Praxis der elektronischen Signatur Daniel Konrad A-SIT, Zentrum für sichere Informationstechnologie Austria ADV-Tagung: Digitale Signatur ja, und? 22.6. 2006
Agenda About A-SIT Was ist eine sichere Signaturerstellungseinheit? Konzept Bürgerkarte Viele Token für alle Zwecke Anwendungen
About A-SIT 1999 als gemeinnütziger Verein gegründet Mitglieder: Bund (BMF) OeNB TU-Graz
Aktivitäten Technische Evaluierungen Bestätigungsstelle nach SigG Akkr. Überwachungsstelle nach ISO/IEC 17020 Unterstützung für öffentliche Stellen Konzept Bürgerkarte Österr. IT-Sicherheitshandbuch Beobachtung bestehender und aufkommender Technologien Technologiebeobachtung am Standort Graz Mitwirkung in Normungsgremien (W3C, Common Criteria, ETSI, ON, ) Beiträge zur Stärkung des IT-Sicherheitsbewusstseins Dokumente und Publikationen Veranstaltungen Mehr: www.a-sit.at
Bestätigungsstelle ( 19 SigG, Art. 3 Abs. 4 EU-RL) A-SIT ist erste und derzeit einzige österr. Bestätigungsstelle (BGBl II 2000/31) Notifizierung bei europ. Kommission => int. Anerkennung Aufgaben und Leistungen: Bescheinigungen nach 18 Abs. 5 SigG Unterstützung der Aufsichtsstelle in technischen Belangen ( 15 Abs. 3 SigG) Sonst. Bestätigungen, Gutachten Technologiebeobachtung => Empfohlene Algorithmen und Parameter für el. Signaturen (gem. mit RTR GmbH)
Was ist eine sichere Signaturerstellungseinheit? SSCD: Secure Signature Creation Device Def. SigG Signaturerstellungsdaten: einmalige Daten wie Codes oder private Signaturschlüssel, die vom Signator zur Erstellung einer elektronischen Signatur verwendet werden; Signaturerstellungseinheit: eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturerstellungsdaten verwendet wird; Anforderungen laut Anhang III der EU-RL: 1. Sichere Signaturerstellungseinheiten müssen durch geeignete Technik und Verfahren zumindest gewährleisten, dass a) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten praktisch nur einmal auftreten können und dass ihre Geheimhaltung hinreichend gewährleistet ist; b) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die Signatur vor Fälschungen bei Verwendung der jeweils verfügbaren Technologie geschützt ist; c) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten von dem rechtmäßigen Unterzeichner vor der Verwendung durch andere verlässlich geschützt werden können. 2. Sichere Signaturerstellungseinheiten verändern die zu unterzeichnenden Daten nicht und verhindern nicht, dass diese Daten dem Unterzeichner vor dem Signaturvorgang dargestellt werden.
SSCD ist neben qualifiziertem Zertifikat notwendige Voraussetzung für sichere Signaturen. Voraussetzungen für SSCD: Bescheinigung nach SigG 18 Abs. 5 Bescheinigungen anderer anerkannter Stellen ( Art. 3(4) bodies ) Allgemein anerkannte Normen ( Referenznummern ) nach Art. 3 Abs. 5 EU-RL (SSCD-PP)
Bescheinigung nach 18(5) SigG Prüfkriterien SigV 9 Abs. 1-3: 1) Geeignete Sicherheitsvorgaben (CC, ITSEC) 2) Referenznummern (EU-Amtsblatt Nr. L 175, 15/07/2003) 3) In kontrollierter Umgebung auch organisatorisch durch Einsatz qualifizierten und vertrauenswürdigen Personals oder technischorganisatorisch durch Einsatz geeigneter Zugriffs- und Zutrittskontrollmaßnahmen. => Prüfung der konkreten Maßnahmen durch Bestätigungsstelle.
Schutzprofile CMCSO-PP CMCKG-PP SSCD-PP
Schutzprofile EESSI (European Electronic Signature Standardisation Initiative) Veröffentlicht im Amtsblatt der EU (Nr. L 175, 15/07/2003) => CMCSO-PP (ZDA für qual. Zertifikate) => SSCD-PP (Signator)
SSCD-PP Implementierung von Anhang III der EU- Richtlinie für elektronische Signaturen wurde nach CC evaluiert und vom BSI zertifiziert, Stufe EAL4+ (methodically designed, tested & reviewed) Zusatz ( + ): AVA_VLA.4 (Hohe Widerstandsfähigkeit), AVA_MSU.3 (Analysieren und Testen auf unsichere Zustände)
SSCDs in Österreich ACOS EMV-A03 (V0,V1) Qual. Zertifikate über A-Trust => sichere Signaturen STARCOS 3.1 ECC (Version 1.0, Version 2.0) Zertifikate über Hauptverband d. österr. SV-Träger => Verwaltungssignaturen
Weitere von A-SIT bescheinigte Signaturerstellungseinheiten Starcos SPK 2.3 nicht mehr ausgegeben, z.b. OCG- Mitgliedskarte CardOS/M4.01 nicht mehr ausgegeben, WU- Studentenkarte
Bestätigungen, Gutachten HSM: Baltimore Sureware Keyper, Version 2, Release 1 (ZDA für qual. Zertifikate) Gutachten für Signatursoftware BDC hot:pdfsign Version 1.06 BDC hotsign Version 1.3.1 BDC MBS Modul Version 2.0, Release 1.3 (Windows und Linux)
Konzept der Bürgerkarte Die Bürgerkarte ist ein offenes Konzept und kann durch verschiedene Technologien realisiert werden so auch verschiedene Ausprägungen der Bürgerkarte sowohl aus öffentlicher Verwaltung, als auch Privatwirtschaft
Ausprägungen Signaturkarte e-card Bank- bzw. Kreditkarte Bank- bzw. Kreditkarte Studentenausweis Ausl. Karten Ausl. Karten Das Handy Das Handy
Bürgerkarten-Initiativen und Status Bank- und Kreditkarten Seit März 2005 ausgegebene Karten (Maestro, MasterCard) sind SSCDs (a.sign premium Logo) e-card (Krankenscheinersatz) ist SSCD Rollout Mai-Nov. 2005, 100 % Abdeckung (8 Mio.) seit Nov. 2005 Mobiltelefone Jedes Mobiltelefon über sicheren Signaturserver (seit April 2004) Weitere ZDA Signaturkarten Studentenkarten Dienstausweise, etc.
Grundfunktionen Bürgerkarte vereint elektronische Signatur Authentifizierung elektronischer Ausweis Identifikation Max Muster 101011110001.
Warum ist ein Signaturzertifikat für E- Government nicht ausreichend? Unterscheiden von zwei Personen mit dem selben Namen Erkennen, dass zwei unterschiedliche Namen zur selben Person gehören Eine Person kann mehrere Signaturzertifikate haben => Datenschutzkonforme Verknüpfung von Signaturschlüssel mit Eintrag in einem Personenregister
Stammzahlenregister - SZR Stammzahl abgeleitet aus Basisregister (ZMR-Zahl) Starke Verschlüsselung für natürliche Personen Stammzahlenregister ist Datenschutzkommission Stammzahl in Datenstruktur Personenbindung gespeichert Personenbindung unter Kontrolle der Bürgerin / des Bürgers ZMR ERnP/sB ZVR FiB 123 SZR 4csabB2 Stammzahl
Personenbindung XML Datenstruktur in der Bürgerkartenumgebung mit Personendaten Name, Geburtsdatum Stammzahl Öffentliche Schlüssel der el. Signatur von Behörde signiert Bindet Signatur an eindeutige Identifikation Stammzahzahl... <saml:subjectconfirmationdata> <pr:person xsi:type="pr:physical <pr:identification> <pr:value>123456789012</pr:v <pr:type>http://reference.e-g </pr:identification> <pr:name> <pr:givenname>daniel</pr:given <pr:familyname>konrad</pr:fami </pr:name>... <saml:attribute AttributeName="CitizenPublicKey"... <dsig:rsakeyvalue> <dsig:modulus>snw8olcq49qnefems
Bereichsspezifisches Personenkennzeichen bpk Steuern- Abgaben Bereichs-ID SA No7b99t bpk Steuern Stammzahl 4csabB2 Gesundheit Bereichs-ID GH 5cwu4N bpk Gesundheit
Wirtschafts-Bereichsspezifisches Personenkennzeichen wbpk Otto-Buch Firmen-ID i2345 MoK67t wbpk Otto Stammzahl 4csabB2 Willi-Versand Firmen-ID i6543 27eGH wbpk Willi
Technologien: Client-Seite Die Integration einzelner Token nicht in Anwendung, sondern über die Bürgerkartenumgebung Offene Schnittstelle Security Layer Offene Schnittstelle Security Layer Bürgerkartenumgebung
Ausländische Karten Im offenen Konzept Bürgerkarte ist die Integration der belgischen, estnischen, finnischen und italienischen elektronischen Identität seit 02/2006 operativ
Technologien: Server-Seite Open Source Module MOA ID/ID+, MOA-wID: Identifikation MOA SS: Server-Signaturen z.b. Amtssignatur MOA SP: Signaturprüfung MOA ZS: Elektronische Zustellung Ersetzt Einschreiben (Rückschein-Brief) MOA VV: Vertretung, Vollmachten weitere folgen
Überblick Request Wer Geistern dient, die nicht seine eigenen sind, ist ein Schmeichler. Wer eine Gelegenheit zu rechtschaffenem Tun sieht, sie aber nicht ergreift, der ist ein Feigling. + PB Bürgerkarte Personenbindung Öffentl. Schlüssel Stammzahl E-Government Applikation bpk Eindeutige Identifikation (bpk) Authentifizierung durch el. Signatur Security Layer
Anwendungen, Demonstrationen Übersicht an E-Government Verfahren Demonstrationen: Die sichere Signatur kann einfach in bestehende Applikationen integriert werden. Beispiel I: Signatur aus Word 2007 Beispiel II: Signatur eines PDF- Dokuments Beispiel III: Anmeldung an E- Government Anwendung
Auswahl aktueller Verfahren Anwendungen der Bürgerkarte im Bund FinanzOnline Meldebestätigung Strafregisterbescheinigung Meldestellen Umweltkriminalität Wiederbetätigung Kinderpornographie Stipendienantrag Zustellung etc.
Aktuelle Verfahren Anwendungen in div. Gemeinden Ausstellung Geburtsurkunde Kommunalsteuererklärung allgemeine Anbringen Bauanzeige Innenausbau / Baubeginnmeldung Fernwärme-Förderung Umzugsmeldung, uvm. z.b. in Graz, Hitzendorf, Inzersdorf, Krems. Weiters esv (Sozialversicherung, Beitragskonten, etc. ) Online-Banking einiger Banken etc.
Amtssignatur
Beispiel I: Word 2007 Signatur aus Word 2007 Plugin, das an die Bürgerkartenumgebung koppelt Anbringen Amtssignatur Zustellung des Stücks Prüfung der Signatur DEMO
Signaturprüfung (online)
Signaturprüfung (offline) Zertifikatsstatus kann nicht festgestellt werden (keine aktuelle Widerrufsinformation)
Signaturprüfung (offline) Zertifikatsstatus kann nicht festgestellt werden (keine aktuelle Widerrufsinformation)
Signaturprüfung (Dokument verändert) Durch Veränderung des Dokuments schlägt Überprüfung der Hashwerte fehl
Signaturprüfung (Dokument verändert) Durch Veränderung des Dokuments schlägt Überprüfung der Hashwerte fehl
Beispiel II: PDF Extraktion des Textes Normalisierung Signatur Rückführung des Signaturblocks DEMO
Beispiel III: E-Government Anwendung Anfordern einer Meldebestätigung und Abholung am Zustellserver DEMO
Screenshots Beispiel III
Fazit Die sichere Signatur ist in einem breitem Umfeld verfügbar. Die sichere Signatur lässt sich einfach in bestehende Anwendungen integrieren Durch das offene Konzept der Bürgerkarte sind verschiedene Technologien möglich
Danke für Ihre Aufmerksamkeit! Kontakt: A-SIT, Zentrum für sichere Informationstechnologie - Austria Daniel Konrad Weyringergasse 35 1080 Wien Tel: +43 (0)1-5031963-50 Fax: +43 (0)1-5031963-66 daniel.konrad@a-sit.at www.a-sit.at, www.buergerkarte.at