Technische Richtlinie TR-03127

Weitere Magazine

Empfehlungen

Info

TR-03127 Ausweisbild erfolgen. Genutzt werden hoheitliche nationale Authentisierungsterminals z.B. für den Änderungsdienst in den Ausweisbehörden, vgl. Abschnitt 7. Bevor ein Authentisierungsterminal Daten liest, muss das Terminal überprüfen können, dass der Ausweis gültig ist (d.h. der Ausweis nicht abgelaufen ist) und der Ausweis nicht gesperrt ist, z.B. weil er als verloren/gestohlen gemeldet worden ist. Dazu dienen die Funktionen Abfrage der Dokumentgültigkeit und Lesen des Sperrmerkmals. Die genaue Umsetzung dieser Funktionen wird in [TR-03110] spezifiziert. 4.2.1 Abfrage der Dokumentengültigkeit Ein Dienstanbieter muss im Rahmen einer Authentisierung sicherstellen können, dass der Ausweis noch nicht abgelaufen ist. Dies kann prinzipiell durch das Auslesen des Ablaufdatums realisiert werden. Aus Gründen der Datensparsamkeit wird die Überprüfung der Dokumentengültigkeit aber durch eine Anfrage an den Ausweis durchgeführt, d.h. der Dienstanbieter sendet ein Testdatum (i.A. das aktuelle Datum) zum Ausweis und erhält als Antwort, ob zu diesem Zeitpunkt der Ausweis noch gültig ist. Dadurch ist ein Auslesen des Ablaufdatums nicht notwendig. Das Testdatum wird als Teil der Terminalauthentisierung übergeben, um ein gezieltes Eingrenzen des Ablaufdatums durch wiederholtes Anfragen mit verschiedenen Testdaten zu verhindern. 4.2.2 Lesen des Sperrmerkmals Der Personalausweis bietet die Möglichkeit der pseudonymen Authentisierung, d.h. der Ausweisinhaber kann sich gegenüber einem Dienstanbieter authentisieren, ohne persönliche Daten freizugeben. Insbesondere bildet der Ausweis für jeden Dienstanbieter ein anderes Pseudonym, so dass das Verbinden von Pseudonymen über Dienstanbietergrenzen hinweg nicht möglich ist (siehe auch Abschnitt 4.2.3.3). Auf der anderen Seite wird für den Eintrag in eine Sperrliste (z.B. für gestohlene Ausweise) eine Ausweiskennung bzw. ein Sperrmerkmal notwendig, um die Sperrliste abfragen zu können. Um zu verhindern, dass über das Sperrmerkmal die Pseudonymität aufgehoben wird, ist auch das Sperrmerkmal dienstanbieterspezifisch. Für die Abfrage der Sperrliste werden dem Dienstanbieter dienstanbieterspezifische Sperrlisten zur Verfügung gestellt (Abschnitt 5.3). Der Dienstanbieter kann nach erfolgreicher Authentisierung (PACE, Terminalauthentisierung, Chipauthentisierung) sein spezifisches Sperrmerkmal auslesen. Um sicherzustellen, dass jeder Dienstanbieter nur sein Sperrmerkmal auslesen kann, ist die Kennung des Dienstanbieters (Terminal Sector) Bestandteil des Zugriffszertifikats des Dienstanbieters, das vom Chip überprüft wird. 4.2.3 Spezielle Funktionen Neben dem Lesen personenbezogener Daten bietet die eID-Anwendung einige spezielle Funktionen, für die das Authentisierungsterminal spezielle über die Terminalauthentisierung nachgewiesene Zugriffsrechte benötigt. Die genaue Umsetzung dieser Funktionen wird in [TR-03110] spezifiziert. 4.2.3.1 Erzeugung eines Signaturschlüsselpaares Zur Installation der Signaturanwendung muss das Terminal das Recht Install Qualified Certificate nachweisen. Über dies Funktion kann der Ausweisinhaber mit Hilfe eines Zertifizierungsdiensteanbieters Schlüsselpaare für die Signaturanwendung erzeugen und entsprechende Zertifikate nachladen. Voraussetzung für die Erzeugung eines Schlüsselpaares für qualifizierte elektronische Signaturen ist das Setzen einer Signatur-PIN durch den Ausweisinhaber (Abschnitt 3.3.4). 20 Bundesamt für Sicherheit in der Informationstechnik
TR-03127 Der Zertifizierungsdiensteanbieter (ZDA) authentisiert sich gegenüber dem Ausweis als nicht-hoheitliches/ausländisches Authentisierungsterminal und stellt die Identität des Inhabers durch Auslesen geeigneter Datengruppen (entsprechend der authentisierten Leserechte) der eID-Anwendung fest. Anschließend wird durch den ZDA die Schlüsselerzeugung auf dem Chip gestartet, der so erzeugte öffentliche Schlüssel ausgelesen und ein qualifiziertes Zertifikat auf dem Chip gespeichert. Der genaue Ablauf ist in [TR-03117] definiert. 4.2.3.2 eID-PIN setzen, eID-Anwendung An-/Ausschalten Benötigt den Nachweis des Rechtes PIN Management durch das Terminal. Mit diese Funktion kann der Ausweisinhaber an einem Authentisierungsterminal eine neue eID-PIN setzen. Dies ist für den Fall gedacht, dass der Ausweisinhaber seine eID-PIN vergessen hat und somit nicht in der Lage ist, selbst mittels Eingabe der alten eID-PIN eine neue zu setzen, vgl. Abschnitt 3.3.3. Umgesetzt wird dies über den Änderungsdienst in den Meldebehörden, vgl. Abschnitt 7. Zusätzlich wird über dieses Recht das An- und Ausschalten der eID-Anwendung im Änderungsdienst der Ausweisbehörde (Abschnitt 7) realisiert. Abgeschaltet wird hierbei nur die Benutzung der eID-Anwendung mit der eID-PIN als Passwort, d.h. Authentisierungsterminals ohne Recht CAN allowed können nicht mehr auf die eID-Anwendung zugreifen. Inspektionssysteme und Authentisierungsterminals mit Recht CAN allowed können weiterhin auf die eID-Anwendung zugreifen. 4.2.3.3 Sektorspezifische Kennung (Pseudonym) Zur Pseudonymerzeugung muss durch das Terminal das Recht Restricted Identification nachgewiesen werden. Vom elektronischen Personalausweis wird die Erzeugung einer sektorspezifischen Kennung (Pseudonym) angeboten. Dazu wird dem Ausweis mit dem Zertifikat des Dienstanbieters eine eindeutige Kennung des Anbieters (Terminal Sector) übermittelt. Aus dieser Kennung und einem auf dem Chip gespeicherten Geheimnis erzeugt der Chip ein Pseudonym, das der Dienstanbieter zur zukünftigen Identifizierung der Karte nutzen kann. Das Pseudonym wird so erzeugt, dass aus dem Pseudonym für einen Sektor (Dienstanbieter) nicht auf das Pseudonym geschlossen werden kann, das für einen anderen Sektor erzeugt wird. 4.2.3.4 Altersverifikation Benötigt den Nachweis des Rechtes Age Verification durch das Terminal. Ein wichtiger Anwendungsfall für die eID-Anwendung ist die sichere Altersverifikation eines Ausweisinhabers. Um die Freigabe des Geburtsdatums zu vermeiden, wird sie nicht über einen Zugriff auf das Geburtsdatum realisiert, sondern mittels einer „Anfrage” an den elektronischen Personalausweis, ob der Inhaber vor einem bestimmten Geburtsdatum geboren ist. Das Testdatum wird als Teil der Terminalauthentisierung übergeben und vom Chip verifiziert, um ein gezieltes Eingrenzen des Alters des Inhabers durch wiederholtes Anfragen mit verschiedenen Testdaten zu verhindern. 4.2.3.5 Wohnortabfrage Zur Wohnortabfrage benötigt das Terminal das Recht Community ID Verification. Um lokalisierte Dienste zu ermöglichen, bietet die eID-Anwendung analog zur Altersverifikation die Verifikation eines bestimmten Wohnortes. Genutzt wird für diese Überprüfung der amtliche Gemeindeschlüssel des Wohnortes, der während der Personalisierung auf dem Ausweis gespeichert wird und im Falle einer Adressänderung ebenso wie die Adresse elektronisch aktualisiert wird (Abschnitt 7). Der amtliche Gemeindeschlüssel enthält Angaben über das Bundesland, den Regierungsbezirk, die Stadt bzw. den Kreis und die Gemeinde. Die Wohnortabfrage ermöglicht neben einer Anfrage auf einen bestimmten Wohnort (Gemeinde) auch eine Anfrage entsprechend der anderen Gliederungsebenen Bundesamt für Sicherheit in der Informationstechnik 21
Seite 1 und 2: Technische Richtlinie TR-03127 Arch
Seite 3 und 4: Inhaltsverzeichnis TR-03127 1. Einl
Seite 5 und 6: 1. Einleitung TR-03127 In den neuen
Seite 7 und 8: 2.5 Datenübertragung TR-03127 Die
Seite 9 und 10: 3.1.1 PACE TR-03127 Das PACE-Protok
Seite 11 und 12: TR-03127 sierte Inspektionsterminal
Seite 13 und 14: TR-03127 Die Datengruppen der eID-A
Seite 15 und 16: TR-03127 Um eine Identifizierung de
Seite 17 und 18: 3.3.4 Signatur-PIN TR-03127 Für di
Seite 19: 4.2 Authentisierungsterminal TR-031
Seite 23 und 24: 4.5 Online-Authentisierung TR-03127
Seite 25 und 26: 5. Hintergrundsysteme 5.1 Dokumente
Seite 27 und 28: 5.2.2 Zeitaktualisierungs-Dienst TR
Seite 29 und 30: TR-03127 3. Die Berechtigungs-CAs r
Seite 31 und 32: 6.4 Informationsangebot für den Au
Seite 33 und 34: Anhang A Zertifizierungen TR-03127
Seite 35 und 36: TR-03127 • Sperrkennwort: Wie im
Seite 37: TR-03127 [TR-03132] BSI: Technische

Technische Richtlinie TR-03127

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?