Information and Communication Networks PKI und elektronische Signaturkarten als Grundlage für sicheres egovernment Erik Donner Senior Consultant Siemens AG Consulting Security & Directory Services
Inhaltsübersicht Initiative der Bundesregierung BundOnline 2005 egovernment Standards und Anforderungen PKI Funktionen und Architektur Prozessoptimierung durch Einsatz elektronischer Signaturen Erik Donner, 30.09.2004 Seite 2
Status der Initiative Bund Online 2005 260 Dienstleistungen aus Regierung und Verwaltung sind online verfügbar 174 Angebote beziehen sich auf Die Bereitstellung von Informationen im Internet 22 Antragsverfahren stellen Transaktionsangebote dar Erik Donner, 30.09.2004 Seite 3
Gründe für den Einzug von egovernment auf Bundes-, Landes- und Kommunalebene Herausforderungen Kostendruck Investitionsschutz für vorhandene Fachverfahren Lösungsansätze Investition in die richtigen Themen Konsolidierung von Infrastruktur und Anwendungsplattformen Sanfte Migration Nutzung vorhandener Verfahren für neue Prozesse und neue Services Konsequente Kundenorientierung Durchgängige ganzheitliche Services Verwaltungsübergreifende egovernment- Kooperation Standardisierung der Prozesse und Datenintegration Schaffung einer einheitlichen sicheren Transaktionsmöglichkeit für die vorhandenen Internet-Portale Zusammenarbeit über Verwaltungsgrenzen hinweg Erik Donner, 30.09.2004 Seite 4 4
egovernment Standards und Anforderungen Wichtige Behördenanforderungen und Standards Berücksichtigung der relevanten Gesetze, Standards und Rahmenbedingungen BundOnline2005 (definiert gemeinsame Standards, Basiskomponenten) SAGA (Standards und Architekturen für egovernment-anwendungen) Deutsches Signaturgesetz (SigG, SigV) OSCI (Online Service Computer Interface sichere Kommunikation) ISIS-MTT (Industrial Signature Interoperability Specification der deutschen Trust-Center) ITSEC / Common Criteria (Standards für die Zertifizierung von IT-Lösungen) Erik Donner, 30.09.2004 Seite 5
egovernment Anforderungen an Geschäftsprozesse Anwendungen und Geschäftsprozesse der Behörden Durchgängige Geschäftsprozesse Sicherheitsfunktionen (Identifikation/Authentifikation, Digitale Signatur, Email, Verschlüsselung, Integration in Geschäftsprozesse, Policy/Rollenmodelle) Mitarbeiterausweis (Zutritt, Zugang, Digitale Signatur, Verwaltung) Directory-Services (Verzeichnisdienst, Identity Management, Meta-Directory) Erik Donner, 30.09.2004 Seite 6
Vorgänge in Bundesbehörden Government to Citizens (G2C) Bundesversicherungsanstalt für Angestellte (BfA) Berechnung und Gewährung von Renten Einzug von Rentenversicherungsbeiträgen Durchführung von Beratungen Bundesagentur für Arbeit (BA) Vermittlung von Arbeitsplätzen Gewährung von Geldleistungen Durchführung von Beratungen Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) Förderung erneuerbarer Energien Deutscher Wetterdienst (DWD) Durchführung von meteorologischen Vorhersagen und Beratungen Government to Business (G2B) Bundesministerium für Wirtschaft und Arbeit (BMWA) Abwicklung von Förderprogrammen Bundesagentur für Arbeit (BA) Vermittlung von Arbeitsplätzen Bereitstellung von Informationen Statistisches Bundesamt (StBA) Erstellung zentraler Statistiken Kraftfahrt-Bundesamt (KBA) Führen zentraler und Verkehrsund Kfz - Register Regulierungsbehörde für Telekommunikation und Post (Reg TP) Vergabe von Rufnummern Government to Government (G2G) Beschaffungsamt (BeschA) Beschaffungen Statistisches Bundesamt (StBA) Erstellung zentraler Statistiken Bundeszentralregister (BZR) Führen des Bundeszentralregisters Erteilung von Auskünften aus dem Gewerbezentralregister Erik Donner, 30.09.2004 Seite 7 Quelle: SAGA 1.1
Sicheres egovernment - Integrierte Vorgangsbearbeitung Antragerstellung Antragbearbeitung Bescheid elektronischer Geschäftprozess Client (Behörde etc.) Intermediär Behörde Frontend Backend Intermediär Client WEB Security (OSCI) E-Mail Security (OSCI) DFÜ Security öffentliche Trust Center Virtuelle Poststelle Abläufe / Fachverfahren in der Behörde (Beispiele) : esteuer egrundbuch easyl öffentliche Trust Center Virtuelle Poststelle WEB Security (OSCI) E-Mail Security (OSCI) DFÜ Security Fax Brief Security (OSCI) Behördeninterne Security PKI, Mitarbeiter-Ausweis, SSO, Rollen, Profile) Security (OSCI) Behörden-übergreifende Sicherheitsinfrastruktur Fax Brief (Öffentliche PKI / Trust Center, Smart Cards, Zertifikate, Verzeichnisdienste etc.) Erik Donner, 30.09.2004 Seite 8
Vertraulichkeit Anforderungen an (rechts-) sichere elektronische Kommunikationsbzw. Geschäftsprozesse Anforderungen Nur der Sender und der rechtmäßige Empfänger einer Information können diese lesen Integrität Es muß sichergestellt sein, daß eine Information unverfälscht ist Authentizität Sicherstellung, daß alle beteiligten Kommunikationspartner die sind, für die sich ausgeben Verbindlichkeit Sicherstellung der Unwiderrufbarkeit einer getätigten Transaktion (Abstreiten, Verleugnen) Private Key Private Key Verschlüsselung Lösungen Zwei Kommunikationspartner verschlüsseln (encrypt/decrypt) die Informationen (geheime Schlüssel) Digitale Signaturen Erzeugung eines Verifikationsmerkmals über die gesamte Nachricht und Verschlüsselung dieses Merkmals Digitale Zertifikate Mittels digitaler Zertifkate wird von einer unabhängigen, dritten Instanz die Authentizität der Partner für jeden Beteiligten überprüfbar gemacht Digitale Signatur Technologie: Public Key Infrastructure Jede Transaktion wird vom Initiator mittels eines unverfälschbaren Merkmals (Schlüssel) unterschrieben Public Key Public Key Erik Donner, 30.09.2004 Seite 9
Public Key Infrastructure (PKI)... ist ein System von Komponenten, Diensten und Verfahren Private Key Public Key Zertifikat Trustcenter um Schlüssel und Zertifikate für den Einsatz von Kryptographie zu generieren zu verteilen und zu administrieren Erik Donner, 30.09.2004 Seite 10
Funktionen der Public Key Infrastrukture (PKI) Ausstellen und Verteilen von Zertifikaten (inkl. Identifikation und Authentifikation der End-User) Validieren und Widerrufen von Zertifikaten (CRL oder online) Update von Zertifikaten Erzeugung und Archivierung der Schlüsselpaare für Key Backup/Recovery (insbesondere in zentralisierten Systemen z.b. Corporate PKI) Bereitstellung von PSEs (Personal Security Environment) inkl. Private Key und Zertifikat auf verschiedenen Medien, z.b. Smart Card, Diskette Cross-Zertifizierung Timestamping und Notarisierungsdienste Konformität zu zu den den relevanten Standards (z.b. (z.b. ITU ITU X.509, X.509, IETF IETF PKIX, PKIX, PKCS) PKCS) ermöglicht eine eine einzige einzige Infrastruktur für für eine eine Vielzahl von von Applikationen (z.b. (z.b. Web, Web, VPN, VPN, E-Mail, E-Mail, ecommmerce). PKI PKI ist ist eine eine Basis Basis für für vertrauenswürdige Kommunikation. Erik Donner, 30.09.2004 Seite 11
Wesentliche PKI-Komponenten Certification Authority (CA): Stellt Zertifikate aus, verwaltet Zertifikate, kann Zertifikate widerrufen Trust Center : Zusätzlich zur CA-Funktionalität verantwortlich für Erzeugung und Archivierung von Schlüsselpaaren (Key Backup, Key Recovery) Registration Authority: Kann Aufgaben einer CA übernehmen, wird typischerweise zur Authentifikation von End-Usern bei Zertifikatsanforderungen eingesetzt Repository: Medium zum Bereitstellen von Zertifikaten oder Revocation Lists (z.b. Directories) End-User: Der eigentliche Nutzer der PKI, setzt Zertifikate in kryptographischen Protokollen ein PSE: Enthält alle notwendigen Informationen für einen End-User (kann auf Smart Card geschrieben werden) PKI-fähige Applikationssoftware (inkl. Smart-Card-Anbindung) Erik Donner, 30.09.2004 Seite 12
PKI - Architektur Arbeitgeber Verantwortlicher Sachbearbeiter Abrufende Stelle Berechtigungsserver DEÜV Zentrale Speicherstelle Trustcenter Verzeichnisdienste Registratur Fachverfahren Trustcenter Registrierung Trustcenter Empfänger der Leistung Erik Donner, 30.09.2004 Seite 13
Beispielprozess egovernment Zugang zu Grundbuchdaten mittels Smart Card und PKI Nutzer Außenwelt Landesnetz Grundbuch-Rechenzentrum Heute: User ID Passwort Authentisierung: User ID Passwort Remote Access Server Grundbuch Inter net Internes Netz Smart Card Private Key Morgen: Smart Card Paket-/Portfilter Intrusion Detection Authentisierung: Kryptographie Zertifikat CA - PKI Directory (LDAP) Authentisierungsservice Web- Server SolumWEB (Authentifikation Dokumentation, Kosten) Erik Donner, 30.09.2004 Seite 14
Prozessoptimierung durch Einsatz elektronischer Signaturen Prämisse: Ein Leistungsempfänger nimmt eine Nebenbetätigung auf Der Amts-Sachbearbeiter muss die daraus resultierenden Einnahmen auf die gewährte Leistung anrechnen Prozess Alt : Der Leistungsempfänger holt bei dem Sachbearbeiter das Formular zur Erfassung des Nebeneinkommens Das Formular wird an den Arbeitgeber weitergeleitet Der Arbeitgeber bescheinigt das Nebeneinkommen im Formular Der Leistungsempfänger ergänzt die Bescheinigung um seine Werbungskosten und reicht das Formular beim Sachbearbeiter ein Der Sachbearbeiter prüft die Vollständigkeit, erfasst die Daten und berechnet eine eventuelle Leistungskürzung Prozess Neu : Der Arbeitgeber meldet im Zuge seiner monatlichen Meldung den Datensatz des Nebeneinkommens an eine Zentrale Speicherstelle Der Leistungsberechtigte erteilt per Signaturkarte dem Sachbearbeiter die Vollmacht, für ihn tätig zu werden Der Sachbearbeiter ruft mit Hilfe seiner Signaturkarte die aktuelle Arbeitsbescheinigung ab Einsparvolumen: - verkürzte Transportzeiten - verkürzte Liegezeiten - geringerer Archiv-Speicherbedarf - keine Medienbrüche - Zukunftssicherheit Erik Donner, 30.09.2004 Seite 15
egovernment Competence Center Sichere, integrierte egovernment-prozesse Trust Center Dienste Siemens Smart Card CardOS M4.01 Smart Card Key Gener. VerschlüsselungsKey Verteilung Public Key Smart Card Management Personal-/ Verw. Daten Personalisierung CA Cert. Auth. Interner Betrieb Gen. Zertifikate Verteilung Key back-up Archivierung Verzeichnisdienst Zertifikate OCSP- Service (Meta-Dir.) LRA-Client Local Registration Authority Identifikation/ Registrierung Key-Generierung PSE / Zertifikate auf Smart Card Foto / Druck Ausgabe der Smart Cards Sichere Email/ Docu Signatur/ Verschlüsselung. egov- Prozesse ereha Verfahren Smart Card kontaktbehaftet integrierte egov-anwendungen Anwendungen egov- Prozesse SolumWeb Zugriff auf Grundbuch Email- Gateway sichere Email- Gateway egov- Prozesse Elektronische Akte OSCI- Middleware Incl. Web- Interface Doku Workflow Archivierung DOMEA- Standard Doku Scan & Sign Einscannen und signieren Erik Donner, 30.09.2004 Seite 16