Spezifikation des elektronischen Heilberufsausweises. Teil II: HPC - Anwendungen und Funktionen

Größe: px
Ab Seite anzeigen:

Download "Spezifikation des elektronischen Heilberufsausweises. Teil II: HPC - Anwendungen und Funktionen"

Transkript

1 Spezifikation des elektronischen Heilberufsausweises Teil II: HPC Anwendungen und Funktionen Version Bundesärztekammer Kassenärztliche Bundesvereinigung Bundeszahnärztekammer Bundespsychotherapeutenkammer Kassenzahnärztliche Bundesvereinigung Bundesapothekerkammer Deutsche Krankenhausgesellschaft HPCSpezifikation V2.3.2, Teil II Seite 1 von 162

2 Editor: Ulrich Waldmann (Fraunhofer SIT) Die technische Spezifikation für den Heilberufsausweis (HPC) und die Sicherheitsmodulkarte (SMC) besteht aus folgenden Teilen: Teil 1: Kommandos, Algorithmen und Funktionen der Betriebssystemplattform Teil 2: HPC Anwendungen und Funktionen Teil 3: SMC Anwendungen und Funktionen HPCSpezifikation V2.3.2, Teil II Seite 2 von 162

3 Inhaltsverzeichnis 1 Zielsetzung und Geltungsbereich Referenzierte Dokumente Abkürzungen und Notation Abkürzungen Notation Der Heilberufsausweis ATRKodierung Allgemeine Struktur RootAnwendung und Dateien auf MFEbene MF EF.ATR EF.DIR EF.GDO EF.Version EF.C.CA_HPC.CS EF.C.HPC.AUTR_CVC EF.C.HPC.AUTD_SUK_CVC PIN.CH PrK.HPC.AUTR_CVC PrK.HPC.AUTD_SUK_CVC PuK.RCA.CS PuK.CAMS_HPC.AUT_CVC SK.CAMS Sicherheitsumgebungen auf MFEbene Öffnen der HPC Kommandosequenz nach Auslesen des ATR Auswahl der RootAnwendung Lesen von EF.ATR und EF.GDO Lesen von EF.DIR und EF.Version Lesen der CVZertifikate der HPC PINManagement PINPrüfung PINÄnderung Zurücksetzen des Fehlbedienungszählers und Setzen einer neuen PIN Abfragen des PIN.CHStatus Management von Kanälen Allgemeine Aspekte Öffnen eines logischen Kanals Schließen eines logischen Kanals Interaktionen zwischen HPC und egk Allgemeines Instanzen des CVC Schlüsselmanagements Prüfung der CVZertifikate der egk Asymmetrische HPC/eGKAuthentisierung ohne Aufbau eines Trusted Channel Interaktionen zwischen HPC und SMC Allgemeines Vorbereitungsschritte Asymmetrische Authentisierung mit Aufbau eines Trusted Channel...47 HPCSpezifikation V2.3.2, Teil II Seite 3 von 162

4 7.4 Asymmetrische Authentisierung mit Speicherung von Vorstellungsschlüsseln Symmetrische Authentisierung mit Aufbau eines Trusted Channel Autorisierungsprozesse Die Heilberufsanwendung Dateistruktur und Dateiinhalt DF.HPA (Health Professional Application) EF.HPD (Health Professional Data) Sicherheitsumgebungen Auswahl der Anwendung Lesen und Aktualisieren von EF.HPD Anwendung für die qualifizierte elektronische Signatur (QES) Dateistruktur und Dateiinhalt DF.QES (Qualified Electronic Signature Application) PrK.HP.QES PIN.QES EF.DM EF.SSEC EF.C.HP.QES EF.C.HP.QESAC1, AC2 und AC Erzeugung einer qualifizierten elektronischen Signatur Sicherheitsumgebungen Auswahl der QESAnwendung Auswahl der Sicherheitsumgebung Lesen und Aktualisieren der Display Message PINManagement Prüfung der PIN Änderung der PIN Zurücksetzen des Fehlbedienungszählers Abfrage des PIN.QESStatus Berechnung einer QES Lesen der zu QES gehörenden Zertifikate Schreiben von Attributzertifikaten Die ESIGNAnwendung Dateistruktur und Dateiinhalt DF.ESIGN PrK.HP.AUT PrK.HP.ENC EF.DM EF.C.HP.AUT EF.C.HP.ENC Sicherheitsumgebungen Auswahl der ESIGNAnwendung Lesen der X.509Zertifikate PIN Management Client/ServerAuthentisierung Entschlüsselung des DokumentenChiffrierungsschlüssels Umschlüsselung des DokumentenChiffrierungsschlüssels Kryptografische Informationsanwendungen Allgemeine Struktur DF.CIA.QES und DF.CIA.ESIGN (Cryptographic Information Applications) Dateien mit kryptografischen Informationsobjekten (CIOs) Auswahl der Anwendungen Lesen der CIADateien Die Organisationsspezifische Authentisierungsanwendung Dateistruktur und Dateiinhalt...87 HPCSpezifikation V2.3.2, Teil II Seite 4 von 162

5 DF.AUTO (Organizationspecific Authentication Application) PrK.HP.AUTO PIN.AUTO PIN.SO EF.C.HP.AUTO1 und EF.C.HP.AUTO Sicherheitsumgebungen Auswahl der AUTOAnwendung PINManagement PINPrüfung PINÄnderung Zurücksetzen des Fehlbedienungszählers Lesen der organisationsspezifischen Zertifikate Aktualisieren der organisationsspezifischen Zertifikate Client/ServerAuthentisierung Laden einer neuen Anwendung oder Anlegen eines EFs nach Ausgabe der HPC Identifizierung des HPCBetriebssystems Einrichtung eines Trusted Channel zwischen CAMS und HPC Asymmetrische Authentisierung Durchführung der symmetrischen Authentisierung Laden einer Anwendung oder einer neuen Datei Eintragen einer neuen Anwendung in EF.DIR Annex A (normativ) Kartenausgeberschlüssel, Nummernräume der Zertifizierungsdiensteanbieter und Certificate Holder Authorizations Annex B (normativ) Struktur und Inhalt der QESZertifikate Annex C (normativ) Zertifikate für Authentifizierung und Verschlüsselung Annex D (informativ) Kryptografische Informationsobjekte der QESAnwendung Annex E (informativ) Kryptographische Informationsobjekte der ESIGNAnwendung HPCSpezifikation V2.3.2, Teil II Seite 5 von 162

6 1 Zielsetzung und Geltungsbereich Diese Spezifikation beschreibt die KartenSchnittstelle zu: dem Heilberufsausweis (HPC) für Angehörige approbierter Heilberufe und Authentisierungsverfahren zwischen HPC und elektronischer Gesundheitskarte (egk), bei denen die Authentizität der egk geprüft und Zugriffsrechte zugewiesen werden. Die Spezifikation ist so aufgebaut, dass sie an die Anforderungen anderer Heilberufe angepasst werden kann. Die Spezifikation berücksichtigt dabei: das deutsche Signaturgesetz und die zugehörende Signaturverordnung (SigG und SigV) die DINSpezifikation für Chipkarten mit digitaler Signatur die ESIGNSpezifikation für elektronische Signaturen die zugehörenden ISOStandards (speziell ISO/IEC 7816, Teile 14, 6, 8, 9 und 15) Andere Quellen (z.b. Anforderungen der Trustcenter) Die Gültigkeitsdauer einer HPC beträgt mindestens 3 Jahre. Ein Heilberufler kann mehr als eine HPC besitzen. HPCSpezifikation V2.3.2, Teil II Seite 6 von 162

7 2 Referenzierte Dokumente [Quelle] [ALGCAT] [COMPKI1] [COMPKI9] Herausgeber (Erscheinungsdatum): Titel Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen) vom 17. November 2008, siehe T7, TeleTrusT: Common PKI Specification, Part 1: Certificate and CRL Profiles, Version 2.0, 20 th January 2009, T7, TeleTrusT: Common PKI Specification, Part 9: SigGProfile, Version 2.0, 20th January 2009, [DIN662911] DIN V662911: 2000 Chipkarten mit Digitaler SignaturAnwendung/Funktion nach SigG und SigV, Teil 1: Anwendungsschnittstelle [DIN662914] DIN V662914: 2002 Chipkarten mit Digitaler SignaturAnwendung/Funktion nach SigG/SigV, Teil 4: Grundlegende Sicherheitsdienste [ECDIR] Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community Framework for Electronic Signatures [egkp1] [egkp2] gematik (2008): Spezifikation der elektronischen Gesundheitskarte, Teil 1: Spezifikation der elektrischen Schnittstelle, Version 2.2.2, gematik (2008): Spezifikation der elektronischen Gesundheitskarte, Teil 2: Grundlegende Applikationen, Version 2.2.1, [EN148901] EN : 2008 Application Interface for smart cards used as secure signature creation devices, Part 1: Basic services [EN148902] EN : 2008 Application Interface for smart cards used as Secure Signature Creation Devices, Part 2: Additional services [EN1867] EN 1867:1997 Machine readable cards Health care applications Numbering system and registration procedure for issuer identifiers [GMG] [HPCP1] [HPCP3] Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV Modernisierungsgesetz GMG), BGBl 2003 Teil I Nr. 55 S.2190, 19. November 2003 Bundesärztekammer et al.: Spezifikation des elektronischen Heilberufsausweises und der Security Module Card, Teil I: Kommandos, Algorithmen und Funktionen der Betriebssystemplattform, V2.3.2 DE, Bundesärztekammer et al.: Spezifikation des elektronischen Heilberufsausweises und der Security Module Card, Teil III: SMC Anwendungen und Funktionen, V2.3.2 DE, [ISO3166] ISO/IEC 31661: 2006 Codes for the representations of names of countries and their subdivisions HPCSpezifikation V2.3.2, Teil II Seite 7 von 162

8 [Quelle] Herausgeber (Erscheinungsdatum): Titel Part 1: Country codes [ISO7812] ISO/IEC 78121: 2006 Cards and personal identification Identification of issuers Part 1: Numbering system [ISO78161] ISO/IEC 78161: 1998 Identification cards Integrated circuit cards with contacts Part 1: Physical characteristics [ISO78162] ISO/IEC 78162: 2007 Identification cards Integrated circuit cards with contacts Part 2: Dimensions and location of contacts [ISO78163] ISO/IEC 78163: 2006 Identification cards Integrated circuit cards with contacts Part 3: Electrical interface and transmission protocols [ISO78164] ISO/IEC 78164: 2005 Identification cards Integrated circuit cards Part 4: Organization, security and commands for interchange [ISO78165] ISO/IEC 78165: 2004 Identification cards Integrated circuit cards Part 5: Registration of application providers [ISO78166] ISO/IEC 78166: 2004 Identification cards Integrated circuit cards Part 6: Interindustry data elements for interchange [ISO78168] ISO/IEC 78168: 2004 Identification cards Integrated circuit cards Part 8: Commands for security operations [ISO78169] ISO/IEC 78169: 2004 Identification cards Integrated circuit cards Part 9: Commands for card management [ISO781613] ISO/IEC : 2007 Identification cards Integrated circuit cards Part 13: Commands for application management in multiapplication environment [ISO781615] ISO/IEC : 2004 Identification cards Integrated circuit cards Part 15: Cryptographic information application [ISO8825] ISO/IEC 88251: 2002 Information technology ASN.1 encoding rules Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER) [ISO9564] ISO 95641: 2002 Banking Personal Identification Number (PIN) management and security HPCSpezifikation V2.3.2, Teil II Seite 8 von 162

9 [Quelle] Herausgeber (Erscheinungsdatum): Titel Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems [ISO97962] ISO/IEC 97962: 2002 Information technology Security techniques Digital signature schemes giving Message Recovery Part 2: Integer factorization based mechanisms [ISO10118] ISO Information technology Security techniques Hash functions, Part 2: Hash functions using an nbit block cipher algorithm, 2000 [ISO10646] ISO/IEC 10646:2003 Information technology Universal MultipleOctet Coded Character Set (UCS) [ISO10918] ISO/IEC Information technology digital compression and coding of continuoustone still images: Requirements and guidelines, 1994 [ISO11770] ISO/IEC : 2008 Information technology Security techniques Key management Part 3: Mechanisms using asymmetrische techniques [NISTSHS] NIST: FIPS Publication 1802: Secure Hash Standard (SHS1), [PKCS#1] [PKIReg] [PKINota] [PPHPC] [PPSMCA] [PPSMCB] [Resolution190] PKCS#1 RSA Cryptography Standard V2.1: June 14, 2002 gematik: Registrierung einer CVCCA der zweiten Ebene Version gematik: Festlegungen zu den Notationen von Schlüsseln und Zertifikaten kryptographischer Objekte in der TI, Version BSI: Common Criteria Protection Profile Health Professional Card (PP HPC) with SSCD Functionality, BSICCPP0018V22009, Version 2.5, April 6 th, 2009 BSI: Common Criteria Protection Profile Secure Module Card Type A (PPSMCA), BSIPP0019, Version 1.9.1, February 1 st 2008 BSI: Common Criteria Protection Profile Secure Module Card Type B (PPSMCB), BSIPP0019, Version 1.9.1, February 1 st 2008 Beschluss Nr. 190 der Europäischen Union vom 18. Juni 2003 betreffend die technischen Merkmale der europäischen Krankenversicherungskarte [RFC1510] RFC 1510: May 1999 Public Key Cryptography for Initial Authentication in Kerberos [RFC2246] RFC 2246: Jan The TLS Protocol, Version 1.0 [RFC2459] [RFC3039] Internet X.509 Public Key Infrastructure Certificate and CRL Profile, January 1999 Internet X.509 Public Key Infrastructure Qualified Certificates Profile, January 2001 [RFC3280] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, April 2002 HPCSpezifikation V2.3.2, Teil II Seite 9 von 162

10 [Quelle] Herausgeber (Erscheinungsdatum): Titel [RFC3629] UTF8, a transformation format of ISO 10646, November 2003 [RSA] [SigG01] [SigV01] R. Rivest, A. Shamir, L. Adleman: A method for obtaining digital signatures and public key cryptosystems, Communications of the ACM, Vol. 21 No. 2, 1978 Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften, Bundesgesetzblatt Nr. 22, 2001, S.876 Verordnung zur elektronischen Signatur SigV, 2001, Bundesgesetzblatt Nr. 509, 2001, S [SMCK] gematik: Spezifikation der SMCK, Version [SSL] [TID] Netscape: SSL3.0 Specification Spezifikation des Aufbaus der TelematikID für HBA und SMC, Version 1.0.0, [TR03114] BSI: TR0311, Stapelsignatur mit dem Heilberufsausweis, Version 2.0, , [TR03115] BSI: TR03115, Komfortsignatur mit dem Heilberufsausweis, Version 2.0, , [TR03116] BSI: TR03116, Technische Richtlinie für die ecardprojekte der Bundesregierung, Version 3.0, , HPCSpezifikation V2.3.2, Teil II Seite 10 von 162

11 3 Abkürzungen und Notation 3.1 Abkürzungen AC AID AKS AOD APDU ASN.1 ASCII AT ATR AUT AUTD AUTR AUTO BA BCD BER BNA C C2C CA CAMS CAR CC CD CER CG CH CHA CHR CIA CIO CLA COS Attribute Certificate (Atttributzertifikat) Application Identifier (Anwendungskennung) Auslöser KomfortSignatur Authentication Object Directory Application Protocol Data Unit [ISO78163] Abstract Syntax Notation One American Standard Code for Information Interchange Authentication Template AnswertoReset Authentisierung CVbasierte Geräteauthentisierung CVbasierte Rollenauthentisierung Organisationsspezifische Authentisierung Berufsausweis Binary Coded Decimal Basic Encoding Rules Bundesnetzagentur Zertifikat CardtoCard Certification Authority (Zertifizierungsdiensteanbieter) Card Application Management System Certification Authority Reference Cryptographic Checksum (kryptographische Prüfsumme) Certificate Directory Canonical Encoding Rules Cryptogram Cardholder (Karteninhaber) Certificate Holder Authorization Certificate Holder Reference Cryptographic Information Application Cryptographic Information Objects ClassByte einer KommandoAPDU Card Operating System (Chipkartenbetriebssystem) HPCSpezifikation V2.3.2, Teil II Seite 11 von 162

12 CPI CRL CS CTA CV CVC D,DIR DE DER DES DF DI DM DO DS DSI DTBS ECDSA EF egk EHIC ENC ES FCI FCP FI FID GDO GKV GP HB HCI HP HPA HPC HPD ICC ICCSN ICM Certificate Profile Identifier Cerificate Revocation List (Zertifikatssperrliste) CertSign (CertificateSigning) Card Terminal Application (Kartenterminalanwendung) Card Verifiable Card Verifiable Certificate Directory Datenelement Distinguished Encoding Rules Daten Encryption Standard Dedicated File Baud rate adjustment factor Display Message Datenobjekt Digital Signature Digital Signature Input Data to be signed Elliptic Curve Digital Signature Algorithm Elementary File elektronische Gesundheitskarte [egkp1] und [egkp2] European Health Insurance Card Encryption Electronic Signature File Control Information File Control Parameter Clock rate conversion factor File Identifier Global Data Object Gesetzliche Krankenversicherung Global Platform Historical Bytes Health Care Institution (Institution des Gesundheitswesens) Health Professional (Heilberufler) Health Professional Application Health Professional Card (Heilberufsausweis) Health Professional related Data Integrated Circuit Card (Chipkarte) ICC Serial Number (ChipSeriennummer) IC Manufacturer (Kartenhersteller) HPCSpezifikation V2.3.2, Teil II Seite 12 von 162

13 ID IFSC IIN INS KeyRef KM KT LCS LSB MAC MF MII MSE OCSP OD OID OSIG PIN PIX PK,PuK PKCS PKI PKIX PP PrK PSO PUK PV P1 P2 QES RA RAM RC RCA RD RF RFC RFID Identifier Information Field Size Card Issuer Identification Number InstructionByte einer KommandoAPDU Key Reference Komfortmerkmal KartenTerminal Life Cycle Status Least Significant Byte(s) Message Authentication Code Master File Major Industry Identifier Manage Security Environment Online Certicate Status Protocol Object Directory Object Identifier Organisationssignatur Personal Identification Number Proprietary Application Provider Extension Public Key Public Key Cryptography Standard (hier [PKCS#1]) Public Key Infrastructure Public Key Infrastructure for X.509 Certificates (IETF) Protection Profile (Schutzprofil) Private Key Perform Security Operation Personal Unblocking Key (Resetting Code) Plain Value Parameter P1 einer KommandoAPDU Parameter P2 einer KommandoAPDU Qualifizierte Elektronische Signatur Registration Authority (Registrierungsinstanz) Random Access Memory Retry Counter (Fehlbedienungszähler) Root CA Referenzdaten Radio Frequency Request für Comment Radio Frequency Identification HPCSpezifikation V2.3.2, Teil II Seite 13 von 162

14 RFU RID RND ROM RPE RPS RSA SAK SE SFID SIG SigG SigV SK SM SMA SMC SMD SMKT SN SO SSCD SSEC SSEE SSL SUK TLV TC TLS UID UTF8 WTLS ZDA 3TDES Reserved for future use Registered Application Provider Identifier Random Number (Zufallszahl) Read Only Memory Remote PINEmpfänger Remote PINSender Algorithmus von Rivest, Shamir, Adleman [RSA] Signaturanwendungskomponente Security Environment (Sicherheitsumgebung) Short EF Identifier Signatur Signaturgesetz [SigG01] Signaturverordnung [SigV01] Secret Key Secure Messaging Security Module Application Security Module Card Security Module Data Sicherheitsmodul Kartenterminal Seriennummer Security Officer (Administrator) Secure Signature Creation Device (Sichere Signaturerstellungseinheit) Security Status Evaluation Counter Sichere Signaturerstellungseinheit Security Sockets Layer [SSL] Stapel und Komfortsignatur Tag Length Value Trusted Channel Transport Layer Security User Identification 8bit Unicode Transformation Format Wireless Transport Layer Security Zertifizierungsdiensteanbieter 3KeyTripleDES HPCSpezifikation V2.3.2, Teil II Seite 14 von 162

15 3.2 Notation Für Schlüssel und Zertifikate wird die folgende vereinfachte BackusNaurNotation verwendet (zu den Festlegungen siehe [PKINota]): <object descriptor> ::= <key descriptor> <certificate descriptor> <key descriptor>::= <key>.<keyholder>.<key usage> <key>::= <private key> <public key> <secret key> <private key>::= PrK (asym.) <public key>::= PuK (asym.) <secret key>::= SK (sym.) <keyholder>::= <health professional> <card holder> <certification authority> <health professional card> <card application management system> <health care institution> <security module card> <signature application component> <security module card terminal> <electronic health card> <health professional>::= HP <card holder>::= CH <certification authority>::= <root certification authority> <certification authority for CAMS of HPC> <certification authority for HPC> <certification authority for SMC> <certification authority for egk> <certification authority for comfort signature trigger> <root certification authority>::= RCA <certification authority for card application management system of health professional card>::= CA_CAMS_HPC <certification authority for health professional card>::= CA_HPC <certification authority for security module card>::= CA_SMC <certification authority for electronic health card>::= CA_eGK (CA elektronische Gesundheitskarte) <certification authority for comfort signature trigger>::= CA_KM (CA Komfortmerkmal) <health professional card>::= HPC <card application management system> ::= CAMS <health care institution>::= HCI <security module card>::= SMC <signature application component>::= SAK <security module card terminal>::= SMKT <electronic health card>::= egk (elektronische Gesundheitskarte) <key usage>::= <organizational signature> <encipherment> <authentication> <certsign cvc> <certsign x509> <organizational signature>::= OSIG <encipherment>::= ENC <certsign cvc>::= CS <certsign x509>::= CA <authentication>::= AUT <cv based authentication> <cv based authentication>::= <role authentication> <device authentication> <role authentication> ::= AUTR_CVC HPCSpezifikation V2.3.2, Teil II Seite 15 von 162

16 <device authentication> ::= AUTD_CVC <remote pin sender> <remote pin receiver> <stack and comfort signature card> <comfort signature trigger> <signature application component> <remote pin Sender>:: = AUTD_RPS_CVC (Remote PIN Sender) <remote pin Receiver>::= AUTD_RPE_CVC (Remote PIN Empfänger) <stack and comfort signature card>::= AUTD_SUK_CVC (Stapel und Komfortsignatur) <comfort signature trigger>::= AUTD_AKS_CVC (Auslöser Komfort Signatur) <certificate descriptor>::= <certificate>.<certificate holder>.<certificate usage> <certificate>::= C <certificate holder>::= <health professional> <certification authority> <health professional card> <card application management system> <security module card> <security module card terminal> <electronic health card> <certificate usage>::= <organizational signature> <encipherment> <authentication> <certsign cvc> <certsign x509> Für eine Sequenz von Datenelementen wird die folgende Notation verwendet: = Konkatenation von Daten Zur Vereinfachung werden X.509v3Zertifikate ohne Versionsnummer bezeichnet. HPCSpezifikation V2.3.2, Teil II Seite 16 von 162

17 4 Der Heilberufsausweis 4.1 ATRKodierung Tabelle 1 (N ) ATRKodierung (Sequenz von oben nach unten) Parameter Wert Bedeutung TS 3B Initial Character (direct convention) T0 'Dx' oder 9x Format Character (Anzeige von TA1 / TD1), 'Dx' bedeutet, dasstc1 vorhanden ist, '9x' bedeutet, dass TC1 nicht vorhanden ist, x = Zahl der Historical Bytes; x = 0 empfohlen, d.h. keine Historical Bytes im ATR, sondern nur in EF.ATR TA1 xx Interface Character (FI / DI Wert), 'xx' = '18', '95', '96' oder '97' TC1 'FF' Extra Guard Time Integer; zulässige Optionen sind: a) TC1 mit dem 'FF' vorhanden (dringend empfohlen) b) TC1 nicht vorhanden TD1 81 Interface Character (T=1, Anzeige von TD2) TD2 B1 Interface Character (T=1, Anzeige von TA3 / TB3 / TD3) TA3 FE Interface Character (IFSCKodierung) TB3 45 Interface Character (BWI / CWIKodierung) TD3 1F Interface Character (T=15, Anzeige von TA4) TA4 xx000x11 Interface Character (XI / UIKodierung), x = herstellerspezifisch CI '00' oder '80' Category Indicator Byte (erstes Byte von max. 15 Historical Bytes) '00' bedeutet, dass ein Status Indicator in Form der letzten drei Historical Bytes vorhanden ist; '80' bedeutet, dass ein Status Indicator als Datenobjekt vorhanden (ein, zwei oder drei Bytes) ist. Tag/Length '6x' Compact Header des Preissuing Datenobjektes (PIDO) mit x = Zahl der nachfolgenden PIDOBytes ICM 'xx' IC Manufacturer Identifier (Teil des PIDO) Die Kennung wird von ISO an den ICHersteller vergeben, see ICT 'xx' oder 'xxxx' IC Type (Teil des PIDO), 1 Byte falls b8 = 0 oder 2 Bytes, falls b8 = 1 im ersten Byte; Kodierung herstellerspezifisch OSV 'xx' Operating System Version (Teil der PIDO) Kodierung herstellerspezifisch DD 'xx...' Discretionary Data (Teil der PIDO), n Bytes Kodierung herstellerspezifisch Tag/Length '73' Compact Header der Card Capabilities Bytes (CCB) Die Card Capabilities sind auch im EF.ATR vorhanden, siehe Tabelle 4 (N ) 1. CCB 1xx10110 = 'x6' 2. CCB = '21' 3. CCB 11010yzt = 'Dx' Card Capabilities Byte der Selektionsmethoden b8 b7 b6 b5 b4 = 1xx10 bezeichnet die DFSelektion mit vollständigem DF Namen und mit File Identifier, b3 = 1 bezeichnet die Unterstützung von Short EF Identifier, b2 = 1 bezeichnet die Unterstützung von Record Number, b1 = 0 bezeichnet keine Unterstützung von Record Identifier Card Capabilities Byte der DatenKodierung b8 = 0 bezeichnet keine Unterstützung von EFs mit TLVStruktur, b7 b6 = 01 bezeichnet das proprietäres Verhalten der Schreibfunktionen, b5 = 0 bezeichnet den Wert 'FF' als erstes Byte von TLVTagfeldern als unzulässig, b4 b3 b2 b1 = 0001 bezeichnet die Größe der Dateneinheiten in Vierbiteinheiten (Zweierpotenz), d.h. ein Byte Card Capabilities Byte von Command Chaining, Längenfeldern und logischen Kanälen b8 = 1 bezeichnet die Unterstützung von Command Chaining für LOAD APPLICATION (weitere Kommandos wurden nicht für Command Chaining spezifiziert), b7 = 1 bezeichnet die Unterstützung von Extended Lc und Le Feldern, b6 ist RFU (b6 = 0 empfohlen), b5 b4 = 10 bezeichnet die Zuweisung HPCSpezifikation V2.3.2, Teil II Seite 17 von 162

18 Parameter Wert Bedeutung der Nummern logischer Kanäle durch die Karte, b3 b2 b1 = yzt bezeichnet die maximale Anzahl logischer Kanäle: y, z, t nicht alle auf 1 gesetzt bedeutet 4y+2z+t+1, d.h. eins bis sieben; y = z = t = 1 bedeutet acht oder mehr Tag/Length LCS '81' oder '82' oder '83' '00' oder '05' oder '07' Compact header des Status Indicator nicht vorhanden, falls Category Indicator Byte = '00' vorhanden, falls Category Indicator Byte = '80' Life Cycle Status 1. Status Indicator Byte, falls CI = '00' oder 1. Status Indicator Byte, falls CI = '80' u. Status Indicator Header = '81' o. '83' nicht vorhanden, falls CI = '80' und Status Indicator Header = '82' LCS = '05' empfohlen SW1 '6x' oder '9x' 1. Status Word 2. Status Indicator Byte, falls CI = '00' oder 1. Status Indicator Byte, falls CI = '80' und Status Indicator header = '82' oder 2. Status Indicator Byte, falls CI = '80' und Status Indicator header = '83' oder nicht vorhanden, falls CI = '80' und Status Indicator Header = '81' SW1 = '90' empfohlen SW2 'xx' 2. Status Word 3. Status Indicator Byte, falls CI = '00' oder 2. Status Indicator Byte, falls CI = '80' und Status Indicator Header = '82' oder 3. Status Indicator Byte, falls CI = '80' und Status Indicator Header = '83' oder nicht vorhanden, falls CI = '80' und Status Indicator Header = '81' SW2 = '00' empfohlen TCK 'xx' Check Character: 'xx' = exclusives OR aller ATRBytes; Hinweis: Gemäß ISO/IEC gehört TS nicht zum ATR und geht folglich nicht in die Berechnung der XORSumme ein Tabelle 1 (N ) zeigt die ATRKodierung für Heilberufsausweise (T = 1Karten). Da EF.DIR ein strukturiertes und EF.ATR ein transparentes EF ist und diese Mischung nicht sauber als "Card Service Data Byte" gemäß ISO/IEC kodiert werden kann, darf dieses Byte in den Historical Bytes nicht vorhanden sein. 4.2 Allgemeine Struktur Die HPC enthält: die RootAnwendung mit einigen EFs für allgemeine Datenobjekte auf MFEbene, CVZertifikate und globale Schlüssel für Authentisierungsverfahren (mit denen Zugriffsrechte auf die egk geltend gemacht werden und die Authentizität der egk überprüft werden kann). die HeilberufsAnwendung (HPA) zur Bereitstellung von Datenelementen, die auf den Heilberufler bezogen sind. die qualifizierte elektronische Signaturfunktion (QES) für die Signaturerstellung. die Anwendung mit Informationen zu den verwendeten kryptografischen Verfahren (CIA), die sich gemäß [EN148901] auf die QESAnwendung bezieht. die ESIGNAnwendung für Client/ServerAuthentisierung, DokumentenEntschlüsselung und Umschlüsselung. die Anwendung mit Informationen zu den verwendeten kryptografischen Verfahren (CIA), die sich gemäß [EN148901] auf die ESIGNAnwendung bezieht. HPCSpezifikation V2.3.2, Teil II Seite 18 von 162

19 Die HPC kann darüber hinaus die Anwendung für organisationsspezifische Authentisierung (AUTO) enthalten. Diese wird für Authentisierungsmechanismen verwendet, welche für die ESIGNAnwendung nicht geeignet sind. Abbildung 1 (N ) zeigt die allgemeine Struktur. MF (Root) DF.HPA EF.ATR PIN.CH DF.QES DF.CIA.QES DF.ESIGN DF.CIA.ESIGN DF.AUTO* EF.DIR EF.GDO EF.Version EF.C.CA_HPC.CS EF.C.HPC.AUTR_CVC EF.C.HPC.AUTD_SUK_CVC PrK.HPC.AUTR_CVC PrK.HPC.AUTD_SUK_CVC PuK.RCA.CS PuK.CAMS_HPC.AUT_CVC** SK.CAMS** * Diese Anwendung ist optional ** Dieser Schlüssel ist optional und muss nur dann vorhanden sein, wenn ein CAMS mit asymmetrischer Authentisierung verwendet wird Abbildung 1 (N ) Allgemeine Dateistruktur einer HPC 4.3 RootAnwendung und Dateien auf MFEbene MF MF ist ein Application Dedicated File (siehe Kapitel in [HPCP1]) mit den in Tabelle 2 (N ) aufgeführten Eigenschaften. Tabelle 2 (N ) Attribute von MF Attribut Wert Anmerkung Objekttyp Application Dedicated File Application Identifier D File Identifier 3F00 Optional vorhanden Life Cycle Status Operational state (activated) Zugriffsregel in allen SEs Zugriffsart Sicherheitsbedingung Anmerkung SELECT ALWAYS LOAD APPLICATION (nach HPCAusgabe) AUT( D ' '01 ) AND SmMac AND SmCmdEnc Nur dann ausführbar, wenn ein CAMS genutzt wird, siehe Kapitel 13. Falls ein CAMS mit symmetrischer Authentisierung eingesetzt wird, muss die HPCSpezifikation V2.3.2, Teil II Seite 19 von 162

Spezifikation des elektronischen Heilberufsausweises. Teil III: SMC - Anwendungen und Funktionen

Spezifikation des elektronischen Heilberufsausweises. Teil III: SMC - Anwendungen und Funktionen Spezifikation des elektronischen Heilberufsausweises Teil III: SMC Anwendungen und Funktionen Version 2.3.2 05.08.2009 Bundesärztekammer Kassenärztliche Bundesvereinigung Bundeszahnärztekammer Bundespsychotherapeutenkammer

Mehr

Festlegungen zu den Notationen

Festlegungen zu den Notationen Einführung der Gesundheitskarte Festlegungen zu den Notationen von Schlüsseln und Zertifikaten kryptographischer Objekte in der TI Version: 1.0.0 Stand: 17.03.2008 Status: freigegeben gematik_pki_notationen_schl_und_zert_v1.0.0.doc

Mehr

Die Spezifikation der elektronischen Gesundheitskarte

Die Spezifikation der elektronischen Gesundheitskarte Die Spezifikation der elektronischen Gesundheitskarte Teil 1: Kommandos, Algorithmen und Funktionen der Betriebssystem-Plattform Version 1.0 Standardentwurf 05. Dezember 2005 Danksagung Dieses Dokument

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

Microtraining e-security AGETO 25.03.2014

Microtraining e-security AGETO 25.03.2014 Microtraining e-security AGETO 25.03.2014 Neuer Personalausweis (Technik) Überblick Protokolle für die Online-Funktion 1. PACE: Nutzer-Legitimierung via PIN 2. EAC: Server-Legitimierung via CVC 3. TA/CA:

Mehr

Modul 2: Zusammenspiel der Verfahren: Authentisierung, Verschlüsselung und Schlüsselmanagement

Modul 2: Zusammenspiel der Verfahren: Authentisierung, Verschlüsselung und Schlüsselmanagement Modul 2: Zusammenspiel der Verfahren: Authentisierung, und Schlüsselmanagement M. Leischner nsysteme II Folie 1 Gegenseitige, symmetrische, dynamische Authentisierung und Authentisierung rnd-c A RANDOM

Mehr

Trustcenter der Deutschen Rentenversicherung

Trustcenter der Deutschen Rentenversicherung Trustcenter der Deutschen Rentenversicherung Certificate Policy und Certification Practice Statement für nicht-qualifizierte Serverzertifikate der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Jörg Schilling Die Technik des elektronischen Personalausweises Fokus Fraunhofer

Jörg Schilling Die Technik des elektronischen Personalausweises Fokus Fraunhofer Jörg Schilling Die Technik des elektronischen Personalausweises Fokus Fraunhofer Vorderseite des neuen Personalausweises Rückseite des neuen Personalausweises Schichtaufbau Daten auf dem Chip des Personalausweises

Mehr

Technische Richtlinie BSI TR-03109-2. Smart Meter Gateway Anforderungen an die Funktionalität und Interoperabilität des Sicherheitsmoduls

Technische Richtlinie BSI TR-03109-2. Smart Meter Gateway Anforderungen an die Funktionalität und Interoperabilität des Sicherheitsmoduls Technische Richtlinie BSI TR-03109-2 Smart Meter Gateway Anforderungen an die Funktionalität und Interoperabilität des Sicherheitsmoduls Version 1.1 15.12.2014 Bundesamt für Sicherheit in der Informationstechnik

Mehr

Netzwerksicherheit Übung 5 Transport Layer Security

Netzwerksicherheit Übung 5 Transport Layer Security Netzwerksicherheit Übung 5 Transport Layer Security Tobias Limmer, Christoph Sommer, David Eckhoff Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg,

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Erinnerung Public Key Infrastruktur

Erinnerung Public Key Infrastruktur Erinnerung Public Key Infrastruktur Certification Authority (CA) (pk CA, sk CA ) Nutzer 1 (pk 1, sk 1 ), C 1 Nutzer n (pk n, sk n ), C n Angaben zum Nutzer: Name, Organisation, usw. C i = öff. Schl. pk

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

17 Ein Beispiel aus der realen Welt: Google Wallet

17 Ein Beispiel aus der realen Welt: Google Wallet 17 Ein Beispiel aus der realen Welt: Google Wallet Google Wallet (seit 2011): Kontaktlose Bezahlen am Point of Sale Kreditkarten werden im Sicherheitselement des Smartphone abgelegt Kommunikation über

Mehr

Einführung in die symmetrische und asymmetrische Verschlüsselung

Einführung in die symmetrische und asymmetrische Verschlüsselung Einführung in die symmetrische und asymmetrische Verschlüsselung Enigmail Andreas Grupp grupp@elektronikschule.de Download der Präsentation unter http://grupp-web.de by A. Grupp, 2007-2010. Dieses Werk

Mehr

Vorlesung Kryptographie

Vorlesung Kryptographie Vorlesung Kryptographie Teil 2 Dr. Jan Vorbrüggen Übersicht Teil 1 (Nicht-) Ziele Steganographie vs. Kryptographie Historie Annahmen Diffie-Hellman Angriffe Teil 2 Symmetrische Verfahren Asymmetrische

Mehr

USB-Tokens. Technik und Einsatzgebiete

USB-Tokens. Technik und Einsatzgebiete USB-Tokens Technik und Einsatzgebiete Vortrag im Rahmen der Lehrveranstaltung Chipkartensysteme und E-Payment im SS05 an der Fachhochschule Bonn-Rhein-Sieg Outline Passwortmanager PKI Smartcards USB-Tokens

Mehr

Kapitel 2: Chipkarten

Kapitel 2: Chipkarten Kapitel 2: Chipkarten Chip card technologies hold great promise as the replacement for magnetic stripe card technology. However, the adoption of chip cards on a mass scale has been slow to develop. One

Mehr

Anforderungen an elektronische Signaturen. Michel Messerschmidt

Anforderungen an elektronische Signaturen. Michel Messerschmidt Anforderungen an elektronische Signaturen Michel Messerschmidt Übersicht Kryptographische Grundlagen Rechtliche Grundlagen Praxis Michel Messerschmidt, 2006-03-16 2 Kryptographische Grundlagen Verschlüsselung

Mehr

PKI für CV-Zertifikate

PKI für CV-Zertifikate Einführung der Gesundheitskarte PKI für CV-Zertifikate Registrierung einer CVC-CA der zweiten Ebene Version: 1.5.0 Stand: 18.03.2008 Status: freigegeben gematik_pki_cvc_registrierung_subca_v1_5_0.doc Seite

Mehr

Christian J. Dietrich. 9. Kryptotag

Christian J. Dietrich. 9. Kryptotag Extended Access Control (epa epa) Christian J. Dietrich 2008-11-10 9. Kryptotag Inhalt 1. Einleitung 2. Der elektronische Personalausweis 3. Die Authentisierungsfunktion im Detail 4. Kurzvorstellung der

Mehr

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der TÜV NORD Gruppe - Zertifizierungsstelle Langemarckstraße 20 45141 Essen

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der TÜV NORD Gruppe - Zertifizierungsstelle Langemarckstraße 20 45141 Essen Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 und 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen und 11 Abs. 3 Verordnung zur elektronischen

Mehr

Technische Richtlinie BSI TR-03109-1 Anlage I: CMS-Datenformat für die Inhaltsdatenverschlüsselung und -signatur

Technische Richtlinie BSI TR-03109-1 Anlage I: CMS-Datenformat für die Inhaltsdatenverschlüsselung und -signatur Technische Richtlinie BSI TR-03109-1 Anlage I: CMS-Datenformat für die Inhaltsdatenverschlüsselung und -signatur Version 1.0 Datum: 18.03.2013 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

ech-0064 - Spezifikationen für das System Versichertenkarte

ech-0064 - Spezifikationen für das System Versichertenkarte E-Government-Standards Seite 1 von 62 ech-0064 - Spezifikationen für das System Versichertenkarte Name Standard-Nummer Kategorie Reifegrad Spezifikationen für das System Versichertenkarte ech-0064 Standard

Mehr

Einführung der elektronischen Gesundheitskarte Informationsbroschüre G2 Karten

Einführung der elektronischen Gesundheitskarte Informationsbroschüre G2 Karten Einführung der elektronischen Gesundheitskarte Informationsbroschüre G2 Karten Version: 1.0.0 Stand: 23.07.2012 Status: freigegeben Klassifizierung: öffentlich Referenzierung: [geminfo_g2_karten] Autor:

Mehr

Zertifizierungsrichtlinien

Zertifizierungsrichtlinien Zertifizierungsrichtlinien Certification Practice Statement (CPS) Migros Corporate PKI NG-PKI 2014 Interne CA Hierarchie keyon AG Schlüsselstrasse 6 8645 Jona Tel +41 55 220 64 00 www.keyon.ch Switzerland

Mehr

Rosa Freund SSL/TLS 26.10.2005 SSL/TLS 26.10.2005. Institut für Mathematik, TU Berlin. Rosa Freund -- rosa@pool.math.tu-berlin.de

Rosa Freund SSL/TLS 26.10.2005 SSL/TLS 26.10.2005. Institut für Mathematik, TU Berlin. Rosa Freund -- rosa@pool.math.tu-berlin.de 1 SSL/TLS 26.10.2005 Institut für Mathematik, TU Berlin Rosa Freund -- rosa@pool.math.tu-berlin.de 2 Übersicht Einführung SSL vs. TLS SSL: Anwendung und PKI SSL Protokoll: Record Protocol und Handshake

Mehr

Public-Key-Infrastrukturen

Public-Key-Infrastrukturen TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF. DR. J. BUCHMANN DR. A. WIESMAIER 9. Übung zur Vorlesung Public-Key-Infrastrukturen Sommersemester 2011 Aufgabe 1: Indirekte CRL

Mehr

Aus dem russischen übersetzt Von Heidi Selig, Engelsdorf

Aus dem russischen übersetzt Von Heidi Selig, Engelsdorf Aus dem russischen übersetzt Von Heidi Selig, Engelsdorf Quelle: https://bettercrypto.org/static/ applied-crypto-hardening.pdf Herzlich Willkommen! Smartcards CRYPTO für die Hosentasche? Reiner SCT OWOK

Mehr

Public Key Infrastructures

Public Key Infrastructures Public Key Infrastructures Eine Basistechnologie für sichere Kommunikation Autor: Jan Grell Herausgeber: grell-netz.de computer services Jan Grell Auf dem Damm 36 53501 Grafschaft http://www.grell-netz.de

Mehr

Smartcards unter Linux

Smartcards unter Linux Smartcards unter Linux Seminar Betriebssystemdienste und Administration Michael Grünewald Hasso-Plattner-Institut 18. Juni 2008 Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 1 / 17 Agenda

Mehr

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/ Einführung in OpenSSL und X.509-Zertifikate Martin Kaiser http://www.kaiser.cx/ Über mich Elektrotechnik-Studium Uni Karlsruhe System-Ingenieur UNIX und IP-Netze (2001-2003) Embedded Software-Entwicklung

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr.

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 2: Zertifikate, X.509, PKI Dr. Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 2: Zertifikate, X.509, PKI Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Einsatz von Zertifikaten Ein Zertifikat

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen TC TrustCenter GmbH Sonninstraße 24-28 20097 Hamburg für den Zertifizierungsdienst TC TrustCenter Class 2

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

Hacken von implementierungsspezifischen! SSL-Schwachstellen

Hacken von implementierungsspezifischen! SSL-Schwachstellen Hacken von implementierungsspezifischen! SSL-Schwachstellen Basic-Constraints-Schwachstelle Null-Präfix-Attacke Thomas Konrad, FH St. Pölten, Studiengang IT Security, is072033@fhstp.ac.at Wozu SSL? Authentizität

Mehr

ech-0064 - Spezifikationen für das System Versichertenkarte

ech-0064 - Spezifikationen für das System Versichertenkarte E-Government-Standards Seite 1 von 62 ech-0064 - Spezifikationen für das System Versichertenkarte Name Standard-Nummer Kategorie Reifegrad Spezifikationen für das System Versichertenkarte ech-0064 Standard

Mehr

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Digital Rights Management 4FriendsOnly.com Internet Technologies AG Vorlesung im Sommersemester an der Technischen Universität Ilmenau

Mehr

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 S. 1, 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen 1 und 11 Abs. 2 und 15 Signaturverordnung

Mehr

Spezifikation des Card Operating System (COS)

Spezifikation des Card Operating System (COS) Einführung der Gesundheitskarte Spezifikation des Card Operating System (COS) Version: 3.0.0 Revision: \main\rel_online\4 Stand: 20.09.2012 Status: freigegeben Klassifizierung: öffentlich Referenzierung:

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Bedienungsanleitung. AMBILL smart link InstallTool Parametrier Software

Bedienungsanleitung. AMBILL smart link InstallTool Parametrier Software Bedienungsanleitung AMBILL smart link InstallTool Parametrier Software VD 9-786 d 03.2011 1 Allgemein Dieses Dokument beschreibt die Parametrierung des AMBILL smart link's mit dem AMBILL smart link InstallTool.

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

Geldkarte Einführung und Demo

Geldkarte Einführung und Demo Geldkarte Einführung und Demo Chipkartensysteme I SS 2005 Patrick Weber, 7. Juni 2005 Fachbereich Informatik 1 Inhalt Einführung Daten auf der Karte Kommunikation Begriffe Ladevorgang Zahlungsvorgang Anonymität

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 4: SSL/TLS Dr. Erwin Hoffmann

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 4: SSL/TLS Dr. Erwin Hoffmann Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 4: SSL/TLS Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Secure Socket Layer (SSL) Tranport Layser Security (TLS)

Mehr

Mobile ID für sichere Authentisierung im e-government

Mobile ID für sichere Authentisierung im e-government Mobile ID für sichere Authentisierung im e-government Patrick Graber Senior Security Consultant, dipl. El.-Ing. ETH Swisscom (Schweiz) AG Grossunternehmen Agenda 2 Einführung in Mobile ID Mobile ID für

Mehr

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD Dr. Detlef Hühnlein, Johannes Schmölz ecsec GmbH, Sudetenstraße 16, D96247 Michelau Zusammenfassung 1 Einleitung che Schwachstellen enthalten. 44 FraunhoferGesellschaft

Mehr

MAC Message Authentication Codes

MAC Message Authentication Codes Seminar Kryptographie SoSe 2005 MAC Message Authentication Codes Andrea Schminck, Carolin Lunemann Inhaltsverzeichnis (1) MAC (2) CBC-MAC (3) Nested MAC (4) HMAC (5) Unconditionally secure MAC (6) Strongly

Mehr

Verteilung von Zertifikaten

Verteilung von Zertifikaten Verteilung von Zertifikaten Der Verzeichnisdienst für PKI Peter Gietz DFN Directory Services peter.gietz@directory.dfn.de DFN Directory Services / Zertifikatsverteilung 1 Agenda " Warum Schlüssel verteilen?

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Elektronische Unterschriften

Elektronische Unterschriften Elektronische Unterschriften Konstantinos Georgopoulos, M.A. FH Kaiserslautern, Standort FH Zweibrücken Business-Value of IT IT-Sicherheit Prof. Knopper 20.12.2013 Einleitung Konstantinos Georgopoulos,

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x. 7. PPPoE Server 7.1 Einleitung Im Folgenden wird die Konfiguration einer Dialin Verbindung über PPPoE zum Router beschrieben, um eine zusätzliche Authentifizierung durchzuführen. Bei der Einwahl eines

Mehr

IT-Sicherheit Kapitel 12 Secure Electronic Transaction

IT-Sicherheit Kapitel 12 Secure Electronic Transaction IT-Sicherheit Kapitel 12 Secure Electronic Transaction Dr. Christian Rathgeb Sommersemester 2014 1 Einführung Durch Zunahme der E-Commerce-Aktivitäten (Nutzung von Dienstleistungen über offene Netze) besteht

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Methoden der Kryptographie

Methoden der Kryptographie Methoden der Kryptographie!!Geheime Schlüssel sind die sgrundlage Folien und Inhalte aus II - Der Algorithmus ist bekannt 6. Die - Computer Networking: A Top außer bei security by obscurity Down Approach

Mehr

Kryptographische Verfahren: Empfehlungen und Schlüssellängen

Kryptographische Verfahren: Empfehlungen und Schlüssellängen Technische Richtlinie TR-02102-4 Kryptographische Verfahren: Empfehlungen und Schlüssellängen Teil 4 Verwendung von Secure Shell (SSH) (Version 2015-01) Bundesamt für Sicherheit in der Informationstechnik

Mehr

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc. Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1 Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2 VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme

Mehr

RRC Connection Management Procedures (TS 25.331, S. 57 ff)

RRC Connection Management Procedures (TS 25.331, S. 57 ff) RRC Connection Management Procedures (TS 25.331, S. 57 ff) 1. Broadcast of System Informations 2. Paging 2.1 Paging Type 1 Diese Paging-Prozedur wird verwendet um eine oder mehrere s zu erreichen. Sie

Mehr

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client Teldat Secure IPSec Client - für professionellen Einsatz Unterstützt Windows 8 Beta, 7, XP (32-/64-Bit) und Vista IKEv1, IKEv2, IKE Config Mode, XAuth, Zertifikate (X.509) Integrierte Personal Firewall

Mehr

Technische Grundlagen und Anforderungen

Technische Grundlagen und Anforderungen Technische Grundlagen und Anforderungen Thomas Kessler, In&Out AG 28. März 2001 1 Inhalt Public Key Kryptographie Verschlüsseln und signieren Das PKI Puzzle Anwendungsfälle und deren Anforderungen Advanced

Mehr

Implementierungsleitfaden. zur Einbindung der egk in die Primärsysteme der Leistungserbringer

Implementierungsleitfaden. zur Einbindung der egk in die Primärsysteme der Leistungserbringer Einführung der Gesundheitskarte Implementierungsleitfaden zur Einbindung der egk in die Primärsysteme der Leistungserbringer Version: 1.2.0 Stand: 21.07.2011 Status: Klassifizierung: Referenzierung: freigegeben

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

Zertifikate Exchange Server / WLAN. Referent: Marc Grote

Zertifikate Exchange Server / WLAN. Referent: Marc Grote Zertifikate Exchange Server / WLAN Referent: Marc Grote Agenda Verwendungszweck von Zertifikaten Krytografiegrundlagen Symmetrische / Asymmetrische Verschluesselungsverfahren Windows Zertifizierungsstellen

Mehr

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE MARKUS NÜSSELER-POLKE SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON FÜR SAP UND NON-SAP UMGEBUNGEN WIE MELDEN SIE SICH AN SAP AN? 1 Alltägliche Situation beim Kunden! Nüsseler Pa$$w0rd

Mehr

OPC UA: Ein kritischer Vergleich der IT-Sicherheitsoptionen

OPC UA: Ein kritischer Vergleich der IT-Sicherheitsoptionen OPC UA: Ein kritischer Vergleich der IT-Sicherheitsoptionen Melanie Gallinat 1, Stefan Hausmann 2, Markus Köster 1, Stefan Heiss 2 Weidmüller Gruppe 1 Klingenbergstraße 16 32758 Detmold, Deutschland Hochschule

Mehr

Secure Messaging. Ihnen? Stephan Wappler IT Security. IT-Sicherheitstag. Sicherheitstag,, Ahaus 16.11.2004

Secure Messaging. Ihnen? Stephan Wappler IT Security. IT-Sicherheitstag. Sicherheitstag,, Ahaus 16.11.2004 Secure Messaging Stephan Wappler IT Security Welche Lösung L passt zu Ihnen? IT-Sicherheitstag Sicherheitstag,, Ahaus 16.11.2004 Agenda Einleitung in die Thematik Secure E-Mail To-End To-Site Zusammenfassung

Mehr

Integrationsmöglichkeit e-card in Windows

Integrationsmöglichkeit e-card in Windows http://www.egiz.gv.at email: post@egiz.gv.at tel.: +43 (316) 873 5514 fax: +43 (316) 873 5520 Inffeldgasse 16a / 8010 Graz / Austria Integrationsmöglichkeit e-card in Windows Windows Logon mit e-card Wolfgang

Mehr

Netzsicherheit Architekturen und Protokolle Grundlagen PKI/PMI

Netzsicherheit Architekturen und Protokolle Grundlagen PKI/PMI Grundlagen PKI/PMI 1 Motivation 2 Digitale Zertifikate 3 Infrastrukturen 4 PKI (Bausteine) 5 Vertrauensmodelle Wiederholung Kryptographie Symmetrische Kryptographie 1 Schlüssel für Ver- und Entschlüsselung

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Smartcard Management System

Smartcard Management System Smartcard Management System Benutzerhandbuch Zertifiziert vom Nationalinstitut für Standardisierung und Technologie der Vereinigten Staaten von Amerika. Certified by the National Institute of Standards

Mehr

Angewandte und eingebettete IT- Sicherheit

Angewandte und eingebettete IT- Sicherheit Angewandte und eingebettete IT- Sicherheit ESCRYPT Embedded Security System provider for embedded security Dr.-Ing. Thomas Wollinger ESCRYPT Executive Summary Profil: Systemhaus für eingebettete Sicherheit

Mehr

RADIUS Protokoll + Erweiterungen

RADIUS Protokoll + Erweiterungen RADIUS Protokoll + Erweiterungen Universität Hamburg Seminar: Internet-Sicherheit Claas Altschaffel Sommersemester 2005 Inhalt Einleitung Paketaufbau Ablauf Protokoll-Support RADIUS Proxy Erweiterungen

Mehr

Mobile ID für sichere Authentisierung im e-government

Mobile ID für sichere Authentisierung im e-government Mobile ID für sichere Authentisierung im e-government Patrick Graber Senior Security Consultant, dipl. El.-Ing. ETH Swisscom (Schweiz) AG Grossunternehmen Agenda 2 Einführung in Mobile ID Mobile ID für

Mehr

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie 28.04.15 1 Literatur I mit ein paar Kommentaren [8-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

Lufft UMB Sensor Overview

Lufft UMB Sensor Overview Lufft Sensor Overview Wind Radiance (solar radiation) Titan Ventus WS310 Platinum WS301/303 Gold V200A WS300 WS400 WS304 Professional WS200 WS401 WS302 Radiance (solar radiation) Radiation 2 Channel EPANDER

Mehr

X.509v3 Zertifizierungsinstanz der Universität Würzburg

X.509v3 Zertifizierungsinstanz der Universität Würzburg X.509v3 Zertifizierungsinstanz der Universität Würzburg Markus Krieger Rechenzentrum Uni Würzburg ca@uni-wuerzburg.de 22.01.06 1 Notwendigkeit von Zertifikaten Steigende Anzahl von Kommunikationsbeziehungen

Mehr

X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org. 18. November 2002

X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org. 18. November 2002 X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org 18. November 2002 1 Grundlagen Wir nehmen an, dass mathematische Algorithmen zur sicheren Verschlüsselung und zur Signatur verfügbar seien

Mehr

Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen. Christoph Thiel

Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen. Christoph Thiel Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen Christoph Thiel Stuttgart, 4. November 2014 Das extented enterprise SSL E-Mail Grundlegende Sicherheitsanforderungen Authentisierung

Mehr

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 1 Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 2 Baltimore auf einen Blick Weltmarktführer für e security Produkte, Service, und Lösungen Weltweite Niederlassungen

Mehr

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern Informatikdienste Gruppe Security Universität Bern Agenda Demo: Ein bisschen Kryptologie für Sie und Ihn Aufgaben und Nutzen von Server-Zertifikaten

Mehr

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 S. 1, 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen 1 und 11 Abs. 3 und 15 Signaturverordnung

Mehr

UPU / CEN / ETSI. E-Zustellung in Europa & weltweit

UPU / CEN / ETSI. E-Zustellung in Europa & weltweit UPU / CEN / ETSI E-Zustellung in Europa & weltweit Wien, den 14. Jänner 2015 Consulting Technology Operations Copyright: Document Exchange Network GmbH EUROPÄISCHE KOMMISSION Brüssel, den 30.7.2014 COM(2014)

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 13. Secure Socket Layer (SSL) VPN 13.1 Einleitung Sie konfigurieren das Feature SSL VPN für den Zugriff eines Clients auf das Firmennetzwerk. Die UTM in der Zetrale stellt Zertifikate für die VPN Clients

Mehr

Digitale Signatur, Zertifikate, PKI, Sicherheitsprotokolle

Digitale Signatur, Zertifikate, PKI, Sicherheitsprotokolle IT-Sicherheit: Digitale Signatur, Zertifikate, PKI, Sicherheitsprotokolle Digitale Signaturen! Elektronisches Pendant zur eigenhändigen Unterschrift! Electronic Signatures in Global and National Commerce

Mehr

KYPTOGRAPHIE und Verschlüsselungsverfahren

KYPTOGRAPHIE und Verschlüsselungsverfahren KYPTOGRAPHIE und Verschlüsselungsverfahren 1 Kryptographie Abgeleitet von zwei griechischen Wörtern: kryptós - verborgen Gráphein - schreiben Was verstehen Sie unter Kryptographie bzw. was verbinden Sie

Mehr

Telekommunikationsnetze 2

Telekommunikationsnetze 2 Telekommunikationsnetze 2 Breitband-ISDN Lokale Netze Internet WS 2008/09 Martin Werner martin werner, January 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann ASec IT Solutions AG "Secure SSL" Tagung 9. September 2005, Hotel Mövenpick Glattbrugg Keynote SSL verstehen Prof. Dr. Peter Heinzmann Institut für Internet-Technologien und Anwendungen, HSR Hochschule

Mehr