Perspektiven für die eid-funktion des Personalausweises

Perspektiven für die eid-funktion des Personalausweises Inhalt: Funktionen und Leistungsmerkmale Datenschutz- und Datensicherheit Technische Standards auf gesetzlicher Grundlage Prozesse und Komponenten der eid-infrastruktur STORK eine europäische eid-initiative Zusammenfassung und Ausblick Bernd Kowalski Abteilungspräsident im Bundesamt für Sicherheit in der Informationstechnik Ministerialkongress in Berlin, 8. September 2011

Der neue Personalausweis Funktionen und Leistungsmerkmale Sichtausweis Elektronische Funktionen 1. Elektronischer Identitätsnachweis: eid-funktion für E-Business- und E-Government PIN und Berechtigungszertifikat erforderlich 2. Unterschriftsfunktion: Qualifizierte elektronische Signatur nachträglich auf den Ausweis nachladbar Der neue Personalausweis vereint den herkömmlichen Ausweis und die drei neuen elektronischen Funktionen im Scheckkartenformat. 3. Hoheitliche Funktion digitales Lichtbild und (auf Wunsch) zwei elektronische Fingerabdrücke ausschließlich für zur Identitätsfeststellung berechtigte Behörden, z. B. Polizei und Grenzkontrolle Bernd Kowalski 8. September 2011 Folie 2

Vorteile des elektronischen Identitätsnachweises eid-funktionen Einfaches und sicheres Identifizieren im Internet Erhöhte Sicherheit gegenüber der bisherigen Passwortidentifizierung bisher: Passwort oder PIN = nur Wissen künftig: Personalausweis + PIN = Besitz + Wissen Sichere medienbruchfreie Abwicklung von Online-Diensten unabhängig von Öffnungszeiten, fehlerfreie Datenübermittlung Berechtigungszertifikat mit Erforderlichkeitsprüfung Datenübermittlung nur im Rahmen des Berechtigungszertifikats Alters- bzw. Wohnortbestätigung Einheitliche standardisierte Schnittstelle überwiegend Nutzung des neuen Ausweises zur Authentisierung bei Online-Diensten Verschlüsselte Übertragung Bernd Kowalski 8. September 2011 Folie 3

Neuer Personalausweis - Vorderseite NEU: ein Chip - ermöglicht neue Funktionen - Datensicherung des Inhabers Bernd Kowalski 8. September 2011 Folie 4

Neuer Personalausweis - Rückseite Sicherheitsmerkmale Neu: kennzeichnet Anwendungen, Automaten, Lesegeräte Bernd Kowalski 8. September 2011 Folie 5

Datenschutz und Datensicherheit Keine Manipulation von gespeicherten Daten auf dem Ausweischip möglich: Nur die Adressdaten können mithilfe spezieller hoheitlicher Berechtigungszertifikate geändert werden. Andere Daten sind nicht änderbar. Kein unberechtigtes Auslesen ( Skimming ) von Daten aus dem Ausweischip möglich: Zugriff nur mit entsprechendem Berechtigungszertifikat und Geheimnummer Schutz gegen das Abhören von Daten: Kommunikation zwischen Ausweischip und Lesegerät bzw. Terminal / eid Server des Diensteanbieters ist verschlüsselt Schutz für die biometrischen Daten: Zugriff nur für zur Identitätsfeststellung berechtigte Behörden (hoheitliches Berechtigungszertifikat) Stark verschlüsselter Kommunikationskanal Keine biometrischen Daten über das Internet: nur zur hoheitlichen Nutzung Bernd Kowalski 8. September 2011 Folie 6

Datenfelder für den elektronischen Identitätsnachweis Übermittelte Daten an Diensteanbieter (Sperre/Gültigkeit): Dienste- und kartenspezifisches Sperrmerkmal Ergebnis der Gültigkeitsprüfung des Ausweises Abrufbare personenbezogene Daten (Berechtigungszertifikat): Vor- und Familienname(n), Doktorgrad Ordens-, Künstlername Geburtstag und -ort / Angabe, ob ein bestimmtes Alter überoder unterschritten ist Anschrift / Angabe, ob Wohnort mit bestimmten Wohnort übereinstimmt Dokumentenart ( Personalausweis ) und ausstellendes Land ( D ) Dienste- und kartenspezifisches Kennzeichen ( Pseudonym ) Kein Abruf von biometrischen Daten möglich! Bernd Kowalski 8. September 2011 Folie 7

Gesetzlich verbindliche Prüfvorschriften gewährleisten hohen Sicherheitsstandard und Interoperabilität Wirkung von Prüfvorschriften BMI Rechtsvorschriften PersAuswG BSI Prüfvorschriften TR/PP: npa, ecard-api Konformitätsprüfungen private akkr. Prüfstellen Zertifizierung BSI Bernd Kowalski 8. September 2011 Folie 8

Verpflichtungen/ Empfehlungen aus der Personalausweisverordnung Nr. Bezeichnung der Systemkomponente Grundlage der Verpflichtung / Empfehlung 1 Elektronisches Speicher- und Verarbeitungsmedium auf der Ausweiskarte (Hard- und Software) Verpflichtung für Ausweishersteller durch Herstellungsvertrag 2 Fingerabdruckleser Verpflichtung an Lieferanten über Liefervertrag; Verpflichtung für Ausweishersteller durch Herstellungsvertrag; Verpflichtung für Ausweisbehörden nach 3 (1) und 7 (2) 3 Software zur Erfassung und Qualitätssicherung von Gesichtsbild und Fingerabdrücke 4 Modul zum Datenaustausch zwischen Ausweisbehörde und Dokumentenhersteller 5 Modul zur Sicherung der Authentizität und Vertraulichkeit der Antragsdaten 6 Änderungs- und Visualisierungmodul für den Änderungsund Visualisierungsdienst in den Ausweisbehörden Verpflichtung für Ausweishersteller durch Herstellungsvertrag; Verpflichtung für Ausweisbehörden nach 3 (1) u. 7 (2-3) Verpflichtung für Ausweishersteller durch Herstellungsvertrag; Verpflichtung für Ausweisbehörden n. 3(1) i.v.m. 8 (1-3) Verpflichtung für Ausweishersteller durch Herstellungsvertrag; Verpflichtung für Ausweisbehörden n. 3(1) i.v.m. 8 (1,3,4) Verpflichtung für Ausweishersteller durch Herstellungsvertrag; Verpflichtung für Ausweisbehörden nach 3 (1) u. 18 (4) 7 Kartenlesegeräte Empfehlung an Ausweisinhaber nach 23 (2) Nr. 2 8 Bürgerclient Empfehlung an Ausweisinhaber nach 23 (2) Nr. 3 9 Hard- u. Software zur Durchführung des elektr. Identitätsnachweises bei Diensteanbietern o. ihrer Auftragnehmer Verpflichtung für Diensteanbieter oder dessen Auftragnehmer nach 3 (1) und nach 29 (2) Bernd Kowalski 8. September 2011 Folie 9

Technische Richtlinien (TR) und Schutzprofile (PP) Technische Richtlinien (TR) Kartenspezifikation (EAC, PACE, usw.) QES auf ecards mit kontaktl. Schnittstelle Produktionsdatenerfassung, qualitätsprüfung und übermittlung Biometrie Kartenleser mit epa-unterstützung ecard-api-framework Middleware für BürgerClient und eid-server Hintergrundsysteme (PKI) Elliptische-Kurven-Kryptographie Kryptographische Verfahren: Empfehlungen und Schlüssellängen www.bsi.bund.de/elektronischeausweisetr Schutzprofile (PP) Elektronischer Personalausweis Inspektionssysteme für elektronische Ausweisdokumente Reisepass BürgerClient: QES-Funktion BürgerClient: eid-funktion Bernd Kowalski 8. September 2011 Folie 10

eid-prozesse Gegenseitiger Identitätsnachweis Bürgerinnen und Bürger: Kann das Unternehmen seine elektronische Identität beweisen? Diensteanbieter weist sich mit Berechtigungszertifikat aus Sowohl Bürger als auch Diensteanbieter können sich bei der Nutzung des epa auf die Identität des Gegenüber verlassen! Diensteanbieter: Kann die Person ihre elektronische Identität beweisen? Bürger weist sich mit npa aus Bernd Kowalski 8. September 2011 Folie 11

eid-prozesse Anbieter - Nutzer Ausweisinhaber Bürger PC mit AusweisApp (ecard-api-framework), PC, Internetbrowser Kontaktloses Kartenlesegerät npa mit eingeschalteter eid-funktion Geheimnummer Diensteanbieter (E-Business, E-Government) Anfrage des Dienstes Dienst auf Website Staat Datenübermittlung Berechtigungszertifikat Datenabfrage Vorname Nachname Geburtsdatum Bestätigung per PIN oder: npa Geheimnis + Anbieternummer = Pseudonym Dienst ist berechtigt und fragt nach Personendaten Diensteerbringung Zertifikat: - Name Diensteanbieter - Zweck Datenübermittlung - Berechtigung für - Vorname - Nachname - Alter - Bernd Kowalski 8. September 2011 Folie 12

Vergabeprozess von Berechtigungszertifikaten für Anbieter Bundesverwaltungsamt (BVA) BSI Vergabestelle für Berechtigungszertifikate (Verwaltungsverfahren) Antrags-5eingang Entscheidung Antragsprüfung 6.a (formell & inhaltlich) Gebührenstelle B Sperrlistenbetreiber Einfache Umrechnung der Sperrkennwörter der Sperrliste für Trustcenter Akkreditierungsstelle f f Root CVCA 4. Antrag auf Berechtigung 6.b Bescheid 7. Gebühr für (inkl. Gebühren Verwaltungsakt für Verwaltungsakt) 9. Umrechnung in Diensteanbieterspezifische Sperrmerkmale 1. 2. 3. Antrag Diensteanbieter (DA) B f eid-server Berechtigung 10.a Abruf von DA-pezifischen Sperrlisten 10.b Abruf von Berechtigungszertifikaten 8. Vorlage Berechtigung und Bezahlung Zertifikate zu Marktpreisen Sperrmerkmale Berechtigung Akkredi- DV-Zertieruntifikat Öff. Schlüssel Trustcenter (ZDA) Bernd Kowalski 8. September 2011 Folie 13

Sperren der eid-funktion X Verlust Ich habe meinen Personalausweis verloren Bürger entweder Hotline Passwort Kontakt per Telefon Ich habe meinen Personalausweis verloren oder Persönlich oder per Telefon Erfolg/ Misserfolg Bürgeramt Überprüfen der Identität und Vermerk über Verlust ins PA-Register mit Zeitstempel Ermittlung der Sperrinformation Erfolg / Misserfolg Personalausweisregister Sperrlistenbetreiber Sperrliste Übermittlung der Sperrinformationen Diensteanbieter Spezifische Sperrliste herunterladen ZDA Dienste-spez. Sperrlisten Abfrage des Sperrkennworts und der personenbezogenen Daten beim Bürger Ermittlung der Sperrinformation Übermittlung der Sperr informationen Umrechnung der Sperrinformation in ein Sperrmerkmal Eintrag des Sperrmerkmals in die globale Sperrliste Globale Sperrliste Umrechnung in dienstespezifische Sperrlisten Globale Sperrliste Bernd Kowalski 8. September 2011 Folie 14

Systemintegration der eid-funktion auf Anbieterseite eid-server Zentrale Komponente zur Abwicklung der eid-funktion Kostenpflichtige Nutzung durch Dienstanbieter im Wirkbetrieb Stellt die Kommunikation zum Identitätsnachweis her Übernimmt die Kommunikation zum Abruf von Berechtigungszertifikaten und Sperrlisten eid-service: mandantenfähiger eid-server Mehrere Diensteanbieter nutzen einen eid-service Gleichzeitige Bearbeitung beliebig vieler Authentifizierungen für mehrere Dienstanbieter Integrierte Verwaltung von Berechtigungszertifikaten der Diensteanbieter Bernd Kowalski 8. September 2011 Folie 15

Ausstattung des Bürgers zur Nutzung der eid-funktion Internet a a Internetbrowser Benötigte Komponenten: PC Internetbrowser Internetanbindung AusweisAapp-Software Kontaktloses Kartenlesegerät Neuer Personalausweis mit eingeschalteter eid-funktion Geheimnummer a 16 Bernd Kowalski 8. September 2011 Folie 16

Chipkartenleservarianten für den neuen Personalausweis Basisleser (Cat-B) Einfacher Chipkartenleser mit kontaktloser Schnittstelle Kein PIN-Pad zur sicheren PIN-Eingabe Qualifizierte elektronische Signatur wird nicht unterstützt Preis: ca. 35 Euro Standardleser (Cat-S) Multifunktionaler Chipkartenleser mit kontaktloser und optional kontaktbehafteter Schnittstelle PIN-Pad zur sicheren PIN-Eingabe Kann aufgerüstet werden, um die QES des neuen PA zu unterstützen Preis: ca 37* bzw. 68 Euro Komfortleser (Cat-K) Multiapplikativer Chipkartenleser mit kontaktloser und kontaktbehafteter Schnittstelle PIN-Pad zur sicheren PIN-Eingabe und Display Qualifizierte elektronische Signatur wird unterstützt Preis: ca. 120* bzw. 160 Euro * Mit staatlicher Förderung Bernd Kowalski 8. September 2011 Folie 17

Anwendungsgebiete der eid-funktion Zugang mit Pseudonym Altersverifikation Bürgerdienste Kiosksysteme / Infoterminals Automat. Formularbefüllung Elektronische Signatur Online-Registrierung Zutrittskontrollen Barrierefreie Internetdienste Bernd Kowalski 8. September 2011 Folie 18

Neuer Personalausweis Teilnehmer des zentralen Anwendungstests E-Government E-Finanzservice E-Business Bernd Kowalski 8. September 2011 Folie 19

Anbietermotivation zur Nutzung der eid-funktion Diensteanbieter können die Identität einer Person bzw. eines Kunden / Bürgers überprüfen Authentisierungsmechanismus kann für verschiedene Anwendungen in unterschiedlichen Bereichen eingesetzt werden Neue Dienste können angeboten werden, die zuvor nicht möglich waren (z.b. Transaktionen, die eine Unterschrift erfordern) Integrationsaufwand ist überschaubar: Angebotene Dienste / Webanwendungen können eine standardisierte Schnittstelle nutzen, um den elektronischen Identitätsnachweis zu unterstützen Kein Roll-out Prozess für Diensteanbieter Hohe Zahl an potenziellen Nutzern (nahezu jede Bürgerin / jeder Bürger besitzt zukünftig einen neuen Personalausweis) Bernd Kowalski 8. September 2011 Folie 20

Das Personalausweisportal für Bürger/innen und Partner Informationen zu neuen Möglichkeiten und benötigten Komponenten www.personalausweisportal.de Bereitstellung von Informationsbroschüren, Info- Flyern, neuesten Mitteilungen Angebote für Anbieter von Dienstleistungen, z. B. Informationen zur Beschaffung von Berechtigungszertifikaten und zu Voraussetzungen der Infrastruktur Auskünfte für Zertifikate-Anbieter zu Akkreditierungen und Anforderungen 21 Bernd Kowalski 8. September 2011 Folie 21

Das Kompetenzzentrum für den neuen Personalausweis www.ccepa.de Registrierung und Hilfestellung beim Anwendungstest Informationen zu technischer Infrastruktur, Komponentenanbietern und zum Support Benutzergruppe (Forum) für Know- how + Anfragen Bernd Kowalski 8. September 2011 Folie 22

Neuer Personalausweis Meilensteine bis zur Einführung 20. November 2008 Start Registrierung zentral koord.& offener Anwendungstest Ende Mai 2009 Auswahl Teilnehmer zentral koord. Anwendungstest 28. Februar 2009 Ende Registrierung für zentral koord. Anwendungstest 1. Oktober 2009 Start zentral koord. Anwendungstest 1.Quartal 2010 Start Feldtest 1. Januar 2010 Start offener Anwendungstest 2. Quartal 2010 Bericht Feldtest 1. Mai 2010 Start Beantragung von Berechtigungs -zertifikaten Ende Juni 2010 Bericht Anwendungstest 1. 1. November November 2010 2010 Einführung Einführung des des neuen neuen Personalausweises Personalausweises 31. Oktober 2010 Ende Anwendungstest Bernd Kowalski 8. September 2011 Folie 23

Neuer Personalausweis in Zahlen Bernd Kowalski 8. September 2011 Folie 24

Antragsentwicklung Berechtigungszertifikate Stand: 1. September 2011: 72 Berechtigungen erteilt Bernd Kowalski 8. September 2011 Folie 25

Anwendungsszenarien in der Einführungsphase Bernd Kowalski 8. September 2011 Folie 26

Anbieterspektrum Testphase CeBIT 2011 Aktuell Bernd Kowalski 8. September 2011 Folie 27

STORK Technische Perspektive einer europäischen eid-infrastruktur Ziele der Europäischen Kommission Beschleunigung der Entwicklung von eid-lösungen Koordinierung nationaler & europäischer Aktivitäten Test sicherer & benutzerfreundlicher eid-lösungen Ziele der deutschen Beteiligung Integration der deutschen Lösung in eine übergreifende europäische Rahmenarchitektur Hohes Niveau an Sicherheit und Datenschutz für alle Bürger Bernd Kowalski 8. September 2011 Folie 28

STORK Konsortium (2008-2011) 33 STORK Konsortialpartner aus 18 Mitgliedstaaten (MS) Deutsche Konsortialpartner: BSI, T-Systems, NXP, Fujitsu, Infineon, Giesecke & Devrient, Bundesdruckerei Bernd Kowalski 8. September 2011 Folie 29

STORK: eid-interoperabilität mittels Gateway-Lösungen S- PEP S SP MS A direct SP connect or Authentisierungsanfrage DE eid Service V-IDP (V-SP) AT MOA ID S-PEPS (MS A specific) Modular Authentication Relay Service C-PEPS connect or natio nal C- PEP S natio nal C- PEP S natio nal C- PEP S Bernd Kowalski 8. September 2011 Folie 30

Zusammenfassung und Ausblick (1) Zehn Monate nach dem npa-start: 8 Mio. ausgegebene neue Personalausweise Antrags- und Ausgabeverfahren! Quote freigeschalteter eid-funktionen in einigen Regionen noch unbefriedigend Mehrere Berechtigungs-CAs Wachsende Zahl von eid-clients, -serverhersteller und eid-service-anbieter Lesegeräte Standard etabliert! Kritische Masse der Lesegeräte erst bei ausreichender Anzahl ausgegebener npas! Zunehmende, aber noch zurückhaltende Akzeptanz bei Anbietern Bernd Kowalski 8. September 2011 Folie 31

Zusammenfassung und Ausblick (2) Aktuelle Entwicklungen: Mobile NFC-Geräte und Smart-Phones SB-Geräte und Automatenlösungen Einführung des elektronischen Aufenthaltstitels (eat) zum 01.09.2011 Für Drittstaatsangehörige eid-funktion identisch zum Personalausweis, sofort in allen personalausweisfähigen Anwendungen einsetzbar Internationale Integration: eid für EU-Bürger ( Unionsbürgerkarte ) Bilaterale Projekte mit anderen EU-Ländern European Citizen Card (CEN-Standard) Interoperabilitätsprojekte zur Integration anderer nationaler Ausweissysteme (STORK) Demnächst: Einführung von eid-karten in PL und FR Bernd Kowalski 8. September 2011 Folie 32

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Bernd Kowalski Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)228-99-9582-5700 Fax: +49 (0)228-99-10-9582-5700 Bernd.Kowalski@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de Bernd Kowalski 8. September 2011 Folie 33