Workshop. Die OSCI Transport Bibliothek in JAVA und.net. Frank Steimke

Transkript

1 Workshop Die OSCI Transport Bibliothek in JAVA und.net T. Lipp Microsoft Deutschland Frank Steimke 1 Agenda OSCI im egovernment: eine Übersicht Wie funktioniert OSCI Transport Die OSCI Bibliothek des KoopA Architektur und Schnittstellen der Bibliothek Die Bibliothek in JAVA Die Bibliothek in.net Diskussion 2 1

2 Was ist OSCI? 14. März 2000 Die Abkürzung von Online Services Computer Interface Der Name eines Protokollstandards für die deutsche Kommunalwirtschaft, damit primär zwischen der öffentlichen Verwaltung und ihren Kunden eine sichere Übertragung rechtlich anerkannter, digital signierter und chiffrierter Dokumente über das Internet ermöglicht wird. Die Bezahlfunktion selbst ist nicht Gegenstand von OSCI, aber man kann Nachrichten und zugehörige Zahlvorgänge korrelieren. 3 Z. B. : Anforderung einer Haushaltsbescheinigung Um den Anspruch auf Kindergeld zu überprüfen, benötigt die Familienkasse von einer Meldebehörde eine Haushaltsbestätigung Es wird bestätigt, dass das Kind im Haushalt des Antragstellers gemeldet ist 4 2

3 Die drei Wege zur Haushaltsbescheinigung Die Familienkasse fordert diese schriftlich bei der Meldebehörde an dauert lange und kostet Porto Die Familienkasse fordert diese telefonisch bei der Meldebehörde an aber da ist immer besetzt dauert trotzdem lange der Mitarbeiter in der Meldebehörde ist genervt Man fordert den Antragsteller auf sich eine Haushaltsbescheinigung zu holen soll der doch laufen er will ja schließlich was von uns 5 Die Haushaltsbescheinigung per Internet? Im Moment der Antragbearbeitung holt man online die Haushaltsbescheinigung von der Meldebehörde Mitarbeiter der Familienkasse werden entlastet Keine Unterbrechung, keine Wiedervorlage Mitarbeiter der Meldebehörde werden entlastet Weniger Störungen, weniger Arbeitsaufwand Das Verfahren ist bürgerfreundlich Die Daten sollen laufen, nicht der Bürger 6 3

4 Darf man das? Die Meldebehörde darf einer anderen Behörde aus dem Melderegister folgende Daten von Einwohnern übermitteln, soweit dies zur Erfüllung von in ihrer Zuständigkeit liegenden Aufgaben erforderlich ist: u. a. Namen, Geburtsangaben, Angaben zur Wohnung Die Daten dürfen auch durch Datenübertragung übermittelt werden, wenn über die Identität der anfragenden Stelle kein Zweifel besteht Dabei ist zu gewährleisten, dass dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit getroffen werden, die insbesondere die Vertraulichkeit und die Unversehrtheit der im Melderegister gespeicherten und an den Betroffenen übermittelten Daten gewährleisten 7 Kann man das? Die Nachrichteninhalte müssen standardisiert werden In einem Flächenland will die Familienkasse mit einer Software alle Meldebehörden mit ihren unterschiedlichen Verfahren ansprechen können Hierfür gibt es OSCI XMeld Die Nachrichten müssen so übermittelt werden, dass alle Anforderungen des 18 MRRG erfüllt sind Sichere Identität der Kommunikationspartner Garantierte Unversehrtheit übermittelter Daten Garantierte Vertraulichkeit während der Übermittlung Hierfür gibt es OSCI Transport 8 4

5 Eine Verallgemeinerung für egovernment Zwischen Behörden und deren Kunden muss eine Kommunikationsinfrastruktur aufgebaut werden, die Auf dem Internet basiert (schon wegen der privaten Kunden) Eine sichere Datenübermittlung inklusive der elektronischen Signatur erlaubt Den Anforderungen des deutschen Signaturgesetzes genügt Hersteller- und Produktunabhängig ist Sowohl Dialogorientiertes als auch - orientiertes Arbeiten ermöglicht Die Medienbruchfreie Weiterverarbeitung der Nachrichten erlaubt In der öffentlichen Verwaltung akzeptiert ist Mit OSCI werden diese Anforderungen erfüllt 9 Noch einmal: was ist OSCI? 10 5

6 OSCI Transport auf einen Blick Bietet eine sichere Infrastruktur für egovernment Basiert auf offenen, internationalen Standards Sichert Integrität, Authentizität und Vertraulichkeit Sichert Nachvollziehbarkeit durch Quittungen Schützt vor replay- und man in the middle Angriffen Ist anpassbar an verschiedene Sicherheitsniveaus Sicherheitsmechanismen sind vom BSI geprüft Unterstützt qualifizierte und fortgeschrittene Signatur Unterstützt sichere und Interaktion mit Kunden Ist Hersteller- und plattformunabhängig Ist geeignet für offene Benutzergruppen 11 OSCI Transport Details Basiert vollständig auf internationalen Standards HTTP, XML, SOAP, X.509, XML-DSIG, XML-Encryption Anpassungen waren erforderlich, um die Kompatibilität mit dem deutschen / europäischen Signaturrecht sicherzustellen Nur die PKI nach deutschem SigG / Keine PGP Zertifikate Nur vom BSI empfohlene Algorithmen, Schlüssellängen Basiert auf dem Prinzip des doppelten Umschlags Erlaubt zentrale Dienste ohne Verlust der Ende-zu-Ende Verschlüsselung Damit werden ökonomische egovernment Lösungen auch für kleine Kommunen erschwinglich Der Intermediär als zentrale Instanz kann von vielen Mandanten genutzt werden 12 6

7 OSCI-Modell Signieren und Verschlüsseln von Daten Prinzip: Doppelter Umschlag 13 Der Intermediär als zentrale Instanz 14 7

8 Die Akteure in OSCI (schematisch) Autor Autor Autor Leser Leser Leser OSCI-Transport 1.2 Sender Client Nachrichtensender / -empfänger Supplier / Client Nachrichtensender / -empfänger Empfänger Supplier / Client Nachrichtensender / -empfänger techn. Transportschicht Benutzer 1 techn. Transportschicht techn. Transportschicht Intermediär Benutzer 2 15 Agenda OSCI im egovernment: eine Übersicht Wie funktioniert OSCI Transport Die OSCI Bibliothek des KoopA Architektur und Schnittstellen der Bibliothek Die Bibliothek in JAVA Die Bibliothek in.net Diskussion 16 8

9 Die OSCI Transport Spezifikation Definiert die Rollen aller OSCI Akteure Autor / Leser Sender / Empfänger Intermediär Legt zulässige Algorithmen und Schlüssellängen fest Beschreibt Datenformate exakt in XML In der Regel basierend auf XML DSIG und XML Encryption Definiert die zulässigen Nachrichtentypen One Way, aktiver oder passiver Empfänger Request Response (synchron) Beschreibt Verfahrensabläufe in Prosa Die Spezifikation ist nur schwarz gemachtes Papier 17 Beispiele aus der Spezifikation : optional : zwingend validiert Sig.-Zert. Sig.-Zert. validiert Autor Sender erzeugt verfasst generiert erzeugt Inhaltsdatensignatur Inhaltsdaten Nutzdaten Nutzdatensignatur Inhaltsdatencontainer verschlüsselt (verschlüsselter) Inhaltsdatencontainer (verschlüsselter) Nutzdatencontainer Nutzdatencontainer verschlüsselt OSCI-Nachricht kann entschlüsseln kann entschlüsseln verifiziert Leser empfängt Empfänger verifiziert 18 9

10 Implementierung von OSCI Transport Verfahrenshersteller müssen die OSCI Transport Spezifikation vollständig implementieren Neben XML sind weit reichende Kenntnisse aus folgenden Bereichen erforderlich Signatur- und Verschlüsselungsalgorithmen Zertifikate, Karten, Kartentreiber, PKI Einschlägige Standards (PKCS#12, OCSP, XKMS ) spezifische Implementierungen von Kryptoprovidern Fehlerhafte oder unvorsichtige Implementierungen gefährden die Sicherheit des gesamten Verfahrens! 19 Die Beschlusslage bezüglich OSCI Der KoopA ADV hat zu OSCI Transport bekannt Der Bund erklärt OSCI Transport zum obligatorischen Standard (siehe [SAGA]) Die VPS des Bundes basiert auf OSCI OSCI ist in IT-Konzepten vieler Länder fest verankert Im Meldewesen wird OSCI ab 2007 vorgeschrieben Mehr als Kommunen müssen OSCI-Transport sprechen können Alle Verfahrenshersteller müssen OSCI in ihre Systeme implementieren Ab 2007: ständiger Datenaustausch zwischen Meldebehörden und dem Bundesamt für Finanzen 20 10

11 Auszug aus der Begründung zur 1. BMeldDÜV Es werden die durch die MRRG-Novelle 2002 geschaffenen rechtlichen Rahmenbedingungen für die elektronische Kommunikation zwischen den Meldebehörden durch detaillierte Regelungen ausgefüllt. Die elektronische Datenübermittlung soll (zunächst) über in den Ländern einzurichtende zentrale Vermittlungsstellen, sonst unmittelbar zwischen den Meldebehörden erfolgen. Hierfür werden die Standards OSCI-XMeld und OSCI- Transport verbindlich vorgeschrieben und festgelegt, dass keine Software im Meldewesen eingesetzt werden darf, die nicht diese Standards implementiert hat. 21 Die Beschlusslage zur OSCI Bibliothek Die öffentliche Verwaltung entwickelt eine Bibliothek, mit der beliebige Fachverfahren schnell OSCI-fähig werden können Die Bibliothek steht Anwendern unentgeltlich zur Verfügung Sie wird in einer Open-Source Lizenz herausgegeben Die Bremer Lizenz Es gibt zwei Implementierungen In JAVA In.net (Microsoft) Für eine begrenzte Zeit ist die Nutzung dieser Bibliothek obligatorisch 22 11

12 KoopA Beschluss Nr /2003 Bis zu einem anderweitigen KoopA ADV-Beschluss können Anwendungen und Infrastrukturkomponenten, die die vom KoopA ADV autorisierte und durch das Projektbüro herausgegebene OSCI-Bibliothek (in der Basistechnologie Java oder.net) in unveränderter Form nutzen, sich OSCI X-konform (z. Z. OSCI 1.0 und 1.2-konform) nennen. 23 Die schematische Architektur (1) 24 12

13 Die schematische Architektur (2) 25 Agenda OSCI im egovernment: eine Übersicht Wie funktioniert OSCI Transport Die OSCI Bibliothek des KoopA Architektur und Schnittstellen der Bibliothek Die Bibliothek in JAVA Die Bibliothek in.net Diskussion 26 13

14 Die Interfaces der Bibliothek 27 Die Module der Bibliothek (Java) 28 14

15 Die Nutzung der Bibliothek (Schematisch, 1) Suche den Kommunikationspartner Nutze dafür z. B. den Verzeichnisdienst Ermittle dessen Kommunikationsparameter Zertifikat und URL des Intermediärs Zertifikat und URL des Kommunikationspartners OSCI-Nachrichtentyp Erstelle den Nachrichteninhalt Z. B. Anforderung einer Haushaltsbescheinigung / XMeld Erstelle ein Transport Object Übergebe diesem den Nachrichteninhalt Signiere und verschlüssle die Nachricht 29 Die Nutzung der Bibliothek (Schematisch, 2) Baue die Verbindung auf Versende die Nachricht Nimm die Antwort entgegen Dechiffriere die Antwort Baue die Verbindung ab Prüfe die Antwort formal Sind alle Zertifikate in Ordnung? Stimmt die Signatur? Bearbeite die Antwort inhaltlich Z. B. im Fachverfahren 30 15

16 Agenda OSCI im egovernment: eine Übersicht Wie funktioniert OSCI Transport Die OSCI Bibliothek des KoopA Architektur und Schnittstellen der Bibliothek Die Bibliothek in JAVA Die Bibliothek in.net Diskussion 31 Useful Links OSCI based Online Transaction in Bremen Competition OSCI Protocol standard (Including OSCI-Xmeld) Company bremen online services Virtual Post Office of the Federal Government Microsoft OSCI Resource Kit

17 Vielen Dank für Ihre Aufmerksamkeit T. Lipp F. Steimke 33 17