Technische Richtlinie TR-03127
Technische Richtlinie TR-03127
Technische Richtlinie TR-03127
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
4.2 Authentisierungsterminal<br />
<strong>TR</strong>-<strong>03127</strong><br />
Ein Authentisierungsterminal ist berechtigt, auf die eID-Anwendung zuzugreifen. Dabei werden durch<br />
die in der Authentisierung vergebenen Rechte festgelegt, welche Daten/Funktionen freigegeben werden.<br />
Die Datenfelder werden in Abschnitt 3.2.2 aufgelistet. Zusätzlich kann einem Authentisierungsterminal<br />
das Recht zugeteilt werden, bestimmte Daten auf dem Chip (z.B. die aktuelle Adresse) zu ändern.<br />
Unterschieden wird zwischen hoheitlichen nationalen Authentisierungsterminals und nicht-hoheitlichen/ausländischen<br />
Authentisierungsterminals. Nicht-hoheitliche/ausländische Authentisierungsterminals<br />
benötigen i.A. die Eingabe der geheimen eID-PIN, um das Auslesen der Daten an das Einverständnis<br />
des Inhabers zu binden und gleichzeitig den Personalausweis an den Inhaber zu binden. Verwendet<br />
werden nicht-hoheitliche/ausländische Authentisierungsterminals z.B. für die Online-Authentisierung,<br />
siehe Abschnitt 4.5.<br />
Für hoheitliche nationale Authentisierungsterminals wird i.A. das Recht CAN allowed gesetzt, d.h. es<br />
kann die CAN als PACE-Passwort genutzt werden. Bei Verwendung der CAN ist keine Personenbindung<br />
möglich, d.h. die Personenbindung muss z.B. durch die Identifizierung des Inhabers über das<br />
Terminaltyp PACE-Passwort Mögliche Terminalrechte<br />
Inspektionssystem<br />
(hoheitlich national bzw.<br />
hoheitlich ausländisch)<br />
Authentisierungsterminal<br />
(hoheitlich national bzw.<br />
nicht-hoheitlich/ausländisch)<br />
Bestätigtes Signaturterminal<br />
Nicht authentisiertes<br />
Terminal<br />
Tabelle 4: Teminaltypen<br />
CAN;<br />
MRZ<br />
eID-PIN;<br />
CAN falls Recht<br />
CAN allowed<br />
nachgewiesen<br />
● Lesezugriff auf DG1 (MRZ), DG2 (Gesichtsbild)<br />
der Biometrieanwendung<br />
● Lesezugriff auf DG3 (Fingerabdrücke) der Biometrieanwendung<br />
und Daten der eID-Anwendung<br />
je nach nachgewiesenen Rechten<br />
Lese-/Schreibzugriff auf die Datengruppen der eID-Anwendung<br />
gemäß authentisierten Rechten<br />
Spezielle Rechte:<br />
● Erzeugung eines Signaturschlüsselpaares<br />
● eID-PIN setzen, eID-Anwendung An-/Ausschalten<br />
● Sektorspezifische Kennung (Pseudonym)<br />
● Altersverifikation<br />
● Wohnortabfrage<br />
CAN ● Erzeugung qualifizierter Signaturen mit zusätzlicher<br />
Eingabe der Signatur-PIN<br />
● Setzen einer neuen Signatur-PIN mit zusätzlicher<br />
Eingabe der alten Signatur-PIN<br />
eID-PIN ● Anlegen der Signatur-PIN<br />
● Terminieren des Schlüssels für qualifizierte Signaturen<br />
und der Signatur-PIN<br />
eID-PIN Setzen einer neuen eID-PIN<br />
PUK Zurücksetzen der Fehlbedienungszähler von eID-<br />
PIN/Signatur-PIN<br />
Bundesamt für Sicherheit in der Informationstechnik 19