Effizienter Staat 2008

Transkript

1 Effizienter Staat 2008 ecard-api-framework: Hintergrund, aktueller Status und Ausblick Manuel Bach Bundesamt für Sicherheit in der Informationstechnik

2 Integration der Karten in Anwendungen mit der ecard-api Anwendungsbeispiele i Status / Ausblick Manuel Bach Bundesamt für Sicherheit in der Informationstechnik manuel.bach@bsi.bund.de b nd de

3 Was ist die ecard-strategie? Ziele der Bundesregierung Eckpunkte des es vom Auszug - Interoperable Sicherheitsfunktionen Signatur und Authentisierung für alle Chipkarten, alle Anwendungen und alle Marktteilnehmer. Die Karten-emittierenden Projekte statten ihre Karten mit einer optional aktivierbaren i Qualifizierten i Signatur (QS) aus. Alle egovernment-anwendungen akzeptieren für die QS die einheitlichen Standards des Signaturbündnisses bzw. der ecard-strategie. Herstellung und Bereitstellung interoperabler Karten und Zertifikate (Trust Center) sind Aufgabe der Privatwirtschaft

4 Was ist die ecard-strategie? Karten und virtuelle Karten in der ecard-strategie ecard-strategie ( ) epa egk elena ELSTER Auth. Auth. Signatur Auth. Sign.optional Sign.optional Signatur

5 Die Projekte der ecard-strategie egk elektronische Gesundheitskarte t für 80 Millionen Versicherte und ca Heilberufsangehörige (verantwortlich: BMG) epa electronischer Personalausweis für 80 Millionen Bürger (verantwortlich: BMI) elena (JobCard) Anwendung für mehr als 30 Millionen Arbeitnehmer (verantwortlich: BMWi) ELSTER elektronische Steuererklärung (verantwortlich: BMF) Andere Kartenprojekte mit großer Wirkbreite ec-karten der deutschen Banken, epassport, elektronischer Dienstausweis, elektronische Aufenthaltskarte, Tachograph, Karten im Verkehrsbereich

6 Unterstützung der ecard API Abstimmung u.a. mit gematik / BMG ELSTER ELENA Standardisierung DIN CEN ISO Nutzung der Schnittstelle für eigene Produkte

7 Technische aus ecard-projekten Unterstützung tüt der Funktionalität von egk, HBA und SMC (u.a. CVC, Kartenapplikationsmanagement, Activate Record, Speicherfunktionalität, Logische Kanäle, QES-Aktivierung im Feld, SICCT-Leser) Unterstützung der Funktionalität des epass und epa (u.a. BAC, EAC, PACE, EC-Crypto, auch ISO14443) Unterstützung beliebiger Signaturkarten (für ELSTER und elena) Unterstützung von High-Level-PKI- und Signaturfunktionen Sicherheit und Evaluierbarkeit Plattformunabhängigkeit (Java, C, C++, C# auf diversen OS) Skalierbarkeit (vom Einplatzsystem bis hin zur verteilten Serverumgebung) Internationale Perspektive (kompatibel zu ISO und Microsoft)

8 Existierende APIs Anwendungssystem Java XML Digital Signature API SAP Secure Store and Forward (SSF) API Microsoft CryptoAPI CCES-Signature-API Acrobat Digital Signature API Generic Security Services API (GSS-API) GSS-Independent Data Unit Protection (GSS-IDUP) Generic Cryptographic Service API (GCS-API) Simple Cryptographic Program Interface (Crypto API) VPS Document Interface -Crypto-API epassport- CryptoSPI Microsoft Java Cryp ptographic Architect ure (JCA) und Exten nsion (JCE) y M) ata Security ommon Security er (CDSA / CSS Common Da Architecture / Co ervices Manage A Se Signaturanwendungskomponente g US Government SC Interoperability Specification (GSC-IS) PKCS#11 Open Card Framework (OCF) ISO SASCIA PC/SC CT-API Signaturerstellungseinheit

9 Existierende APIs decken jeweils nur einen Teilbereich der notwendigen Funktionalität ab sind nicht aufeinander abgestimmt sind nicht plattformunabhängig erfordern die Änderung des ausführbaren Codes in der Middleware zur Unterstützung einer neuen Karte implizieren hohen Integrationsaufwand Anwendungssystem Java XML Digital Signature API SAP Secure Store and Forward (SSF) API Microsoft CryptoAPI CCES-Signature-API Acrobat Digital Signature API Generic Security Services API (GSS-API) GSS-Independent Data Unit Protection (GSS-IDUP) Generic Cryptographic Service API (GCS-API) Simple Cryptographic Program Interface (Crypto API) VPS Document Interface epassport-crypto-api Microsoft CryptoSPI Java Cryptographic Architecture (JCA) und Extension (JCE) Common Data Security Arch hitecture / Common Security Servi ces Manager (CDSA / CSSM) Signaturanwendungskomponente US Government SC Interoperability Specification (GSC-IS) PKCS#11 Open Card Framework (OCF) ISO SASCIA PC/SC CT-API Signaturerstellungseinheit gefährden den Erfolg der ecard-strategie

10 Wesentliche Eigenschaften des ecard-api-framework Unterstützung beliebiger Karten ohne Änderung des ausführbaren Codes (CardInfo-Files) Leichte Integration in Anwendungen ( High-Level -API) Plattformunabhängig u. skalierbar (Webservice-Schnittstellen) Unterstützung und Abstraktion von verschiedenen Kartenterminal- Technologien (PC/SC, SICCT, etc. / Klasse 1-3 / Kontaktbeh./RFID ) Berücksichtigt wesentliche Standards im ecard-umfeld und z.b. Microsoft s (CNG) CryptoAPI Z.B. CEN/CWA 14171, CEN/CWA 14890,ETSI TS , ETSI TS , (Ziel:), OASIS Digital Signature Service, PC/SC, RFC2560, RFC3161, SICCT und XML-Encryption Derzeit erfolgt Abstimmung mit aktuellen Standardisierungsaktivitäten di i ität (z.b. ISO24727 und prcen/ts 15480)

11 Das Ziel Beliebige Anwendungen nutzen beliebige Karten in einheitlicher und einfacher Art und Weise

12 ecard-api-framework

13 Internationale Normung Abstimmung in CEN TC224 WG15 Reader-Interface (ecard-api, v0.6) Diskussion und Abstimmung in WG15 Card-Transport-Layer-Interface ecard-api, v0.8 Interface-Device-API prcen ISO/IEC

14 Anwendungsbeispiel: Arztpraxis

15 Anwendungsbeispiel: Internetapotheke t th

16 Anwendungsbeispiel: Websigning i

17 Anwendungsbeispiel: elektronisches Ausweisen

18 Status / Ausblick Version 1.0 der Spezifikation (BSI TR-03112) wurde auf der CeBIT 2008 vorgestellt Beispiel-CardInfo-File für die egk liegt vor. Aktueller Spezifikationsstand + ergänzendes Material ist unter /ecard/ abrufbar. ToDos: Einarbeitung der EAC-Protokolle in Teil 7 der Spezifikation sowie Bereitstellen eines Beispiel- CardInfo-Files für den epa (Fertigstellung Anfang Mai 2008) Eine umfangreiche Umgebung zum (weitgehend) automatisierten Testen wird voraussichtlich Mitte 2008 erhältlich sein

19 ecard-api-framework: Hintergrund, aktueller Status und Ausblick Vielen Dank für Ihre Aufmerksamkeit! Manuel Bach Bundesamt für Sicherheit in der Informationstechnik