Elektronischer Personalausweis epa

Transkript

1 Elektronischer Personalausweis epa Attribut-Authentisierung für das Web Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen

2 Agenda Ziele Einführung des elektronischen Personalausweises (epa) Sichere Authentikation per epa für das Web Technische Umsetzung Zusammenfassung 2

3 Identitäten im Internet Herausforderung

4 Ziele Probleme des Identity Management Für jede Webseite eigene Username/Password-Paare (Identitäten) epa kann helfen, dies zu vermeiden Sichere Authentisierung für Web-Anwendungen Attribut-Authentisierung Entwicklung einer Beispiel-Applikation Open-Source-Technologie Proof of concept 4

5 Der epass 5

6 Einführung des epa Einführung des neuen epasses Einführung der Fingerabdrücke 2009/20109 elektronischer Personalausweis - epa RF-Chip (ähnlich epass) Kryptoprozessor Extended Access Control als Zugriffsmechanismus Bietet die Chance einer sicheren Authentisierung im Internet! 6

7 Extended Access Control (EAC) designed by BSI Rund 90 Seiten Spezifikation der Kernfunktionalität Ähnlichkeit zu Transport Layer Security (TLS, SSL) 3 Phasen PACE: Sicherheit des Funkkanals zwischen Chip und Lesegerät Terminal Authentication: Authentikation des Lesegeräts ggü. Chip Chip Authentication: Authentikation des Chips ggü. Lesegerät Strenge Vorgaben zur Kryptographie ECDH & ECDSA 256 Bit, AES, SHA-256 7

8 Komponenten Webseite Clientseite CMS Browser Webserver eid Authentication Server (EAS) Trust Center eid Authentication Proxy (EAP) Applet RF-Leser Trust Center Client-PC epa Benutzer 8

9 9

10 Diese Formularfelder sind read-only 10

11 Berechtigungs-Zertifikat (Terminal Certificate) Enthält Liste von Attributen, auf die zugegriffen werden soll Personenbezogene Daten Vorname(n), Nachname(n) Geburtsdatum Geburtsort Attribute Ist älter als 18 Jahre? Ja/Nein Sektorspezifische ID: X ist andere Person als Y (ohne Kenntnis der eindeutigen Daten: voller Name, Geburtsort & Geburtsdatum) Lese- und/oder Schreibzugriff Digitale Signatur (Verifikation) 11

12 12

13 13

14 14

15 15

16 16

17 17

18 Ablauf INIT-Phase Der Benutzer signalisiert der Webseite, dass er die Web- Authentisierung mit dem epa wünscht. Der Benutzer bestätigt oder verneint den Berechtigungs-Zertifikats- Dialog. SETUP-Phase Zwischen EAS (eid Authentication Server) und epa wird mit Hilfe der EAC ein sicherer Kanal aufgebaut. READ-Phase Nach erfolgreichem Aufbau des sicheren Kanals werden die Attribute des epa vom Webseiten-Betreiber ausgelesen. CLOSE-Phase Schließlich wird der sichere Kanal abgebaut. 18

19 Demo Demo 19

20 Nachrichtenaustausch Implementierung des Protokollablaufs Angepasst an die Situation im Internet Clients hinter einer Firewall HTTP-Kommunikation ist das Mittel der Wahl Nachrichten sind MIME-kodiert (weit verbreitet im WWW) 20

21 Elektronischer Personalausweis Zusammenfassung Der elektronische Personalausweis (epa) wird voraussichtlich ab 2009 eingeführt Er enthält einen Chip mit den Funktionen einer SmartCard Der Chip enthält personenbezogene Attribute (genau wie der bestehende nicht-elektronische Personalausweis) Die Kommunikation erfolgt kontaktlos mit einem RF-Lesegerät über Funk (RF) nach ISO Die kryptografischen Funktionen der SmartCard ermöglichen eine elektronische Authentikation anhand bestimmter Attribute, insbesondere über das Internet Dabei behält der Inhaber die Kontrolle über die Freigabe der Attribute Er kann selbst entscheiden, ob und falls erwünscht, wem er Zugriff auf bestimmte Attribute gewährt. Provider bekommen Berechtigungszertifikate

22 Elektronischer Personalausweis epa Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen

23 Personalisierung des epa 23

24 Web-Authentisierung aus Sicht des Benutzers 24