eCard-API Framework in Deutschland und Europa · November 2008 Folie 4 ... eine europaweite eID...
-
Upload
truongdiep -
Category
Documents
-
view
218 -
download
0
Transcript of eCard-API Framework in Deutschland und Europa · November 2008 Folie 4 ... eine europaweite eID...
Bernd Kowalski
Bundesamt für Sicherheit in der Informationstechnik (BSI)Gemeinsames Kolloquium des BSI und der PTB
12. November 2008 - Braunschweig
eCard Strategie der Bundesregierung elektronischer Personalausweis (ePA) eCard-API Framework europäische Perspektive: eID Large Scale Pilot (LSP)
eCard-API Frameworkin Deutschland und Europa
Bernd Kowalski 12. November 2008 Folie 2
eCard-Strategie der Bundesregierung
ePass ePAeAT
eGKHBA
ELENA (Jobcard) ELSTER
EG-Verordnung(Januar 2005) Kabinettbeschluss (März 2005)
• Biometrie • Biometrie• el. ID-Nachweis• optional Signatur
• el. ID-Nachweis• optional Signatur • Signatur
• el. ID-Nachweis• optional Signatur
eCard-Projekte des Bundes
Bernd Kowalski 12. November 2008 Folie 3
Interoperable Sicherheitsfunktionen Signatur und Authentisierung für alle Chipkarten, alle Anwendungen und alle Marktteilnehmer.
Die Karten-emittierenden Projekte statten ihre Karten mit einer optional aktivierbaren Qualifizierten Signatur (QS) aus.
Alle eGovernment-Anwendungen akzeptieren für die QS die einheitlichen Standards des Signaturbündnisses bzw. der eCard-Strategie.
Herstellung und Bereitstellung interoperabler Karten und Zertifikate (Trust Center) sind Aufgabe der Privatwirtschaft.
eCard-Strategie der BundesregierungWas ist die „eCard-Strategie” ?
Ziele der BundesregierungEckpunkte des Kabinettsbeschlusses vom 9.03.2005 - Auszug -
Bernd Kowalski 12. November 2008 Folie 4
Anforderungen aus eCard-Projekten
Unterstützung der Funktionalität von eGK, HBA und SMC (u.a. CVC, Kartenapplikationsmanagement, Activate Record, Speicherfunktionalität, Logische Kanäle,QES-Aktivierung im Feld, SICCT-Leser)
Unterstützung der Funktionalität des ePass und ePA (u.a. BAC, EAC, PACE, EC-Crypto, auch ISO14443)
Unterstützung beliebiger Signaturkarten (für ELSTER und eLena)
Unterstützung von High-Level-PKI- und Signaturfunktionen
Sicherheit und Evaluierbarkeit
Plattformunabhängigkeit (Java, C, C++, C# auf diversen OS)
Skalierbarkeit (vom Einplatzsystem bis hin zur verteilten Serverumgebung)
Internationale Perspektive: kompatibel zu ISO und Microsoft (CardSpace/MiniTreiber)
eCard-Strategie der BundesregierungTechnische Anforderungen
Bernd Kowalski 12. November 2008 Folie 5
Technische Abstimmung u.a. mit
gematik / BMG
ELSTER
ELENA
Standardisierung
DIN
CEN
ISO
Nutzung der Schnittstelle für eigene Produkte
eCard-Strategie der BundesregierungUnterstützung der eCard-API
Bernd Kowalski 12. November 2008 Folie 6
Hoheitliche- und „eID“-Funktionen:
ePA
Bernd Kowalski 12. November 2008 Folie 7
ePA
Gegenseitiger Identitätsnachweis – Beide Seiten weisen sich aus !
Bernd Kowalski 12. November 2008 Folie 8
MarkteinführungZeitplan
3. Phase: Wirkbetrieb 20 % +
(2012)
2. Phase: Wirkbetrieb Anlauf
1.11.2010
1. Phase: Pilotierung 2008 bis 2010
Elektronischer Personalausweis
ePA
Bernd Kowalski 12. November 2008 Folie 9
ePA - Infrastrukturkomponenten
ePA
Bernd Kowalski 12. November 2008 Folie 10
Service-Access-Layer
Identity -Layer
Terminal-Layer
Application -Layer
eCard-Interface
GRTool, Border
Control ...
eHealth-Application
ePA-Application JobCard ELSTER ...
ISO24727-3-Interface
ePassport CardInfo
ePA CardInfo
eGK/HBA CardInfo
ePassportConvenience
Support Services
Support-Interface
Generic Card Services
...
Management Services
Mgmt-Interface
Encryption Services
Signature ServicesIdentity Services
IFD-Interface
SCARD-InterfacePC/SC 2.0 IFD-
HandlerIFD-
HandlerIFD
SICCT
CT-API-Interface
MKT, B1 etc.
SICCT-Interface
ePAConvenience
eHealthConvenience
JobCardConvenience
eID
Manage-ment
ManagementConvenience
ELSTERConvenience ...
eCard-API-Framework
Bernd Kowalski 12. November 2008 Folie 11
BürgerClient und eID-Server für den ePA
Service Access Layer
High Security Module(HSM), etc.
Application Layer
Identity Layer
Service Access Layer
Terminal Layer
GeschäftslogikBrowser
Terminal Layer
Identity Layer
ePA
Leser
Bürger Diensteanbieter
Application Layerhttps
Sichere Verbindung
eID - ServerBürgerClient
eCard-API-Framework
Bernd Kowalski 12. November 2008 Folie 12
Sicherheitsumgebung des eID-ServereID-Server
…
Secure Gateway (IP-VPN)
Admin &Workflow
Mehrere MandantenSichere VerbindungSichere Administration
SecureCVCs,
KeyStore
SecureeID-RLs
eCard-API-Framework
Sichere Verbindung
http (Web)
Update eID-Sperrlisten (eID-RL),Berechtigungszertifikate (CVC)
LANWeb
Application Layer
VPN
BürgerClient
Vergabestellefür Berechtigungs-
zertifikate (VfB)
Nationale Zertifikatsdienste-
anbieter (ZDA)
GeschäftslogikDienste-anbieter
Sichere UmgebungSichere Speicherung
High Security Module(HSM), etc.
eCard-API-Framework
Bernd Kowalski 12. November 2008 Folie 13
Europäische Perspektive:eID Large Scale Pilot
EU-Rahmenprogramm für Wettbewerbsfähigkeit und Innovation (CIP) Unterprogramm: IKT-Förderprogramm (ICT PSP)
eID LSP (Pilot Type A) bündelt nationale eID-Initiativen
Übergreifendes Ziel: eine europaweite eID Infrastruktur (pan-european eID management (eIDM) backbone)
Strategische Ziele des eID LSP
Beschleunigung der Entwicklung von eID für öffentliche Behördendienste
Koordinierung von nationalen und europäischen Initiativen
Test von sicheren und bedienungsfreundlichen eID-Lösungen
Aufbau von europäisch interoperablen, nationalen Piloten
Bernd Kowalski 12. November 2008 Folie 14
Middleware-Ansatz
Card and Reader drivers
(middleware)
eService 1
eService 2
eService 3
Preliminary agreement
Consumer’s technical and functional commitments
Provider’s technical and functional policies
End-user MS.A CVCAPrimary Trust Area Secondary Trust Area
auth
oris
atio
n
eService 3
eService 3
eService 3
Service Consumer
Service Provider
1
2
3
5
7
4
6
MSBMSA
MSAMS.B CVCA
Cross Certification
Bernd Kowalski 12. November 2008 Folie 15
WP6.1 Cross-Border Authentication Platform for Electronic Services
Arbeitspakete unter
deutscher Leitung:
6.1.1 eID tokens and e-services to be used
Auswahl geeigneter eID Token und e-Services
Definition von Vertrauenswürdigkeitsstufen (trust levels)
6.1.5 Implementation of Service-bw for Europe applications
Anbindung des Service-bw durch zu Beginn des Projektes festzulegende Anwendungen
Weitere EU-Partner mit Portallösungen im WP6:
Belgien (6.1.3), UK (6.1.4), Estland (6.1.6) und Österreich (6.1.7)
Inventory PhaseArchitecture
Phase Implementation Phase
WP1
WP7
WP2
WP3WP4
WP5
WP6
Zeit
Bernd Kowalski 12. November 2008 Folie 16
Application
Internet
eID Server(eCard-API)
Bürgerclient(eCard-API)
Application
Internet
MOA-ID(server MW)
Bürgerkartenumg.(client MW)
Austria(middleware model)
Germany(middleware model)
other European middleware
other European proxy (PEPS)
STORK interoperability layer
Erster Schritt in Richtung Interoperabilität
Bernd Kowalski 12. November 2008 Folie 17
Kontakt
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Bernd KowalskiGodesberger Allee 185 - 18953175 Bonn
Tel: 0228-99-9582-5700Fax: 0228-99-10-9582-5700