Technische Richtlinie TR-03127

Weitere Magazine

Empfehlungen

Info

TR-03127 ein angenähertes aktuelles Datum, das dieser aus den Ausstellungsdaten bestimmter vorgelegter Zertifikate ableitet. Berücksichtigt werden hier ● CVCA- und DV-Zertifikate ● Terminalzertifikate von hoheitlichen nationalen Inspektionssystemen und hoheitlichen nationalen Authentisierungsterminals. Grundlage für die Berechtigungs-PKI ist das PKI-Konzept [TR-03128]. Auf Basis dieses Konzepts erstellen die verschiedenen CA-Betreiber dieser PKI ihre Umsetzungskonzepte und Certificate Policies, wobei die Policies der jeweils übergeordneten CAs beachtet werden müssen. Die Protokolle zur Kommunikation der Instanzen der Berechtigung-PKI untereinander werden in [TR-03129] spezifiziert. 5.2.1 Zertifikatsvergabe für eBusiness/eGovernment Die Zugriffszertifikate für nicht-hoheitliche/ausländische Authentisierungsterminals (d.h. für die Verwendung in eBusiness und eGovernment) werden durch Berechtigungs-CAs vergeben. Voraussetzung ist hierfür die Erteilung einer Erlaubnis durch die Vergabestelle für Berechtigungszertifikate (VfB). Ein Dienstanbieter, der die eID-Anwendung des elektronischen Personalausweises für seine Geschäftsprozesse nutzen möchte, wendet sich an den VfB, um eine Erlaubnis zu erhalten. Dazu muss er folgende Unterlagen vorlegen: ● Angaben über die auszulesenden Daten mit Begründung der Notwendigkeit; ● Angaben über die Verwendung der ausgelesenen Daten (Datenschutzerklärung); ● weitere nach Personalausweisgesetz und der zugehörigen Verordnung vorgeschriebene Angaben. Weiter muss der Dienstanbieter ein Sicherheitskonzept vorlegen, in dem dargestellt wird, dass ● der private Schlüssel des Zugriffszertifikats sicher verwahrt wird; ● Schlüsselmaterial für die Kommunikation mit der VfB sicher verwahrt wird; ● aus Ausweisen ausgelesene dokumenten- und personenbezogene Daten vor unberechtigtem Zugriff geschützt sind. Das Sicherheitskonzept orientiert sich an der Systematik des IT-Grundschutzes ([BSI 100-2], [BSI 100-3]), Basis ist das Sicherheitsrahmenkonzept [SiKo]. Sind die Unterlagen vollständig und ausreichend, erhält der Dienstanbieter die Erlaubnis, sich für einen begrenzten Zeitraum (maximal drei Jahre) Zugriffszertifikate bei einer Berechtigungs-CA seiner Wahl ausstellen zu lassen. Durch das Zugriffszertifikat werden zusätzlich zu den üblichen Angaben in Zertifikaten der Berechtigungs-PKI (wie z.B. Terminaltyp, Zugriffsrechte, Gültigkeitszeitraum) durch Certificate Extensions weitere Angaben zertifiziert: ● der Terminal Sector des Dienstanbieters für die sektorspezifische Kennung (Abschnitt 4.2.3.3) und das Sperrmerkmal (Abschnitt 4.2.2); ● die Certificate Description mit Angaben, die dem Benutzer bei einer Online-Authentisierung (Abschnitt 4.5) angezeigt werden, mindestens sind dies: ● Name des Dienstanbieters (subjectName); ● Name der ausstellenden Berechtigungs-CA (issuerName); ● Anschrift und Email-Adresse des Dienstanbieters, Zweck der Anfrage des Dienstanbieters und die zuständige Datenschutzbehörde (termsOfUsage). Die genauen technischen und organisatorischen Abläufe werden in den Certificate Policies (CP) der Berechtigungs-CAs festgelegt, die diese basierend auf dem PKI-Konzept des BSI [TR-03128] und der Certificate Policy [CP-CVCA] der Wurzel-Instanz der Berechtigungs-PKI erstellen, die Kommunikationsprotokolle werden in [TR-03129] festgelegt. 26 Bundesamt für Sicherheit in der Informationstechnik
5.2.2 Zeitaktualisierungs-Dienst TR-03127 Da der Chip des Ausweises keine Uhr enthält, nähert er das aktuelle Datum durch das jeweils neueste Ausstellungsdatum der Zertifikate an, die ihm während der Terminalauthentisierung vorgelegt werden. Dabei werden nur hoheitlich ausgestellte Zertifikate berücksichtigt, d.h. CVCA-Zertifikate, DV-Zertifikate sowie Zertifikate für die Terminaltypen hoheitliches nationales Inspektionssystem und hoheitliches nationales Authentisierungsterminal (vgl. Abschnitt 4). Um dem Ausweisinhaber die Möglichkeit zu geben, das angenäherte Datum seines Ausweises zu aktualisieren, kann er das Datum über ein online zur Verfügung gestelltes tagesaktuelles Zertifikat vom Typ hoheitliches nationales Authentisierungsterminal aktualisieren. Um das angenäherte Datum zu aktualisieren, ist die Durchführung der Terminalauthentisierung nicht notwendig, das Übermitteln der Zertifikatskette an den Chip ist ausreichend. Da die Terminalauthentisierung nicht durchgeführt wird, werden auch keine Zugriffsrechte vergeben. 5.3 Ausweis-Sperrlisten Verschiedene Funktionen des elektronischen Personalausweises können über verschiedene Methoden gesperrt werden: ● An-/Ausschalten der eID-Anwendung für Authentisierungsterminals ohne Recht CAN allowed auf dem Ausweis über den Änderungsdienst (Abschnitte 4.2.3.2 und 7); ● Sperre der eID-PIN durch dreimalige Falscheingabe der eID-PIN (Abschnitt 3.3.3); ● Meldung des Ausweises als verloren bzw. gestohlen (vgl. Abbildung 2): Abbildung 3: Sperrlisten Bundesamt für Sicherheit in der Informationstechnik 27
Seite 1 und 2: Technische Richtlinie TR-03127 Arch
Seite 3 und 4: Inhaltsverzeichnis TR-03127 1. Einl
Seite 5 und 6: 1. Einleitung TR-03127 In den neuen
Seite 7 und 8: 2.5 Datenübertragung TR-03127 Die
Seite 9 und 10: 3.1.1 PACE TR-03127 Das PACE-Protok
Seite 11 und 12: TR-03127 sierte Inspektionsterminal
Seite 13 und 14: TR-03127 Die Datengruppen der eID-A
Seite 15 und 16: TR-03127 Um eine Identifizierung de
Seite 17 und 18: 3.3.4 Signatur-PIN TR-03127 Für di
Seite 19 und 20: 4.2 Authentisierungsterminal TR-031
Seite 21 und 22: TR-03127 Der Zertifizierungsdienste
Seite 23 und 24: 4.5 Online-Authentisierung TR-03127
Seite 25: 5. Hintergrundsysteme 5.1 Dokumente
Seite 29 und 30: TR-03127 3. Die Berechtigungs-CAs r
Seite 31 und 32: 6.4 Informationsangebot für den Au
Seite 33 und 34: Anhang A Zertifizierungen TR-03127
Seite 35 und 36: TR-03127 • Sperrkennwort: Wie im
Seite 37: TR-03127 [TR-03132] BSI: Technische

Technische Richtlinie TR-03127

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?