Von digitalen Identitäten zu Hoheitlichen Dokumenten

Transkript

1 Von digitalen Identitäten zu Hoheitlichen Dokumenten Dr. Udo Helmbrecht Seminar am Institut für Informationstechnische Systeme an der Bundeswehr Universität München HT Oktober 2007 Folie 1

2 Inhalt Motivation Technologie RFID Biometrrie PKI Pervasive Computing eidentity epass epa egk 15. Oktober 2007 Folie 2

3 eidentity 15. Oktober 2007 Folie 3

4 Digitale Identitäten /Medias_res_2007_E-Identity_Bizer.pdf Oktober 2007 Folie 4

5 Hoheitliche Dokumente 15. Oktober 2007 Folie 5

6 Presse Süddeutsche Zeitung vom Oktober 2007 Folie 6

7 RFID 15. Oktober 2007 Folie 7

8 RFID Radio Frequency Identification (RFID) ist die Identifizierung mit Hilfe von Hochfrequenz. RFID ist ein Verfahren zur automatischen Identifizierung von Objekten. Neben der berührungslosen Identifizierung und der Lokalisierung erfolgt mittels RFID auch die automatische Erfassung und Speicherung von Daten. Ein RFID-System besteht aus einem Transponder, der sich am oder im Objekt befindet und einem Lesegerät zum Auslesen der Transponder-Kennung. Aufgabenstellung 1.Darstellung physikalische Grundlagen /7/ 2.Anwendungsbeispiele 3.Einsatz im epass, epa 4.Sicherheitsrisiken /8/,/9/ 15. Oktober 2007 Folie 8

9 RFID Studien RFID-Studie2007_tcm pdf Oktober 2007 Folie 9

10 Biometrie 15. Oktober 2007 Folie 10

11 Biometrie Unter Biometrie /10/ im hier verwendeten Sinn ist ganz allgemein die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale zu verstehen. Berechtigte Personen sollen also z. B. von unberechtigten Personen getrennt werden. Authentizität und damit die Übereinstimmung einer behaupteten mit der tatsächlichen Identität ist neben Vertraulichkeit, Integrität und Verfügbarkeit eines der herausragenden Sicherheitsziele im informationstechnologischen Zusammenhang. Herausforderungen bestehen heute in der Integration verschiedener Systeme /11/. Aufgabenstellung Darstellung der für den epass relevanten Biometrieverfahren 1. Gesichtsbild 2. Fingerabdruck 3. (Iris) 15. Oktober 2007 Folie 11

12 Literatur geschichte.pdf Oktober 2007 Folie 12

13 Biometrieverfahren Fingerabdruckerkennung.pdf dokumente/gesichtserkennung.pdf dokumente/iriserkennung.pdf Oktober 2007 Folie 13

14 Signaturen, PKI 15. Oktober 2007 Folie 14

15 Signatur, PKI Elektronischen Signaturen dienen der Authentisierung von elektronischen Daten. Die elektronische Signatur erfüllt z.b. technisch gesehen den gleichen Zweck wie eine eigenhändige Unterschrift auf Papierdokumenten. Für den Einsatz der epass-lesegeräte hinsichtlich des Auslesens des biometrischen Merkmals der Finger ist eine Lesegeräte-PKI- Infrastruktur notwendig. Ebenso sind für mögliche Geschäftsmodelle des epa PKI- Infrastrukturen notwendig. Aufgabenstellung 1. Was ist eine Signatur und wie funktioniert eine PKI /12/ 2. Beispiele für PKIs 3. Anwendungen für Hoheitliche Dokumente 15. Oktober 2007 Folie 15

16 Literatur Oktober 2007 Folie 16

17 Verwaltungs-PKI F31VPKI.pdf Oktober 2007 Folie 17

18 Pervasive Computing 15. Oktober 2007 Folie 18

19 Pervasive Computing Der Begriff Pervasive Computing (lat. pervadere durchdringen) bezeichnet die allesdurchdringende Vernetzung des Alltags durch den Einsatz intelligenter Gegenstände. Bezogen auf die Allgegenwärtigkeit der Informationsverarbeitung spricht man auch z.t. von Ubiquitous Computing (ubicomp, die Allgegenwärtigkeit (engl. ubiquity). Aufgabenstellung 1. Pervasive Computing /14/ 2. Anwendungen 3. Sicherheitsrisiken 15. Oktober 2007 Folie 19

20 Technologische Trends Polymerchips Sensor Chip Pervasive Computing (BSI Studie, 2006) Digitale Aura Nanotechnologie (BSI Studie, 2006) Quantum Cryptography Smart Dust Chip 0,15mm 2 Hitachi 15. Oktober 2007 Folie 20

21 Studie Pervasive Computing Technologiefeld Pervasive Computing Anwendungsfelder Sicherheit im Pervasive Computing Auswirkungen und Handlungsbedarf Oktober 2007 Folie 21

22 epass 15. Oktober 2007 Folie 22

23 epass Die Bundesrepublik Deutschland hat im November 2005 auf Basis einer EU-Verordnung /1/ elektronische Reisepässe eingeführt. Im epass /2/ der ersten Generation ist gemäß EG-Verordnung ein Chip enthalten, in dem als erstes biometrisches Merkmal das Passfoto gespeichert ist. Ab November 2007 werden zusätzlich die Fingerabdrücke in den Chips neuer Pässe gespeichert. Aufgabenstellung 1. Darstellung des epass-projektes 2. Herausarbeiten der IT-Sicherheitsrelevanten Prozeßschritte /6/ 3. Beschreibung der sicherheitstechnischen Lösungen BAC, EAC /13/ 15. Oktober 2007 Folie 23

24 ICAO Die International Civil Aviation Organization (ICAO), gegründet 1944, ist eine Sonderorganisation der Vereinten Nationen, die Standards für den zivilen Luftverkehr definiert. Ihr gehören 190 Vertragsstaaten an. Die ICAO definiert machinenlesbare Reisedokumente (epass) Oktober 2007 Folie 24

25 Pass-Dokument Reisedokument mit elektronischer Ausweisfunktion Kontaktlose RFID-Schnittstelle nach ISO Gesichtsfelddaten Fingerabdruck seit Nov ab Nov Oktober 2007 Folie 25

26 Spezifiktionen, Richtlinien l_ de pdf doc_centre/freetravel/documents/ doc/c_2006_2909_de.pdf Lichtbild BSI_TR_03104_A1_V21.pdf Fingerabdruck BSI_TR_03104_A2_V21.pdf Oktober 2007 Folie 26

27 Prozesse ( Prozeßmodell Passbehörde - Passhersteller BSI TR Annex 3 XPass Datenmodell BSI_TR_03104_A4_V21.pdf, Erfassung/Übertragung analoger Gesichtsbilder BSI TR Annex 4 - Konformität 15. Oktober 2007 Folie 27

28 Sicherheit Sicherheitsmerkmale BAC, EAC, elliptische Kurven, Signaturen Golden Reader Tool (GRT) Software-Anwendung zum Lesen von ICAO-konformen Reisepässen mit RF-Chip für internationale Interoperabilitätstests funktionale Referenzimplementierung Grenzkontrolle 15. Oktober 2007 Folie 28

29 BAC FAQ Frage Oktober 2007 Folie 29

30 EAC Oktober 2007 Folie 30

31 Sicherheitsmechanismen dud_03_2007_kuegler_naumann.pdf epass/sicherheitsmerkmale.pdf Oktober 2007 Folie 31

32 Golden Reader Tool Der Ablauf des Lesevorgangs eines e-passports, der mit dem Zugriffsschutz "Basic Access Control" ausgestattet ist, gestaltet sich wie folgt: 1. Optisches Lesen der Datenseite im Pass und Extraktion der maschinenlesbaren Zone (MRZ). 2. Berechnung des Zugriffsschlüssels (Access Key) basierend auf der MRZ. 3. Aufbau eines kryptographisch abgesicherten Kommunikationskanals zum RF-Chip im Reisepass. 4. Lesen der Daten aus dem RF-Chip über den zuvor aufgebauten Secure Channel. 5. Überprüfung der digitalen Signatur zur Sicherung der Authentizität und Integrität der vom RF-Chip gelesenen Daten. 6. Visualisierung der ausgelesenen Daten über die graphische Oberfläche des GRT. 15. Oktober 2007 Folie 32

33 Angriffe auf den epass Oktober 2007 Folie 33

34 epa 15. Oktober 2007 Folie 34

35 epa Die Bundesregierung bereitet für eine sichere gegenseitige Identifizierung im Internet die Einführung des elektronischen Personalausweises (epa) vor. Die erstmalige Ausgabe an die Bürgerinnen und Bürger ist in 2008 vorgesehen /3/ Aufgabenstellung 1. Darstellung des epa 2. Beispiele für epa-geschäftsmodelle 15. Oktober 2007 Folie 35

36 epa im Kontext E-Government E-Governemt-2.0-Das-Programm-des-Bundes.pdf PaesseUndAusweise/Listentexte/elPersonalausweis.html 15. Oktober 2007 Folie 36

37 egk 15. Oktober 2007 Folie 37

38 egk Mit der Einführung der elektronischen Gesundheitskarte /4/ und dem Aufbau einer Informations- und Kommunikationsinfrastruktur werden medizinische Einrichtungen - von der Arztpraxis bis zum Krankenhaus - künftig schneller und sicherer miteinander kommunizieren. Dies betrifft sowohl die rein administrative Kommunikation als auch die Bereitstellung medizinischer Daten in einer Telematikm Infrastruktur /5/. Aufgabenstellung 1. Darstellung des egk-projektes 2. Beschreibung der sicherheitstechnischen Lösungen 3. Technische Richtlinien, Zertifizierung 15. Oktober 2007 Folie 38

39 links gross_broschuere_elektronische_gesundheitskarte.pdf Oktober 2007 Folie 39

40 Einsatz 15. Oktober 2007 Folie 40

41 egk-karten 15. Oktober 2007 Folie 41

42 Sicherheit Oktober 2007 Folie 42

43 Verfahrensbeschreibungen Oktober 2007 Folie 43

44 Zulassungsverfahren Zulassung von dezentralen IT-Komponenten in der Telematikinfrastruktur des Gesundheitswesens: Elektronische Gesundheitskarte (egk) vom Heilberufeausweis (HBA) vom Secure Module Card (SMC) vom Kartenterminal vom Konnektor vom Zulassung von Prozessen zur Herausgabe und Nutzung der egks vom Anträ ge auf Zulassung / Testung einer Komponente auf Freigabe der Fachdienste auf Freigabe eines Primà rsystems auf Zulassung der egk-herausgabe Zulassungsbedingungen der gematik Adressen der Zertifizierungsstellen IT-Sicherheit (egk) Oktober 2007 Folie 44

45 Richtlinien, Schutzprofile ttp:// PP0020_V2?.pdf PP0020_V2a.pdf PP0020_V2b.pdf 15. Oktober 2007 Folie 45

46 Unternehmen 15. Oktober 2007 Folie 46

47 Giesecke & Devrient - München Staatliche ID-Karten Oktober 2007 Folie 47

48 Bundesdruckerei - Berlin ID-Systeme Oktober 2007 Folie 48

49 EAC Extended Access Control im epass download/border_d1.pdf 15. Oktober 2007 Folie 49

50 Scanner Dokumenten-Scanner XF1 von Dermalog Passport reader D Scan Authenticator 100 von Cross match Fingerabdruck-Scanner ZF1 von Dermalog Fingerabdruck-Scanner LSCAN 100 von Cross Match Oktober 2007 Folie 50

51 Quellen [1] VERORDNUNG (EG) Nr. 2252/2004 DES RATES vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten, [2] Pässe und Ausweise, Bundesministerium des Innern, [3] E-Governmend 2.0 (S.20), Bundesministerium des Innern, [4] Die Gesundheitskarte, Bundesministerium für Gesundheit, [5] Die Telematikinfrastruktur der egk,gesellschaft für Telematikanwendungen, [6] Sicherheitsmerkmale des epass, BSI, [7] Klaus Finkenzeller, RFID Handbuch, Hansa Verlag 2002 [8] Risiken und Chancen des Einsatzes von RFID Systemen, BSI, 2004, [9] Technologieintegrierte Datensicherheit bei RFID-Systemen, Fraunhofer SIT, 2007, [10] Biometrie, BSI, [11] Gabi Dreo, Betriebssystemunabhängige Anwendungssoftware für biometrische Zugangskontrollsysteme, 2007, siehe auch [12] Claudia Eckert, IT-Sicherheit, Oldenburg Verlag 2004 [13] Sicherheitsmerkmale des epass, BSI, [14] Pervasive Computing Entwicklungen und Auswirkungen, BSI, 2006, Oktober 2007 Folie 51

52 Kontakte Dr. Udo Helmbrecht Prof. Dr. Gabrijela Dreo Rodosek 15. Oktober 2007 Folie 52