Der neue Personalausweis Erste Ergebnisse aus dem offenen Anwendungstest Jan Mönnich dfnpca@dfn-cert.de 1
Motivation 2
Motivation Start des neuen PA im November 2010 Frage: Kann der neue PA die DFN-Anwender unterstützen? Beispiel DFN-PKI: Zertifikate in der DFN-PKI Global Hierarchie nur nach persönlicher Identifizierung anhand eines Ausweisdokuments eid-funktion ist rechtlich geeignet um qualifizierte Zertifikate zu beantragen grundsätzliche Eignung für Identifizierung in der DFN-PKI Neuer Personalausweis als Alternative zur persönlichen Identifizierung? Weitere Anwendung Anmeldung im Browser z.b. bei CERT-Portal, Typo3,... 3
Der offene Anwendungstest 4
Der offene Anwendungstest Testphase des neuen Personalausweises Ziel: Findung von attraktiven Einsatzmöglichkeiten 1. Oktober 2009-31. Oktober 2010 Teilnahme durch den DFN-Verein Beschaffung von Testausweisen Beschaffung eines Test-Berechtigungszertifikats Entwicklung einer exemplarischen Web-Anwendung Nutzung der eid-funktion des neuen Personalausweises zur Identifizierung Ausstellen eines Zertifikats in der DFN-PKI Nachfolgend Präsentation der vollzogenen Schritte 5
Schritt 1: Testausweise Testausweise mit verschiedenen Daten z.b. nicht volljährig, akademischer Titel Kartenleser Modell SCL011 auch im IT-Sicherheitskit des Bundes Treiber für Windows, Linux und Mac OS X 6
Schritt 2: Berechtigungszertifikat Variante bestimmt auslesbare Daten Eintrittskarte Kundenkonto Wohnortabfrage Pseudonym Altersverifikation Familienname Vorname Doktorgrad Tag der Geburt Ort der Geburt Anschrift Dokumentenart Kennzeichen Abkürzung D Alter Prüfung Wohnort Prüfung Künstlername Wahl für DFN-Test Eintrittskarte 7
Schritt 3: eid-server eid-server Ist erforderlich zum Auslesen von Daten Verwaltet Berechtigungszertifikat Behandelt und genehmigt Anfragen von Anwendungen nach auszulesenden Daten Bietet Schnittstellen für Anwendungen (SAML, SOAP) Kommuniziert mit Kartenleser-Client des Benutzers (z.b. mit der AusweisApp über ecard-api) Betrieb eines eigenen eid-servers aufwendig Hohe Sicherheitsanforderungen vom BSI Auslagerung bei spezialisierten Anbietern möglich Für eigene Tests gewählt bremen online services 8
Beispielanwendung 9
Anwendungsentwicklung Beispiel Web-Anwendung in Apache Tomcat bremen online liefert Java-Bibliothek mit Beispielen Damit schnelle Entwicklung möglich Weniger als 100 Zeilen Quellcode erforderlich Ablauf in der Web-Anwendung Generierung einer Anfrage mit auszulesenden Daten Senden der Anfrage an den eid-server Starten eines Kartenleser-Client für Nutzerinteraktion Bei bremen online ein Java-Applet keine lokale Installation Empfangen der verschlüsselten Daten vom eid-server Daten wurden auf dem eid-server mit einem Zertifikat (z.b. aus der DFN-PKI) verschlüsselt 10
Beispielanwendung (1) Nutzer klickt auf Identifizierung Hinweis, dass eine Umleitung erfolgt B EI SP IE L 11
Beispielanwendung (2) Umleitung Applet auf eid-server 12
Beispielanwendung (3) Anzeige des Berechtigungszertifikats 13
Beispielanwendung (4) Freigabe der persönlichen Daten 14
Beispielanwendung (5) Eingabe der persönlichen PIN 15
Beispielanwendung (6) Zertifikatantrag mit ausgelesenem Namen B EI SP IE L 16
Beispielanwendung (7) Warten auf Ausstellung des Zertifikats B EI S PI EL 17
Beispielanwendung (8) Abschluss des Vorgangs B EI S PI EL 18
Fazit 19
Fazit (1) Technische Sicht Schnelle Entwicklung einer Beispielanwendung möglich Sichere Übertragung der persönlichen Daten Technische Tauglichkeit für Identifizierung und Zertifizierung in der DFN-PKI Technische Bedenken Sicherheitsbedenken wg. Kartenleser ohne PIN-Pad Diese Kartenleser werden mit dem IT-Sicherheitskit des Bundes ausgeliefert 20
Fazit (2) Erkenntnisse Nächste Schritte eid ist eine interessante Ergänzung zur bisherigen Praxis Der DFN-Verein beobachtet Entwicklung aufmerksam Untersuchung der notwendigen Änderungen an der Policy der DFN-PKI Prüfung des Abstimmungsbedarfs mit Dritten Analyse, wie betriebliche Prozesse in der DFN-PKI angepasst werden können Technische Ansprechpartner: dfnpca@dfn-cert.de 21