beschreibt allgemeine Aspekte eines Sicherheitskonzeptes für Selbstbedienungsautomaten. Das Konzept ist nicht vergleichbar mit einem konkreten Sicherheitskonzept wie es beispielsweise im BSI-Standard (IT-Grundschutz-Vorgehensweise [BSI-100-2]) beschrieben wird. Es wird vielmehr angenommen, dass bereits solche behördlichen bzw. behördenbezogenen oder standortbezogenen Sicherheitskonzepte in der Behörde, in denen solche Selbstbedienungsautomaten aufgestellt werden sollen, existieren. Diese konkreten Sicherheitskonzepte sind beim Aufstellen eines Selbstbedienungsautomaten ggf. mit den Informationen dieses Dokumentes anzupassen. Eine formale Bestätigung nach Signaturgesetz / Signaturverordnung auf Grundlage dieses Konzeptes ist nicht vorgesehen. Das Dokument kann jedoch Anhaltspunkte für eine Bestätigung liefern. 2. Anwendungsfälle für die QES Im Folgenden werden die Anwendungsfälle und Einsatzszenarien für die Verwendung einer QES an SB-Terminals beschrieben. Dazu zählen die PIN-Verwaltung, das Aktivieren des neuen Personalausweises als sichere Signaturerstellungseinheit sowie das Signieren eines Dokumentes selbst. Wird die QES mit dem neuen Personalausweis genutzt, so ist eine Geheimnummer für die Signatur (Signatur-PIN) sowie eine Zugangsnummer (Card Access Number: CAN), die auf dem Ausweis aufgedruckt ist, notwendig. Der Nutzer muss zunächst die CAN eingeben, um einen verschlüsselten Kanal mit dem neuen Personalausweis aufzubauen und die Signierfunktionalität des npa nutzen zu können. Will er ein Dokument signieren, muss er zur Bestätigung die Signatur-PIN eingeben. Signieren eines Dokumentes Das Signieren eines Dokumentes mit dem neuen Personalausweis kann nur unter den folgenden Annahmen erfolgen: Der Bürger hat bereits einen npa mit freigeschalteter Online-Ausweis-Funktion. Der Bürger hat bereits einen Signatur-PIN auf seinem npa festgelegt. Der Bürger hat bereits ein qualifiziertes Zertifikat bei einem Zertifizierungsdiensteanbieter erworben, das zum Zeitpunkt der Nutzung gültig ist. Der Anwendungsfall des Signierens eines Dokumentes mit dem neuen Personalausweis wird detailliert in der Technischen Richtlinie TR-03117: ecards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit in Abschnitt beschrieben (Siehe Anhang). 5

7 Für die Eingabe der Zugangsnummer (CAN) am Signaturterminal erlaubt die Technische Richtlinie in Abschnitt folgende drei Arten: 1. Eingabe der CAN über die Tastatur des Signaturterminals 2. optisches Lesen der CAN vom ecard-körper durch das Signaturterminal, 3. Eingabe der CAN durch die Signaturanwendungskomponente an das Signaturterminal. 6 [BSI-TR03117; 4.4.1] Für den Anwendungsfall an Selbstbedienungsautomaten ist die dritte Methode nicht geeignet, da mehrere Signaturschlüssel-Inhaber das SB-Terminal benutzen. Die zweite Methode wäre benutzerfreundlich, aber mit höherem technischem Aufwand verbunden. Die erste Methode ist am einfachsten zu realisieren, erfordert aber eine hinreichende Erklärung für den Bürger, und der npa sollte so aufgelegt/eingesteckt werden können, dass die CAN für den Bürger gut sichtbar ist und der npa nicht aus dem Gerät entnommen werden muss. An dem SB-Terminal sollen mindestens die vorgegebenen Formulare für die jeweiligen Fachanwendungen (sofern dies erforderlich ist) signiert werden können. Darüber hinaus ist das Signieren weiterer Dokumente denkbar, jedoch abhängig von der konkreten Implementierung und Ausgestaltung des SB-Terminals. Aktivierung des neuen Personalausweises als SSEE Ein weiterer wichtiger Anwendungsfall ist die Aktivierung des npa als SSEE. Dieser Prozess besteht aus Sicht des Personalausweisinhabers aus mehreren Teilprozessen. Zunächst müssen die operationellen Authentisierungsdaten für die Signaturerstellung auf dem npa generiert werden. Dies erfolgt, indem der Benutzer die Signatur-PIN setzt. (Siehe auch Technische Richtlinie TR Abschnitt 4.3.1). Anschließend wird mit Hilfe der eid-funktion ein Antrag auf Erzeugung eines qualifizierten Zertifikates bei einem Zertifizierungsdiensteanbieter gestellt. Daraufhin wird dem Benutzer postalisch ein Zugangscode an die Adresse im Ausweis zugeschickt. Mit Hilfe dieses Zugangscodes kann anschließend das Signaturschlüsselpaar auf dem Ausweis generiert werden. Der technische Ablauf dieses Anwendungsfalls wird detailliert in der Technischen Richtlinie TR in Abschnitt 4.3 beschrieben (Siehe Anhang). PIN-Verwaltung Die PIN-Verwaltung ist ein Anwendungsfall zur Durchführung von Grundfunktionen mit dem neuen Personalausweis und ggf. weiteren Signaturkarten. Zur PIN-Verwaltung unter Nutzung des neuen Personalausweises zählen folgende Funktionen: Initiale PIN festlegen Vor Nutzung der eid-funktion muss der Nutzer eine sechsstellige eid-pin für die Online- Ausweisfunktion festlegen. Dazu benötigt der Nutzer eine initiale Transport-PIN (fünfstellig), die ihm nach der Beantragung des Personalausweises auf dem Postweg zugesandt wurde.

8 Für die Unterschriftsfunktion (QES) muss der Bürger eine spezielle Signatur-PIN festlegen. Als Nachweis, dass der Benutzer tatsächlich der Inhaber des Ausweises ist, muss er beim Setzen der Signatur-PIN seine sechsstellige eid-pin von der Online-Ausweisfunktion eingeben. PIN-Änderung Bürgerinnen und Bürger haben die Möglichkeit jederzeit ihre PIN für die Online- Ausweisfunktion (eid-pin) oder die Unterschriftsfunktion (Signatur-PIN) zu ändern. Dazu muss zuvor die aktuelle PIN eingegeben werden. Das Ändern einer PIN ohne Kenntnis der aktuellen PIN ist für Bürgerinnen und Bürger außerhalb der Personalausweisbehörden nicht möglich. Entsperren Wurde eine PIN dreimal falsch eingegeben, wird die jeweilige Funktion (Online- Ausweisfunktion oder Unterschriftsfunktion) blockiert. Diese kann nur durch Eingabe einer zehnstelligen PUK (Personal Unblocking Key) entsperrt werden. Weitere Anwendungsfälle Weitere Anwendungsfälle betreffen die Installation und Wartung des Selbstbedienungsautomaten inkl. des eingesetzten Kartenlesegerätes, das Einspielen von Updates sowie die Aktualisierung der Firmware des Kartenlesers. Entsprechende Vorgaben dazu finden sich in den Technischen Richtlinien TR und TR-03119: Anforderungen an Chipkartenleser mit npa Unterstützung. 3. Systemüberblick Der Systemüberblick umfasst in dieser Betrachtung den Komfortkartenleser, und - soweit für den Einsatz des Kartenlesers und der QES notwendig - auch weitere Komponenten der spezifischen Einsatzumgebung, die die Sicherheit betreffen. Einsatzumgebung Das SB-Terminal soll in einem öffentlich zugänglichen Bereich einer öffentlichen Einrichtung aufgestellt werden. Der Zugang zum SB-Terminal kann durch Öffnungszeiten begrenzt werden. Die Integration eines Komfortkartenlesers in ein SB-Terminal kann technisch auf unterschiedliche Art und Weise realisiert werden. Für diese Betrachtung wird der Komfortkartenleser in folgende Komponenten unterteilt: Kontaktlose Schnittstelle: Schnittstelle zur Interaktion mit kontaktlosen Chipkarten, wie dem neuen Personalausweis Kontaktbehaftete Schnittstelle: Schnittstelle zur Interaktion mit kontaktbehafteten Chipkarten (zum Beispiel herkömmlichen Signaturkarten) Display: Der Komfortkartenleser muss mindestens ein Display, bestehend aus zwei Zeilen mit jeweils 16 Zeichen, enthalten. 7

9 PIN-Pad (+ PACE): PIN-Pad zur sicheren Eingabe einer PIN. Zur Unterstützung des neuen Personalausweises muss das Protokoll Password Authentication Connection Establishment (PACE) unterstützen. Weitere Soft- und Hardware, die nicht Gegenstand dieser Untersuchung sind. Dazu zählen: SB-Terminal-Gehäuse PC im SB-Terminal (Host-Rechner) Betriebssystem SB-Terminal Software/Anwendung o Software-Signaturanwendungskomponenten Für den Anwendungsfall Signieren eines Dokumentes o eid-client based on ecard-api Für die Anwendungsfälle PIN-Verwaltung und Aktivierung des neuen Personalausweises als SSEE o Fachverfahren-Zugangssoftware Tastatur Zeigegerät (Trackball) Kabel Kartenlesegeräte Entsprechend der Technischen Richtlinie TR-03119: Anforderungen an Chipkartenleser mit npa Unterstützung lassen sich Kartenleser in die Kategorien Basis- (Cat-B), Standard- (Cat-S) und Komfortkartenleser (Cat-K) einteilen, mit folgenden optionalen und verpflichtenden Modulen: Abbildung 1: Leserkategorien und Module (Quelle: [TR-03119]) 8

10 Für die Nutzung des neuen Personalausweises muss der zu integrierende Komfortkartenleser mindestens die Module A.1, A.2, A.4. A.5, A.7 und A.8 mit den entsprechenden Prüfvorschriften umfassen. Sofern auch kontaktbehaftete Chipkarten unterstützt werden sollen, müssen ebenso die Module A.3 und A.6 beachtet werden. Im Folgenden werden drei Optionen der technischen Integration betrachtet. Option 1: Komfortkartenleser als physische Einheit Die technisch einfachste Integration ist die Verwendung eines bereits geprüften, bestätigten und zertifizierten Komfortkartenlesers. Abbildung 2 zeigt die Komponentensicht zur Integration eines Komfortkartenlesers als physische Einheit. Abbildung 2: Option 1: Komfortkartenleser als physische Einheit Da derzeit noch keine Komfortkartenleser verfügbar sind, welche explizit für die Integration in SB-Terminals konzeptioniert sind, ist im Einzelfall zu prüfen, ob die Bestätigung und Zertifizierung der existierenden Komfortkartenleser auch für den Einsatz in Selbstbedienungsautomaten Gültigkeit besitzen. Beispielhaft werden hier die Einsatzbedingungen eines bereits bestätigten Komfortkartenlesers dargestellt. (Gerät: cyberjack RFID komfort der Firma ReinerSCT. Einsatzbedingungen gemäß Bestätigung [TÜVIT2011]). Technische Einsatzumgebung: Der Chipkartenleser cyberjack RFID komfort benötigt zum Betrieb die folgende technische Einsatzumgebung: Host-Rechner (PC) mit USB-Schnittstelle (Stromversorgung über die USB-Schnittstelle). Vom Hersteller zur Verfügung gestellte Treibersoftware (nicht Gegenstand der Bestätigung). Sichere Signaturerstellungseinheit nach 2 Nr. 10 SigG basierend auf einer Prozessorchipkarte mit kontaktloser Schnittstelle nach ISO 1443 [ ] Produkt für qualifizierte elektronische Signaturen gemäß 2 Nr. 13 SigG [ ] [TÜVIT2011] Für die Nutzung des beschriebenen Kartenlesers werden folgende Bedingungen definiert: Während des Betriebes sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten: 9

11 Betrieb nur in der vom Anwender gegen Manipulationsversuche geschützten Arbeitsumgebung. Die Geräteversiegelung ist regelmäßig auf Unversehrtheit zu überprüfen. Beim Drücken der werden auf dem Display nacheinander die Versionsnummer des cyberjack RFID komfort OS, die Kartenleserkennung und die eindeutige Bezeichnung der Applikation angezeigt. [ ] Der Einsatz für die qualifizierte elektronische Signatur setzt die Nutzung einer Signaturanwendungskomponente gemäß 2 Nr. 11 SigG voraus. Diese muss für den Einsatz des Chipkartenlesers cyberjack RFID komfort [ ] bestätigt sein. Die Eingabe der PIN auf der Tastatur des Chipkartenlesers muss unbeobachtet erfolgen. [TÜVIT2011] Nahezu alle dieser Punkte gelten auch für die Einsatzbedingungen in SB-Terminals, wie den hier beschriebenen. Der Punkt Die Eingabe der PIN auf der Tastatur des Chipkartenlesers muss unbeobachtet erfolgen. kann über unterschiedliche Maßnahmen erreicht werden (abgeschlossener Bereich, Sichtschutz etc.). Kritisch zu betrachten ist lediglich der Punkt Betrieb nur in der vom Anwender gegen Manipulationsversuche geschützten Arbeitsumgebung.. Dies ist bei klassischen SB-Terminals nicht der Fall. Hier ist im Einzelfall zu prüfen, inwiefern durch organisatorische Maßnahmen des Aufstellers oder Betreibers der Selbstbedienungsautomaten dieser Punkt sichergestellt werden kann. Gegebenenfalls ist dann eine erneute Bestätigung notwendig. Option 2: Komfortkartenleser mit separatem PIN-Pad In der zweiten Option ist das PIN-Pad physisch getrennt vom Rest des Komfortlesers. Dies bietet mehr Flexibilität beim Einbau in das SB-Terminal. Abbildung 3 zeigt die Komponentensicht für einen Komfortkartenleser mit separatem PIN-Pad. Abbildung 3: Komfortkartenleser mit separatem PIN-Pad Ein derartiger Komfortleser ist derzeit nicht am Markt verfügbar und müsste entwickelt und entsprechend bestätigt und zertifiziert werden. Allerdings existieren bereits Standardkomponenten beispielsweise für die PIN-Eingabe oder die kontaktbehafteten und kontaktlosen Schnittstellen, beispielsweise aus dem Bankenbereich. Diese müssen jedoch ggf. modifiziert werden. Das PIN-Pad muss die Funktionalität des Protokolls PACE unterstützen. 10

12 Option 3: Verteilter Komfortkartenleser Die dritte Option beschreibt einen komplett verteilten Komfortleser. In diesem Fall sind alle Komponenten des Komfortlesers über speziell abgesicherte Schnittstellen miteinander verbunden. Diese Option bietet die höchste Flexibilität bei der physischen Integration in das SB-Terminal. Abbildung 4 zeigt die Komponentensicht für einen verteilten Komfortkartenleser. Abbildung 4: Verteilter Komfortleser Auch für diese Option gilt, dass die benötigten Komponenten derzeit nicht einzeln am Markt verfügbar sind. Im Sinne einer Bestätigung und Zertifizierung sind zudem hier die Schnittstellen zur Verbindung der einzelnen Komponenten besonders zu beachten. Rollen Für die Interaktion mit dem SB-Terminal sind die folgenden Rollen relevant: Bürger (Signaturschlüssel-Inhaber) - Durchführung einer Authentisierung mit der eid-funktion des npa. - Signieren eines Dokumentes mit der Unterschriftsfunktion des npa. Administrator (Kartenleser) - Installation der Hardware-Treiber. - Konfiguration der Benutzeroberfläche. - Laden anwendungsspezifischer Plugins. Wartungsarbeiter (SB-Terminal) - Durchführung von Wartungs- und Reparaturarbeiten. QES-Beauftragter - QES-Beauftragter ist eine optionale Rolle, die organisatorische Sicherheitsmaßnahmen ggf. auch für den Bürger übernimmt. Darüber hinaus sind weitere Rollen, je nach konkreter Ausgestaltung der organisatorischen Prozesse, möglich. 11

13 4. Gesetzlicher und Regulatorischer Hintergrund Folgende Richtlinien, Gesetze und Verordnungen bestimmen den rechtlichen Hintergrund für qualifizierte elektronische Signaturen im Kontext des neuen Personalausweises und der Signaturanwendungskomponenten. Europäische Richtlinie für elektronische Signaturen (Europäische Richtlinie 1999/93/EC) Signaturgesetz (SigG) Signaturverordnung (SigV) Personalausweisgesetz (PAuswG) Zusätzlich zu den rechtlichen Bestimmungen gibt es noch technische Richtlinien und Standards im Kontext des neuen Personalausweises und entsprechender Kartenleser: ecards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit (TR-03117) Anforderungen an Chipkartenleser mit npa Unterstützung (TR-03119) Conformity Tests for Official Electronic ID Documents (TR-03105) ISO/IEC: ISO Identification cards Integrated circuit cards (ISO 7816) Die Definition von und rechtliche Mindestanforderungen an qualifizierte elektronische Signaturen (QES) sind in Deutschland durch das Signaturgesetz (SigG) und die Signaturverordnung (SigV) geregelt. Diese setzen die europäische Richtlinie für elektronische Signaturen (Europäische Richtlinie 1999/93/EC) in nationales Recht um. Das Signaturgesetz definiert in 2 die notwendigen Begrifflichkeiten im Kontext des SB-Terminals: Signaturschlüssel-Inhaber Der Signatur-Schlüsselinhaber ist in diesem Anwendungsfall der Bürger bzw. der Nutzer des SB-Terminals. Qualifizierte Zertifikate Qualifizierte Zertifikate sind elektronische Bescheinigungen, die durch einen angezeigten Zertifizierungsdiensteanbieter ausgestellt, einer natürlichen Person zugeordnet worden sind und die Identität der Person bestätigen. Zertifizierungsdiensteanbieter (ZDA) ZDA sind natürliche oder juristische Personen, die qualifizierte Zertifikate ausstellen. Signaturanwendungskomponenten (SAK) SAK beschreiben Software- und Hardwareprodukte, die dazu bestimmt sind, Daten dem Prozess der Erzeugung oder Prüfung qualifizierter elektronischer Signaturen zuzuführen und die Ergebnisse anzuzeigen. Sichere Signaturerstellungseinheiten (SSEE) In diesem Anwendungsfall agiert der neue Personalausweis als SSEE. Qualifizierte elektronische Signaturen (QES) Nach 2 SigG Nr. 1 bis 3 sind qualifizierte elektronische Signaturen Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen, die 12

14 ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind, die Identifizierung des Signaturschlüssel-Inhabers ermöglichen, mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann, auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen und mit einer sicheren Signaturerstellungseinheit erzeugt werden. Zum Erzeugen einer QES mit dem neuen Personalausweis (npa) benötigt ein Bürger (als Signaturschlüssel-Inhaber) am SB-Terminal einen npa als sichere Signaturerstellungseinheit (SSEE), einen Komfortkartenleser als Bestandteil des SB-Terminals (Signaturanwendungskomponente) und ein gültiges qualifiziertes Zertifikat eines Zertifizierungsdiensteanbieters (ZDA). Der neue Personalausweis (npa) ist nach 22 Personalausweisgesetz (PAuswG) als eine sichere Signaturerstellungseinheit (SSEE) ausgestaltet. 22 Elektronische Signatur Der Personalausweis wird als sichere Signaturerstellungseinheit im Sinne des 2 Nr. 10 des Signaturgesetzes ausgestaltet. Die Vorschriften des Signaturgesetzes bleiben unberührt. [PAuswG; 22] Neben der rechtlichen Anforderung aus dem SigG/SigV ergeben sich weitere regulatorische Anforderungen aus der technischen Richtlinie ecards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit [BSI TR-03117], wenn der npa als SSEE eingesetzt werden soll. Dem Signaturschlüssel-Inhaber selbst werden keine expliziten Vorgaben zur Verwendung von Signaturanwendungskomponenten gemacht. Es werden allerdings Empfehlungen gegeben. Der Signaturschlüssel-Inhaber soll nur als Signaturprodukt evaluierte und bestätigte Signaturanwendungskomponenten verwenden, die die unten beschriebenen Signaturprozesse der ecard unterstützt. Empfehlung des Einsatzes zertifizierter Geräte an den Ausweisinhaber [TR-03117; Abs. 4.4] [PAuswV, Anhang 5] Nach TR benötigt das Kartenlesegerät, über die Herstellererklärung hinaus, eine Bestätigung gemäß SigG/SigV ( 15 Abs. 7 Satz 1 SigG sowie 11 Abs. 3 SigV). Signaturterminals müssen als Produkte für qualifizierte elektronische Signaturen als Teil der Signaturanwendungskomponente bestätigt werden. Beim Vorliegen dieser Bestätigung werden durch die zuständige Stelle [ ] CV-Zertifikate für Terminals ausgestellt, die durch die ecard im Rahmen der Terminalauthentisierung [ ] überprüft werden. 13

15 [TR-03117; Abs. 2.3] Die Terminalauthentisierung (TA) beschreibt ein technisches Verfahren (Protokoll) zur Authentisierung des Lesegerätes gegenüber dem Chip im neuen Personalausweis. Vereinfachend lässt sich zusammenfassen: Aus dem SigG/SigV lässt sich ableiten, dass eine Herstellererklärung für das Kartenlesegerät notwendig ist. Aus der Absicht den npa als SSEE zu verwenden, lässt sich die Anforderung aus der TR ableiten, dass eine Bestätigung nach SigG/SigV erforderlich ist, um das notwendige Zertifikat für die TA zu erhalten. Darüber hinaus wird empfohlen, für die Ausschreibung eines SB-Terminalfähigen Kartenlesegerätes eine Zertifizierung nach der technischen Richtlinie Anforderungen an Chipkartenleser mit npa Unterstützung [TR-03119] zu fordern. Damit werden zum einen technisch funktionale, zum anderen sicherheitsrelevante Mindestanforderungen an den Kartenleser definiert/abgedeckt. Die Zertifizierung nach TR beinhaltet unter anderem folgende Punkte: eine Bestätigung gemäß SigG/SigV ( 15 Abs. 7 Satz 1 SigG sowie 11 Abs. 3 SigV), eine CC-EAL 4+ Zertifizierung des verbauten Sicherheitsmoduls zur Speicherung der privaten Schlüssel zur Terminalauthentisierung 4 (TA), eine CC- EAL 3 Zertifizierung der auf das Sicherheitsmodul zugreifenden Software (Firmware), optional eine CC- EAL4+ Zertifizierung des Importmechanismus insofern der optionale Import eines neuen privaten Schlüssels für die Terminalauthentisierung implementiert wird, eine Konformitätsprüfung gemäß technischer Richtlinie Conformity Tests for Official Electronic ID Documents [TR-03105] Teil 4 und eine Konformitätsprüfung gemäß TR Teil Schutzbedarfsfeststellung Die Schutzbedarfsfeststellung orientiert sich an dem BSI-Standard [BSI-100-2] und übernimmt sowohl dessen Begrifflichkeiten als auch dessen Bedeutungen der Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) und der Schutzbedarfskategorien (normal, hoch und sehr hoch). Die Nachstehende Tabelle zeigt eine Schutzbedarfsfeststellung für den Komfortkartenleser. Diese kann im konkreten Einzelfall angepasst werden. Tabelle 1: Schutzbedarfsfeststellung IT-System Schutzbedarfsfeststellung Nr. Beschreibung Grundwert Schutzbedarf Begründung S1 Komfortkartenleser Verfügbarkeit normal Die Beeinträchtigung, die sich aus dem Ausfall des Kartenlesers und damit des SB-Terminals ergibt, ist tolerabel, da die Dienstleistungen parallel auch auf herkömmlichen Wegen angeboten werden (können). Vertraulichkeit sehr hoch Durch den Verlust der Vertraulichkeit, 4 Terminalauthentisierung (TA) bezieht sich in diesem Fall auf den Kartenleser. 14

16 ist eine Ausspähung der Signatur-PIN möglich. Zusammen mit dem Erlangen des npa wäre das Signieren beliebiger Daten für einen Angreifer möglich. Eine landesweite Vertrauensbeeinträchtigung ist denkbar. Integrität sehr hoch Durch den Verlust der Integrität des Kartenlesers wäre eine Manipulation des Kartenlesers und damit das Einbringen von beliebigen Daten in die Signaturerstellung möglich. Eine landesweite Vertrauensbeeinträchtigung ist denkbar. Tabelle 2: Schutzbedarfsfeststellung 6. Annahmen Der Sicherheitsbetrachtung liegen die nachfolgend dargestellten Annahmen angelehnt an die Annahmen aus dem Schutzprofil für Inspektionssysteme [BSI-CC-PP-0064] zugrunde. A.1 Sichere Installation Es wird angenommen, dass die Installation des SB-Terminals nur durch autorisierte, geschulte Mitarbeiter (Administratoren) geschieht. A.2 Sichere Wartung/Administration Es wird angenommen, dass die Wartung/Administration des SB-Terminals nur durch autorisierte, geschulte Mitarbeiter geschieht. Ferner wird angenommen, dass das SB- Terminal bezüglich dem Bekanntwerden von Sicherheitslücken unter Beobachtung steht, und gegebenenfalls unverzüglich, entsprechend, angemessen und ausreichend reagiert wird. A.3 Sicherer Zustand nach dem Bootvorgang Es wird angenommen, dass das SB-Terminal sich initial nach dem Bootvorgang in einem sichern Zustand befindet. A.4 Bestehendes Sicherheitskonzept für öffentliche Einrichtung Es wird angenommen, dass in der öffentlichen Einrichtung, in dem das SB-Terminal aufgestellt werden soll, bereits ein Sicherheitskonzept besteht, und gegebenenfalls mit Informationen dieses Dokumentes angepasst wird. 7. Bedrohungen Die Bedrohungen in diesem Abschnitt sind als generische Bedrohungen anzusehen. Sie müssen in konkreten Sicherheitskonzepten der Hersteller von SB-Terminals bzw. aufstellenden Behörden berücksichtigt und ggf. verfeinert oder ergänzt werden. Nicht alle Bedrohungen können in diesem generischen Konzept antizipiert werden. Daher sind die Bedrohungen nicht als abschließend zu betrachten, sondern in den konkreten Sicherheitskonzepten der Hersteller von SB-Terminals bzw. aufstellenden Behörden zu verfeinern oder ergänzen. 15

17 Potenzielle Bedrohungen für Signaturanwendungskomponenten (SAK) werden von der Bundesnetzagentur in [ESdEfS] aufgelistet: Angriffe über Kommunikationsnetze Angriffe über manuellen Zugriff Unbefugter/Datenaustausch per Datenträger Fehler/Manipulationen bei Installation, Betrieb/Nutzung und Wartung/Reparatur Diese Bedrohungen werden in diesem Dokument als Klassen von Bedrohungen interpretiert und anhand der IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) [GSKat] konkretisiert. Die Bezeichnungen in Klammern referenzieren die entsprechende Bedrohung in den IT-Grundschutz-Katalogen. Es wird davon ausgegangen, dass bereits behördliche bzw. behördenbezogene oder standortbezogene Sicherheitskonzepte in der Behörde existieren, in denen ein SB-Terminal aufgestellt wird. Daher werden nicht alle Bedrohungen, wie beispielsweise Elementare Gefährdungen oder Höhere Gewalt, betrachtet. B.1 Ausspähen der Signatur-PIN Mit der Signatur-PIN authentisiert sich der Signaturschlüssel-Inhaber gegenüber dem npa und veranlasst im Erfolgsfall die Signaturerstellung. Daher ist die Signatur-PIN stets geheim zu halten und zu ändern, falls der Verdacht aufkommt, sie könnte kompromittiert sein. B.2 Unbefugtes Erlangen der SSEE (z.b. durch Diebstahl, Nötigung, Erpressung, Korruption, Verlust, Weitergabe [G 0.16, G.0.17, G.0.35,]). Diese Bedrohung ist keine originäre Bedrohung für das SB-Terminal. B.3 Unautorisierter Zugriff auf Signaturschlüssel Ein unautorisierter Zugriff auf den privaten Signaturschlüssel ermöglicht das unautorisierte Signieren beliebiger Daten. Die Kombination aus B.1 und B.2 ergibt die Bedrohung B.3. B.4 Unautorisierter Zugriff auf den privaten Schlüssel für die Terminal Authentisierung (TA) Mit dem privaten Schlüssel für die TA (als ein Bestandteil des Extended Access Control Protokolls (EAC)) könnte ein Angreifer dem npa fälschlicherweise vorgeben, er wäre autorisiert, die Signaturfunktionalität des npa zu nutzen und so falsche Daten zum Signieren übergeben. Das setzt aber immer noch voraus, dass sich der npa in Kommunikationsreichweite zu einem (manipulierten) Kartenleser befindet und sowohl die CAN als auch die Signatur-PIN dem Angreifer bekannt sind, oder der Angreifer den Signaturschlüssel-Inhaber veranlassen kann diese einzusetzen. B.5 Diebstahl des Kartenlesers (G 0.16) Der Diebstahl des Kartenlesers könnte genutzt werden, um B.4 vorzubereiten. B.6 Manipulation des Kartenlesers (G 0.21) Durch die Manipulation des Kartenlesers könnte es einem Angreifer ggf. gelingen, dem npa falsche Daten zum Signieren vorzutäuschen. B.7 Zerstörung des Kartenlesers (G 0.24) 16

18 Durch die Zerstörung des Kartenlesers wird die Funktionalität des SB-Terminals eingeschränkt. B.8 Ausfall des Kartenlesers (G 0.25) Durch den Ausfall des Kartenlesers wird die Funktionalität des SB-Terminals eingeschränkt. B.9 Fehlfunktion des Kartenlesers (G 0.26) Durch Fehlfunktionen des Kartenlesers können ungültige Signaturen erstellt werden, oder die Überprüfung von Signaturen fehlerhaft sein. B.10 Unberechtigte Administration des Kartenlesers (G 0.30) Durch die unberechtigte Administration des Kartenlesers kann es zur Manipulation des Kartenlesers (B.6) kommen. B.11 Fehlerhafte Nutzung oder Administration des Kartenlesers (G 0.31) Durch die fehlerhafte Nutzung oder Administration des Kartenlesers kann es zu Fehlfunktionen des Kartenlesers (B.9) kommen. B.12 Fehlende oder unzureichende Dokumentation (G 2.27) Durch fehlende oder unzureichende Dokumentation kann es zu fehlerhafter Nutzung oder Administration des Kartenlesers (B.11) kommen. B.13 Betreiben von nicht angemeldeten Komponenten (G 2.59) Durch das Betreiben von nicht angemeldeten Komponenten (Skimming) kann es einem Angreifer gelingen, das SB-Terminal zu kompromittieren und beispielsweise die Signatur-PIN auszuspähen (B.1). B.14 Vandalismus (G 5.5) Durch Vandalismus kann es zur Zerstörung, Ausfall oder Fehlfunktion des Kartenlesers oder des SB-Terminals kommen (B.7, B.8, B.9). B.15 Abhören von Kommunikationsverbindungen (G 5.7) Durch das Abhören von Kommunikationsverbindungen kann es einem Angreifer gelingen, die Signatur-PIN auszuspähen (B.1 in Architekturoptionen 2 und 3). B.16 Fehlfunktion der Software-Signaturanwendungskomponente (G 0.26) Durch Fehlfunktion der Software-Signaturanwendungskomponente kann es zu Fehlfunktionen des Kartenlesers (B.9) kommen. 8. Maßnahmen Die nachfolgend dargestellten Maßnahmen sind als generische Maßnahmen anzusehen. Sie müssen in konkreten Sicherheitskonzepten der Hersteller von SB-Terminals bzw. aufstellenden Behörden berücksichtigt und ggf. verfeinert oder ergänzt werden. M.1 Sichtschutz für PIN-Eingabe Der Kartenleser verfügt über einen Sichtschutz, der das Ausspähen der Signatur-PIN verhindert. 17

19 M.2 Kontrollgänge (M 2.18) Der QES-Beauftragte prüft nach einem zu bestimmenden Intervall X 5 die Unversehrtheit der Siegel und protokolliert die Prüfergebnisse manipulationssicher. Falls das Siegel gebrochen ist, ist das SB-Terminal unverzüglich außer Betrieb zu nehmen. M.3 Zertifizierung nach TR Der Kartenleser wird nach TR zertifiziert. M.4 Eingeschränkter Internetzugang Der Internetzugang ist nur den (Fach-) Anwendungen und Anbindung an eid-server möglich und mittels einer Whitelist beschränkt. Ein Surfen im Internet ist damit an dem SB-Terminal nicht möglich. M.5 Vordefinierte Zustände des SB-Terminals analog zu TR EAC-Box Architecture and Interfaces: Abbildung 5: Vordefinierte Zustände (Quelle: [TR-03131]) Nach Trennung vom Stromnetz/Ausschalten oder dem Wahrnehmen einer unautorisierten/ unvorhergesehenen Aktion sperrt sich das SB-Terminal selbst. Eine explizite Freigabe durch einen autorisierten geschulten QES-Beauftragten ist notwendig, damit das SB-Terminal in den operativen Zustand überführt werden kann. M.6 Physische Vorkehrungen gegen Datenaustauschträger Das Gehäuse des SB-Terminals ist derart gestaltet, dass kein externer Datenträger an das SB-Terminal bzw. den PC in dem SB-Terminal unautorisiert hinzugefügt oder weggenommen werden kann. Sollte das SB-Terminal einen solchen Vorgang automatisch bemerken, so soll es unverzüglich in den Sperrzugang übergehen. 5 ein Beispiel für ein solches Intervall könnte täglich sein, und ist im konkreten Sicherheitskonzept zu spezifizieren. 18

20 M.7 Visualisierung der Integrität des SB-Terminals Die physische Integrität des SB-Terminals wird durch ein Siegel visualisiert. M.8 Visualisierung der Integrität des Kartenlesers Die physische Integrität des Kartenlesers wird durch ein Siegel visualisiert. M.9 Vergessen der Signaturkarte verhindern Das SB-Terminal weist den Bürger darauf / trifft Vorkehrungen, dass der npa bzw. eine Signaturkarte nicht im SB-Terminal vergessen wird. M.10 Schulung der Mitarbeiter Die Mitarbeiter (Administrator/QES-Beauftragter) werden hinreichend geschult, um fehlerhafte Initialisierung und Administration des Kartenlesers auszuschließen. M.11 Überprüfung der Mitarbeiter Die Mitarbeiter (Administrator/QES-Beauftragter) werden hinreichend überprüft, um manipulative Initialisierung und Administration des Kartenlesers auszuschließen. M.12 Schutz vor Vandalismus Das Gehäuse des SB-Terminals ist derart gestaltet, dass Vandalismus Schäden verringert werden. M.13 Eine Bedienungsanleitung für den richtigen Umgang mit der QES / dem SB-Terminal muss für den Bürger/Signaturschlüssel-Inhaber zugänglich sein. M.14 Nachvollziehbarkeit Um Fehlverhalten beim Einsatz des Kartenlesers auszuschließen, sollte die Anwendung der Signaturerstellung für den Nutzer nachvollziehbar gestaltet und mit entsprechenden Hilfefunktionen versehen werden. M.15 Initialisieren des SB-Terminals durch den QES-Beauftragten Siehe M.5 M.16 Bestimmung eines QES-Beauftragten In der aufstellenden Behörde wird die Rolle des QES-Beauftragten definiert und zugewiesen, der die Aufgaben aus M.2, M.5, M.15 übernimmt. M.17 Sperren des Signatur-Zertifikats Das SB-Terminal stellt Informationen bereit, wie die Signaturzertifikate der Zertifikatsdiensteanbieter gesperrt werden können. M.18 Authentisierung des Administrators und QES-Beauftragten Die Administratoren/QES-Beauftragten authentisieren sich am SB-Terminal, um unautorisierte Zugriffe zu vermeiden. M.19 Aufstellen des SB-Terminals in Sichtweite eines Behördenmitarbeiters Damit die Gefahr des Vandalismus minimiert wird, wird das SB-Terminal in Sichtweite eines Behördenmitarbeiters aufgestellt. 19

21 M.20 Einsatz bestätigter Software-Signaturanwendungskomponenten Um Fehlfunktionen der Software auszuschließen und das fehlerhafte Signieren (Fehler bei der Signaturerzeugung, Signieren falscher Daten) zu vermeiden, werden nur evaluierte und bestätigte Software-Signaturanwendungskomponenten in dem SB-Terminal verwendet. M.21 Verschlüsselte Kommunikation Sicherheitsrelevante Kommunikation zwischen Komponenten (Kartenleser der Option 2 oder 3 bzw. Signaturerstellungssoftware und Kartenleser) muss verschlüsselt erfolgen. Tabelle 2 zeigt die Zuordnung der Annahmen/Maßnahmen zu den Bedrohungen. B.3 und M.17 werden nur der Vollständigkeit halber aufgeführt und betreffen nicht direkt den Komfortkartenleser bzw. das SB-Terminal. Für B.8 (Ausfall des Kartenlesers) gibt es keine unmittelbare An-/Maßnahme. Falls das Risiko des Ausfalls des Kartenlesers als zu hoch eingeschätzt wird, kann das SB-Terminal redundant ausgelegt werden. Tabelle 3: Zuordnung von Bedrohungen zu Annahmen und Maßnahmen M\B B1 B2 B3 B4 B5 B6 B7 B8 B9 B10 B11 B12 B13 B14 B15 B16 A.1 X X X X X A.2 X X X X X A.3 A.4 X M.1 X X M.2 X X X X X X X M.3 X X X X X X M.4 X M.5 X X M.6 X X M.7 X X M.8 X M.9 X X M.10 X X X M.11 X X X M.12 X M.13 X X M.14 X M.15 X X M.16 X X M.17 X M.18 X M.19 X X X X M.20 X X M.21 X 20

22 Anhang Anwendungsfall Signieren eines Dokumentes Die folgende Beschreibung des Anwendungsfalles stammt aus der Technischen Richtlinie TR-03117: ecards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit in Abschnitt Die Signaturerzeugung setzt voraus, dass die Authentisierungsdaten des Signaturschlüssel- Inhabers nicht blockiert sind. Anderenfalls müssen Maßnahmen zum Management der Authentisierungsdaten oder Außerbetriebsetzung ergriffen werden (s. u.). Für die Erzeugung qualifizierter elektronischer Signaturen werden folgende Schritte abgearbeitet: (1) Das Signaturterminal muss die physische und logische Kommunikation mit der ecard herstellen. (2) Die Signaturanwendungskomponente zeigt dem Benutzer den im PACE-Protokoll zu verwendenden CHAT (Mindestens Generate qualified electronic signature ) an und fordert den Benutzer auf, die CAN in das Signaturterminal einzugeben. Das Signaturterminal führt das PACE-Authentisierungsprotokoll mit der eingegeben CAN durch. Das Signaturterminal und die ecard kommunizieren nach erfolgreich abgeschlossener PACE- Authentisierung über den eingerichteten Secure Messaging Kanal. (3) Das Signaturterminal muss sich gegenüber der ecard unter Verwendung seiner CVC als Signaturterminal mit dem Zugriffsrecht Generate qualified electronic signature und seinem privaten Schlüssel zur Terminalauthentisierung authentisieren. Nach erfolgreicher Authentisierung des Signaturterminals setzt die ecard einen Sicherheitsstatus, der als notwendige Zugriffsbedingung für die Ausführung von Kommandos innerhalb der esign-anwendung geprüft wird. (4) Das Signaturterminal muss das Chipauthentisierungsprotokoll mit der ecard durchführen. Für die Chipauthentisierung verwenden die ecard den eigenen statischen privaten Schlüssel und den ephemeralen öffentlichen Schlüssel des Signaturterminals und das Signaturterminal seinen ephemeralen privaten Schlüssel der Terminalauthentisierung im vorangegangenen Schritt und den statischen öffentlichen Schlüssel aus dem Zertifikat der ecard. Das Signaturterminal und die ecard müssen nach erfolgreich abgeschlossener Chipauthentisierung über den neu initiierten Secure Messaging Kanal kommunizieren. (5) Die Signaturanwendungskomponente wählt die esign-anwendung aus und fordert über das Signaturterminal den ecard-benutzer auf, seine esign-pin am Signaturterminal einzugeben. Das Signaturterminal muss den Benutzer auffordern, die esign-pin über die Tastatur einzugeben. Der ecard-benutzer muss die esign-pin über die Tastatur eingeben. 21

23 Das Signaturterminal muss das Kommando VERIFY zur Überprüfung der eingegeben esign-pin durchführen. Bei Misserfolg des Authentisierungsversuchs muss die ecard den Fehlbedienungszähler um 1 heraufsetzen und im Returncode über die verbleibenden Authentisierungsversuche bis zum Blockieren der esign-pin informieren. Die ecard gibt eine Meldung über Erfolg oder Misserfolg der PIN-Prüfung einschließlich der verbleibenden Authentisierungsversuche bis zum Blockieren der esign-pin an das Signaturterminal und das Signaturterminal übergibt diese Meldung an die Signaturanwendungskomponente zurück. Die Signaturanwendungskomponente informiert den Benutzer über Erfolg oder Misserfolg des Authentisierungsversuchs. (6) Die Signaturanwendungskomponente muss die zu signierenden Daten mit dem Kommando PSO:COMPUTE DIGITAL SIGNATURE an das Signaturterminal und das Signaturterminal muss die Daten an die ecard im Secure Messaging Kanal übergeben. Die ecard berechnet die digitale Signatur über die empfangenen zu signierenden Daten. (7) Die ecard gibt die digitale Signatur oder eine Fehlermeldung an das Signaturterminal und das Signaturterminal gibt diese Daten an die Signaturanwendungskomponente zurück. Die Signaturanwendungskomponente informiert den Benutzer über Erfolg oder Misserfolg der Signaturerstellung Aktivierung des neuen Personalausweises als SSEE [BSI-TR03117; 4.4.2] Die folgende Beschreibung des Anwendungsfalles stammt aus der Technischen Richtlinie TR-03117: ecards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit in Abschnitt Der ecard-benutzer verwendet die ecard mit einer Signaturanwendungskomponente und einem Signaturterminal und der zertifikatsausstellende ZDA verwendet sein Authentisierungsterminal für die folgenden Schritte. (1) Der ecard-benutzer stellt die Kommunikation mit einem zertifikatsausstellenden ZDA her. (2) Das Signaturterminal muss die physische und logische Kommunikation mit der ecard herstellen. (3) Die Signaturanwendungskomponente zeigt dem Benutzer den im PACE-Protokoll zu verwendenden CHAT (Mindestens Install qualified certificate sowie die vom ZDA geforderten personenbezogenen Daten) an und fordert den Benutzer auf, die eid-pin in das Signaturterminal einzugeben. Der ecard-benutzer muss die eid-pin eingeben und das Signaturterminal führt das PACE-Authentisierungsprotokoll mit der eingegebenen eid-pin durch. Das Signaturterminal und die ecard kommunizieren nach erfolgreich abgeschlossener PACE- Authentisierung über den eingerichteten Secure Messaging Kanal. (4) Der ZDA nutzt sein Authentisierungsterminal zur Kommunikation über das Signaturterminal zur ecard. Das Signaturterminal vermittelt diese Kommunikation in seinem 22

24 (durch das PACE-Authentisierungsprotokoll hergestellten) Secure Messaging Kanal mit der ecard. (5) Das Authentisierungsterminal muss sich gegenüber der ecard unter Verwendung seines CVC als Authentisierungsterminal mit dem Zugriffsrecht Install Qualified Certificate und seinem privaten Schlüssel zur Terminalauthentisierung authentisieren. Nach erfolgreicher Authentisierung des Authentisierungsterminals setzt die ecard einen Sicherheitsstatus der innerhalb des jeweiligen Secure Messaging Kanals nur Zugriffsrechte zum Lesen von Personalangaben des ecard-besitzers und zur Erzeugung eines Signaturschlüsselpaares sowie Installation des qualifizierten Zertifikates gewährt. (6) Das Authentisierungsterminal muss das Chipauthentisierungsprotokoll mit der ecard durchführen. Für die Chipauthentisierung verwendet die ecard den eigenen statischen privaten Schlüssel und den ephemeralen öffentlichen Schlüssel des Authentisierungsterminals und das Authentisierungsterminal seinen ephemeralen privaten Schlüssel der Terminalauthentisierung im voran-gegangenen Schritt und den statischen öffentlichen Schlüssel aus dem Zertifikat der ecard. Nach erfolgreicher Chipauthentisierung kommunizieren die ecard und das Authentisierungsterminal in einem eigenen Secure Messaging Kanal, den das Signaturterminal transparent vermittelt. (7) Der ZDA muss die eid-anwendung auswählen und die zur Identifizierung des ecard- Inhabers nach 5 Abs. 1 SigG [3] und 3 Abs. 1 SigV [4] notwendigen Personaldaten auf der ecard über das Authentisierungsterminal lesen. Die Authentizität der Personalangaben ergibt sich aus der Chipauthentisierung und dem daraus abgeleiteten gesicherten Kommunikationskanal zwischen dem ecard-chip und Authentisierungsterminal des ZDA. (8) Das Authentisierungsterminal muss die esign-anwendung auf der ecard auswählen. Wenn das Authentisierungsterminal die esign-anwendung nicht auswählen kann, so wird das Protokoll mit der Fehlermeldung ecard ist keine vorbereitete sichere Signaturerstellungseinheit abgebrochen. (9) Das Authentisierungsterminal muss das Kommando GENERATE ASYMMETRIC KEY PAIR zur Erzeugung des Signaturschlüsselpaares an die ecard im Secure Messaging Kanal der Chipauthentisierung senden. (10) Das Authentisierungsterminal muss den erzeugten Signaturprüfschlüssel von der ecard mit Secure Messaging der Chipauthentisierung lesen. Die Authentizität des gelesenen Signaturprüfschlüssels ergibt sich aus der Exportfunktion für den zum gespeicherten Signaturschlüssel korrespondierenden öffentlichen Schlüssels (s. Sicherheitsanforderungen an die ecard als SSEE im Kapitel 4.1) sowie der Chipauthentisierung und dem daraus abgeleiteten gesicherten Kommunikationskanal zwischen dem ecard-chip und Authentisierungsterminal des ZDA. 23

25 (11) Der ZDA stellt das qualifizierte Zertifikat für die identifizierte Person und den gelesenen Signaturprüfschlüssel aus und stellt es abrufbar bereit. Das Authentisierungsterminal kann das Zertifikat auf die ecard in die esign-applikation schreiben (optional). Nach der Abarbeitung der genannten Schritte ist die ecard als SSEE personalisiert. [BSI-TR03117; 4.3.2] 24

26 Literaturverzeichnis [BSI-100-2] BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0, 2008, _node.htm [BSI-CC-PP-0064] BSI, Common Criteria Protection Profile for Inspection Systems (IS), Version 1.01, 2010 [EGovG] [ESdEfS] [EU 1999/93/EC] Referentenentwurf: Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (E-Government-Gesetz EGovG) b lob%3dpublicationfile&ei=vkwbueu6dybusgbq1icadq&usg=afqjcngvnp6cuhepfmjsyfbw7irl_mqzv Q&bvm=bv ,d.Yms Bundesnetzagentur; Einheitlichen Spezifizierung der Einsatzbedingungen für Signaturanwendungskomponente; Version 1.4; Stand ; Richtlinie des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen. [PAuswG] Personalausweisgesetz vom 18. Juni 2009 (BGBl. I S. 1346), das durch Artikel 4 des Gesetzes vom 22. Dezember 2011 (BGBl. I S. 2959) geändert worden ist [PAuswV] [SigG] Verordnung über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisverordnung PauswV, Vom 1. November 2010; BGBl. I S. 1460) Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften vom 16. Mai 2001 (deutsches Signaturgesetz SigG 2001; BGBI. I S.876 ff) [SigV] Verordnung zur elektronischen Signatur (deutsche Signaturverordnung SigV 2001), 16. November 2001 [TR-20102] BSI, TR-20102: Kryptographische Verfahren: Empfehlungen und Schlüssellängen, Version , 2013 [TR-03105] BSI TR-03105: Conformity Tests for Official Electronic ID Documents, Version 2.5, 2010 [TR-03110] BSI, TR-03110: Technical Guideline TR-03110: Advanced Security Mechanisms for Machine Readable Travel Documents Part 1 Part 3, Version 2.10, 2012 [TR-03117] BSI, TR-03117: ecards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit, Version 1.0, 2009 [TR-03119] BSI TR-03119: Anforderungen an Chipkartenleser mit npa Unterstützung, Version 1.2, 2011 [TR-03131] BSI- TR-03131: EAC-Box Architecture and Interfaces, Version 1.2, 2011 [TÜVIT2011] TÜV Informationstechnik GmbH, Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 und 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen und 11 Abs. 3 Verordnung zur elektronischen Signatur. Chipkartenleser cyberjack RFID komfort, Version , aetigungen/chipkartenleser/cyberjackrfidkomfortv20pdf.pdf? blob=publicationfile 25

Ähnliche Dokumente
2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback