Technische Richtlinie TR-03127
Technische Richtlinie TR-03127
Technische Richtlinie TR-03127
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>TR</strong>-<strong>03127</strong><br />
● Name, Anschrift und Email-Adresse des Dienstanbieters;<br />
● Erwünschte Zugriffsrechte;<br />
● Zweck der Datenübermittlung;<br />
● Hinweis auf die für den Dienstanbieter zuständige Datenschutzbehörde;<br />
● Gültigkeitszeitraum des Zertifikates<br />
Werden für spezielle Funktionen Authenticated Auxiliary Data übertragen (Abfragedatum für Altersverifikation,<br />
Gemeindeschlüssel für Wohnortabfrage), so müssen auch diese angezeigt werden.<br />
Der Benutzer hat die Möglichkeit, die vom Dienstanbieter durch das Zertifikat erbetenen Zugriffsrechte<br />
weiter einzuschränken. Die eingeschränkten Rechte werden als Bestandteil des nachfolgenden<br />
PACE-Protokolls an den Chip übertragen.<br />
Da PACE einen sicheren Kanal zwischen Chip und lokalem Terminal aufbaut, wird die Kommunikation<br />
zwischen Dienstanbieter und Chip in den nachfolgenden Authentisierungsschritten (Terminalauthentisierung,<br />
Passive Authentisierung, Chipauthentisierung) durch das lokale Terminal verschlüsselt<br />
und integritätsgesichert bzw. die Antworten des Chips entschlüsselt und auf Integrität geprüft. Als Bestandteil<br />
der Chipauthentisierung wird ein durchgehender gesicherter Kanal zwischen Chip und<br />
Dienstanbieter aufgebaut, so dass das lokale Terminal ab jetzt die Kommandos und die Antworten nur<br />
noch unverändert weiterreicht.<br />
Zur Umsetzung der Online-Authentisierung (vgl. Abbildung 2) empfiehlt das BSI die Verwendung<br />
von zertifizierten Komponenten:<br />
● Kartenleser gemäß [<strong>TR</strong>-03119];<br />
Lokale Software (Bürgerclient) gemäß [<strong>TR</strong>-03112];<br />
● Komponente (eID-Server) auf Seiten des Dienstanbieters für die Kommunikation mit dem<br />
Bürgerclient und der Berechtigungs-PKI (Abschnitt 5.2) gemäß [<strong>TR</strong>-03130].<br />
Zur Zertifizierung der Komponenten siehe auch Anhang A.<br />
24 Bundesamt für Sicherheit in der Informationstechnik