Public Key Infrastruktur in Schleswig-Holstein Baustein für egovernment (Vortrag im Rahmen des egovernment-forums 2003 in Rendsburg)

Transkript

1 Public Key Infrastruktur in Schleswig-Holstein Baustein für egovernment (Vortrag im Rahmen des egovernment-forums 2003 in Rendsburg) egovernment bedeutet die Durchführung von Verwaltungsprozessen auf elektronischem Weg. Für bestimmte Prozesse ist dabei Voraussetzung, dass die Identität einer Person festgestellt werden kann, die Vertraulichkeit der über Netze übertragenen Verwaltungsdaten sichergestellt ist und die Urheberschaft und Gültigkeit archivierter elektronischer Dokumente nachgeprüft werden kann. Dazu bedient man sich der elektronischen Signatur und der Verschlüsselung. Für die Nutzung dieser Instrumente ist eine komplexe Organisation nötig. Die im Umfeld von egovernment-diskussionen häufig benutzte Abkürzung PKI steht für den Begriff Public Key Infrastructure. Public Key (Öffentlicher Schlüssel) ist ein Begriff aus der Kryptografie und bezeichnet den Teil eines (kryptografischen) Schlüsselpaares, der allen Kommunikationspartnern zugänglich gemacht wird. Infrastruktur steht für die Technik und Organisation zur Herstellung und Verwaltung der Schlüssel. Das Schlüsselpaar (bestehend aus Öffentlichem Schlüssel und Privatem Schlüssel) wird in diesem Zusammenhang überwiegend für elektronische Signatur und Verschlüsselung eingesetzt. Dabei wird der Öffentliche Schlüssel für die Prüfung einer Unterschrift (elektronischen Signatur) oder die Verschlüsselung eines Dokuments verwendet, der Private Schlüssel (der im ausschließlichen Besitz des Schlüsselinhabers bleibt) zum Unterschreiben und Entschlüsseln. Schlüssel werden hauptsächlich für Personen eingesetzt (z. B. als Signatur); es sind aber auch Verwendungsmöglichkeiten für Rechner, Programmmodule oder Formulare denkbar. Damit kann z. B. eindeutig der Rechner einer Verwaltung identifiziert werden, der für ein Bürgerangebot zur Verfügung steht; können Programme zur Bearbeitung von Förderanträgen als sicher gekennzeichnet werden oder Formulare als wirklich gültige erkannt werden. Verwendungszwecke von Schlüsseln sind die sichere Identifikation (von Personen, Rechnern), Authentifikation (von Personen, Rechnern, Programmen, Formularen), Integrität (von Dokumenten, Programmen, Formularen) und die Herstellung von Vertraulichkeit (bei der Kommunikation und Übermittlung von Dokumenten). Sicher gestellt werden muss bei der Verwendung solcher Schlüssel die eindeutige Zuordnung zum Schlüsselinhaber. Diese Anforderung wird durch die Ausstellung von Zertifikaten erfüllt, die die Zugehörigkeit des Schlüssels zu einer Person (bzw. einem Rechner, einem Programmhersteller) bescheinigen. Die Zertifikate werden von einer Zertifizierungsstelle ausgestellt, die vertrauenswürdig sein muss und deshalb selber von einer vertrauenswürdigen Instanz beglaubigt ist. In Deutschland ist das für den Bereich der im Signaturgesetz definierten qualifizierten Signaturen die Regulierungsbehörde für Telekommunikation und Post (RegTP) 1. Eine PK-Infrastruktur besteht insgesamt aus einer (mehrstufigen) zertifizierenden (beglaubigenden) Stelle, die die nötige Technik vorhält und die Zertifikate herstellt, einer (mehrstufigen) registrierenden Stelle, die die Aufgabe der sicheren Identifizierung der Person bei der Übergabe des Zertifikats und der laufenden Verwaltung der Zertifikate übernimmt, Anwendern mit ihrer Arbeitsumgebung, die die Zertifikate und Schlüssel bei der täglichen Arbeit einsetzen, einer Stelle. die für die Nachprüfbarkeit der Zertifikate sorgt, den Prozessen zum Management der Zertifikate (Beantragung, Sperrung, Verlängerung). 1 Informationen unter

2 Einsatzmöglichkeiten elektronischer Signaturen und Schlüssel sind beispielsweise die Steuererklärung oder die Meldeverfahren (Beziehung Bürger Verwaltung), die Agrar- oder Wirtschaftsförderung (Beziehung Verwaltung Wirtschaft), die Kommunikation zwischen Verwaltungen (Beziehung Verwaltung Verwaltung). Dabei ist die in der Regel eine qualifizierte Signatur gemäß Signaturgesetz 2 einzusetzen, soweit es die Kommunikation mit dem Bürger oder der Wirtschaft betrifft; eine fortgeschrittene Signatur ausreichend, soweit es die Kommunikation zwischen Verwaltungen oder in geschlossenen Nutzerkreisen von Wirtschaft und Verwaltung angeht. Die qualifizierte Signatur ist allerdings durch die umfangreichen Vorgaben für Sicherheitsmaßnahmen und den zwingenden Einsatz von Chipkarten kostenintensiver. Für den Einsatz von fortgeschrittenen Signaturen in den Verwaltungen hat der Kooperationsausschuß des Bundes und der Länder den Anstoß zu einer Verwaltungs-PKI 3 gegeben, deren oberste Instanz beim Bundesamt für die Sicherheit in der Informationsverarbeitung (BSI) angesiedelt ist. Der Bund und einige Bundesländer sind dort inzwischen angeschlossen. In Schleswig-Holstein haben im Jahr 2002 Test-Projekte im kommunalen und im Landes-Bereich begonnen, die interessierten Verwaltungen die Gelegenheit geben, den Einsatz von Zertifikaten zu testen. Die Datenzentrale Schleswig-Holstein (DZ-SH) hat im Auftrag des Landes eine vom BSI anerkannte oberste Zertifizierungsstelle für Schleswig-Holstein eingerichtet. Bis zum Ende des Jahres soll daraus eine produktionsreife PKI für Land und Kommunen entstehen, über die die Weiterentwicklung des egovernment unterstützt wird. Die PKI wird fortgeschrittene Zertifikate ausstellen und eine Anbindung an die Verzeichnisdienste der akkreditierten Zertifizierungsstellen ( TrustCenter ) nach Signaturgesetz herstellen. Zur Teilnahme an dieser PKI sollte als Mindestvoraussetzung eine Arbeitsplatzausstattung von Windows2000 aufwärts vorhanden sein sowie ein Internetanschluß. Die teilnehmende Verwaltung ist verpflichtet, die Regeln für den Betrieb einer Registrierungsstelle einzuhalten. Die Kosten für die Nutzung der PKI beim Einsatz von fortgeschrittenen Zertifikaten, die als Datei auf dem Arbeitsplatz-Rechner gespeichert werden, liegen nach aktuellen Schätzungen bei 15 jährlich pro Zertifikat. Bei höheren Sicherheitsanforderungen kommen Chipkarten für die Speicherung der Zertifikate zum Einsatz, so dass etwa doppelt so hohe Kosten entstehen. Dazu ist die Anschaffung eines Kartenlesers für den Arbeitsplatz nötig. Die Möglichkeiten für konkrete Anwendungen in der schleswig-holsteinischen Verwaltung sind vielfältig. Schon jetzt existiert eine produktive Anwendung in Form des elektronischen Grundbuchs. Weitere Registerverfahren befinden sich in der Ausschreibungsphase. Einsatzbeispiele sind neben den Fachanwendungen Workflow-Prozesse oder die Archivierung mit der Notwendigkeit des Nachweises über Urheberschaft, Gültigkeit und Integrität von Dokumenten. Aber auch einfache Prozesse wie die sichere Übermittlung von zwischen Verwaltungen oder in einer Verwaltung können zur Vereinfachung des Verwaltungshandeln beitragen. Lothar Deseke Leiter Competence Center Security Datenzentrale Schleswig-Holstein 2 Gesetz über Rahmenbedingungen für elektronische Signaturen vom 16. Mai Informationen unter

3 Public Key Infrastruktur in Schleswig-Holstein Baustein für egovernment Lothar Deseke Leiter Competence Center Security Datenzentrale Schleswig-Holstein

4 egovernment und PKI egovernment ist die Durchführung von Verwaltungsprozessen auf elektronischem Weg dabei muss die Identität einer Person festgestellt werden können Urheberschaft und Gültigkeit von Dokumenten nachprüfbar sein die Vertraulichkeit der übertragenen Verwaltungsdaten sichergestellt sein Instrumente dafür sind elektronische Signatur und Verschlüsselung die Nutzung dieser Instrumente bedarf einer Organisation = PKI

5 der Begriff PKI PKI = Public Key Infrastruktur Public Key = Öffentlicher Schlüssel Teil eines kryptografischen Schlüsselpaares bestehend aus Öffentlichem und Privatem Schlüssel Infrastruktur = Technik und Organisation zur Herstellung und Verwaltung der Schlüssel

6 Einsatzprinzip von Schlüsseln Öffentlicher Schlüssel Prüfung einer elektronischen Signatur Verschlüsselung von Daten Privater Schlüssel Unterschreiben von Daten Entschlüsseln von Daten

7 Einsatzzwecke von Schlüsseln eindeutige Identifizierung von Personen Zugang zu Rechnern und Informationen Urheberschaft von Dokumenten eindeutige Identifizierung von Rechnern sichere Rechner - Rechner- Kommunikation eindeutige Identifizierung von Programmen und Programmmodulen aktive Formulare Verschlüsselung (Sicherung von Daten gegen unbefugte Kenntnisnahme) Vertraulichkeit von Dokumenten Vertraulichkeit von Rechnerverbindungen

8 Anforderung an den Schlüsseleinsatz: Sichere und eindeutige Zuordnung des Schlüssels zum Schlüsselinhaber Lösung Verknüpfung von Schlüssel und zugehörigen Daten Martin in einem Zertifikat Mustermann ausgestellt von einer vertrauenswürdigen Zertifizierungsstelle die ggf. selber einer Prüfung und Kontrolle unterliegt Zertifizierungsstelle

9 Infrastruktur beglaubigende Stelle (Zertifizierungsstelle, CA) Erstellung der Zertifikate, Verlängerung, Sperrung registrierende Stelle (Registrierungsstelle, RA) Antragsannahme, Identitätsprüfung bei Übergabe veröffentlichende Stelle (Verzeichnisdienst) Veröffentlichung der Zertifikate und Sperrlisten Anwender mit Arbeitsumgebung sicherer Umgang mit dem Zertifikat Prozesse zum Management der Zertifikate Beantragung, Sperrung, Verlängerung, Archivierung

10 Public Key Infrastruktur (Schema) CA Zertifizierungsstelle RA Registrierungsstelle(n) Zertifikats inhaber Menschen Rechner Programme

11 Einsatzmöglichkeiten Bürger Verwaltung Steuererklärung (ELSTER) Meldeverfahren Wirtschaft Verwaltung Wirtschaftsförderung, EU-Agrarförderung Vergabe Verwaltung Verwaltung Prozesse zwischen Verwaltungsebenen (z. B. Kommunen Land) verwaltungsinterne Prozesse

12 Arten von Signaturen Signaturgesetz unterscheidet zwischen qualifizierter und fortgeschrittener Signatur qualifizierte Signatur ist in der Regel einzusetzen bei Kommunikation mit Bürger Wirtschaft, soweit nicht geschlossener Benutzerkreis fortgeschrittene Signatur ist in der Regel einzusetzen bei Kommunikation mit Wirtschaft, soweit geschlossener Benutzerkreis verwaltungsintern

13 PKI-Strukturen in Deutschland (fortgeschrittene Signatur) Verwaltungs-PKI entstanden auf Initiative des KoopA betrieben vom BSI

14 Stand der PKI in S-H Anschluß an die Verwaltungs-PKI ist erfolgt Prüfung der Policies durch das Bundesamt für die Sicherheit in der Informationsverarbeitung (BSI) Zertifizierung der obersten Zertifizierungsstelle S-H Tests des Einsatzes von Zertifikaten sind durchgeführt zusammen mit der KomFIT im kommunalen Bereich mit dem Innenministerium im Landesbereich produktionsreife PKI für Land und Kommunen ist im Aufbau Nutzung fortgeschrittener Zertifikate Anbindung an bundesweite Verzeichnisdienste Einsatzbeginn Ende 2003

15 Teilnahmevoraussetzungen für die PKI-SH Technische Voraussetzungen Arbeitsplatz mit mindestens Windows 2000 Office 2000 Internet Explorer 5 Internetanschluß oder Netzverbindung mit der DZ-SH Organisatorische Voraussetzungen Einrichtung einer Registrierungsstelle oder Anschluß an eine bestehende Registrierungsstelle Anerkennung der Sicherheitsrichtlinien

16 Kosten einfache Lösung Zertifikate als Datei, Speicherung auf Festplatte aktuelle Kostenschätzung: 15 pro Zertifikat im Jahr Lösung für höhere Sicherheitsanforderungen Zertifikate auf Chipkarte doppelte Kosten gegenüber einfacher Lösung zusätzlich Kartenleser am Arbeitsplatz

17 und der Bürger bekommt grundsätzlich kein Zertifikat der PKI-SH benötigt ein qualifiziertes Zertifikat kann qualifizierte Zertifikate von akkreditierten Zertifizierungsstellen bekommen (Akkreditierung durch die Regulierungsbehörde für Post und Telekommunikation, RegTP)

18 qualifizierte Signaturen für die Verwaltung müssen dort, wo sie benötigt werden, ebenfalls von akkreditierten Zertifizierungsstellen bezogen werden (ggf. Rahmenvertrag?) können in die PKI-SH-Struktur eingebunden werden (Kartenleser und ggf. Zusatzsoftware werden benötigt)

19 Prüfung qualifizierter Signaturen kann über die Struktur der PKI-SH erfolgen Verzeichnisdienste sind über die Verwaltungs-PKI verbunden

20 Fazit die Strukturen für diesen Baustein des egovernment sind vorhanden Sie können starten identifizieren Sie geeignete Anwendungen planen Sie frühzeitig Empfehlung: starten Sie zum Kennenlernen mit einer einfachen internen Anwendung

21 Einsatz von Zertifikaten aus Anwendersicht Beispiel: Mail

22 Anwendersicht Posteingang

23 Anwendersicht Mailansicht

24 Anwendersicht Zertifikatsinformationen

25 Anwendersicht Zertifizierungspfad

26 Anwendersicht Fehlerhafte Signatur

27 Anwendersicht Post senden

28 Anwendersicht Post senden

29 vielen Dank für ihre Aufmerksamkeit Fragen sind willkommen

30 Public Key Infrastruktur in Schleswig-Holstein Baustein für egovernment Lothar Deseke Leiter Competence Center Security Datenzentrale Schleswig-Holstein