Internetkriminalität E-Banking

Transkript

1 Internetkriminalität E-Banking Elektronische Signatur und Bürgerkarte Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Herbert Leitold Wien,

2 Überblick Signatur und Bürgerkarte Kurzvortrag H. Leitold Begriffe, technische Grundlagen Praxis: Was leistet Signatur und Bürgerkarte Praxis: Einsatz in der Wirtschaft - wbpk MOA-Module Kurzvortrag P. Teufl Überblick über die Module Praxis: Integration in bestehende Anwendungen Praxis: Was existiert und ist einsetzbar, Demonstration Diskussion 2

3 Das Problem Hacker Spyware Phishing Botnets BSI Bundesamt für Sicherheit in der Informationstechnik 3

4 Lösungsweg Authentisierung des legitimen Benutzer Nachweis zur Bestätigung des berechtigten Benutzers über Besitz z.b. Chipkarte, Token, (TAN-Liste) über Wissen z.b. Passwort, PIN, TAN über Eigenschaft z.b. Biometrie (noch keine sicheren Online-Verfahren) oder eine Kombination (Mehrfaktor-Authentisierung, wie bei Signaturkarte + PIN) Problem vor allem: rein Wissens-basierte Ansätze 4

5 Risikovergleich Diebstahl der Zugangscodes (Phishing) Netzangriffe (Man in the Middle) Kompromittierter PC (Trojanische Pferde, Spyware) Risiko bei strikt eingehaltenen Benutzer-Policies Benutzername & Passwort erhöhtes Risiko PIN/TAN Verfahren PIN/iTAN Verfahren Authentifizierung Signatur (ohne Transaktionsinhalte) Signatur über Inhalte Bürgerkarte sehr geringes Risiko 5

6 Bürgerkarte vereint Bürgerkarte Authentifizierung Elektronische Signatur Identifikation Gestützt von Datenqualität des ZMR Max Muster

7 Wesentliche Ausprägungen Bankkarten SSCD + qualifiziertes Zertifikat Ausgabe: persönliches Erscheinen / Ausweis e-card SSCD, Verwaltungssignatur Ausgabe: RSa oder persönliches Erscheinen / Ausweis A1 Signatur Signaturschlüssel in HSM hinterlegt; Verwaltungssignatur Ausgabe: persönliches Erscheinen / Ausweis Weitere div. A-Trust Karten, Studentenkarten, Dienstausweise, etc. (jeweils SSCDs) 7

8 Integration der Technologien Client-Seite über Software Die Integration einzelner Karten nicht in Anwendung, sondern über die Bürgerkartenumgebung Offene Schnittstelle Security Layer Offene Schnittstelle Security Layer Bürgerkartenumgebung 8

9 Personenbindung XML Datenstruktur in der Bürgerkartenumgebung mit Personendaten Name, Geburtsdatum Stammzahl Ableitung aus ZMR-Zahl Öffentliche Schlüssel der el. Signatur von Behörde elektronisch signiert Bindet el. Signatur an eindeutige Identifikation Stammzahzahl... <saml:subjectconfirmationdata> <pr:person xsi:type="pr:physical <pr:identification> <pr:value> </pr:v <pr:type> </pr:identification> <pr:name> <pr:givenname>herbert</pr:given <pr:familyname>leitold</pr:fami </pr:name>... <saml:attribute AttributeName="CitizenPublicKey"... <dsig:rsakeyvalue> <dsig:modulus>snw8olcq49qnefems 9

10 Wirtschafts-Bereichsspezifisches Personenkennzeichen wbpk Stammzahl Firmen-ID 4csabB2 Firmen-ID i2345 i6543 MoK67t wbpk P.S.K. 27eGH wbpk ERSTE 10

11 Zusammenfassung Elektronische Signatur ist resistent gegen Phishing oder Man-in-the-Middle Attacken Besitz (Karte) und Wissen (PIN) Vertrauenswürdige Anzeige signierter Inhalte Evaluierte Qualität des Signaturproduktes Sichere Signaturerstellungseinheit (SSCD) Common Criteria evaluiert Bürgerkarte bringt gesicherte Bindung an ZMR wbpk vom privaten Sektor verwendbar Bürgerkartenumgebung frei verfügbar Integriert Technologien, berechnet wbpk 11

12 ... nun zu Server-seitiger Integration Herbert Leitold Wien,