SeGF 2015 | Security-Aspekte im eGovernment – BluePrint Security
SeGF 2014 | Das SSO-Portal des EJPD ermöglicht den sicheren Einsatz von mobilen Geräten in einem...
-
Upload
swiss-egovernment-forum -
Category
Business
-
view
660 -
download
12
Transcript of SeGF 2014 | Das SSO-Portal des EJPD ermöglicht den sicheren Einsatz von mobilen Geräten in einem...
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Die Mobile-ID
Das neue
Authentisierungsmittel
am SSO-Portal EJPD
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD Polizeifunk in einem Fahrzeug 1948
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Die Referenten:
3 Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Peter Andres, ISC-EJPD
Abteilungsleiter Technologie
Mitglied der Geschäftsleitung
Stephan Schweizer, AdNovum Informatik AG
Nevis Product Manager
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Agenda
4
Wer ist das ISC-EJPD – eine Kurzvorstellung
Der Use-Case: Die Polizei bei der täglichen Arbeit
Die Anforderungen und Rahmenbedingungen
Die Integration ins SSO-Portal EJPD
Roadmap
Live-Demo
Fragen
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Das ISC-EJPD (Informatik Service Center)
Kurzvorstellung
www.isc-ejpd.admin.ch
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
6
Unsere Tätigkeit
Als kompetenter Anbieter von hoch verfügbaren
Informationssystemen im sicherheitskritischen Umfeld
entwickeln und betreiben wir national und international
vernetzte, komplexe Fachanwendungen.
Der Schwerpunkt der von uns erstellten Fachanwen-
dungen liegt in den Bereichen „Polizei, Justiz und
Migration“.
Im Auftrag der Strafverfolgungsbehörden führen wir die
Überwachung des Post- und Fernmeldeverkehrs durch
und koordinieren die dazu notwendigen Aufgaben.
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
7
Unterstützte Kernaufgaben
Bereich Kernaufgaben
Polizei: - Fahndung (Personen-, Fahrzeug- und Sachfahndung)
- Kriminalpolizeiliche Ermittlung
- Nachrichtendienst
- Erkennungsdienst (Fingerabdrücke, DNA-Profile)
- Ausweiswesen
Justiz: - Registerführung (z.B. Straf-, Zivilstands-, Handelsregister)
- Spezifische Geschäftsverwaltung für die Justiz
Migration: - Asylwesen
- Visaerteilung
- Management der Einreise, Aufenthalt und Niederlassung von Ausländern
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
8
Unsere Endbenutzer und Partner
SSO-Portal
EJPD
· BK
· EDA
· EDI
· EJPD
· VBS
· EFD
· EVD
· UVEK
Kantone
· Kantonale Ämter
· Kantonspolizei
Gemeinden
Partner
· Nationale
· Internationale
Interpol
Schengen
Auslandvertretungen
· Botschaften
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
9
Die wichtigsten Kennzahlen
Kunden
Unterstützte Benutzer 36‘800
Davon innerhalb EJPD 2‘000
Personal
Interne Mitarbeitende 222
Lernende / Praktikanten 12
Externe Mitarbeitende ca. 95
Applikationen und Projekte
Unterstützte Anwendungen 146
Kundenprojekte 78
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
10
Referenz-Anwendungen
Anwendungen Benutzer Leistungsmerkmale
Single-Sign-On (SSO-Portal) 36‘800 Sicherheitsinfrastruktur
CH-Fahndungssystem (RIPOL) 27‘000 510‘000 Fälle
Migrationssystem (ZEMIS) 24‘000 6‘500‘000 Personen
Schengen-Fahndungssystem (SIS II) 15‘000 183‘000 Anfragen / Tag
Visumsausstellung (EVA) 4‘510 500‘000 Visa / Jahr
Strafregister (Vostra) 1‘500 570‘000 Personen
Standesregister (Infostar) 1‘300 1‘700‘000 Personen
Ausweisschriften (ISA) 1‘000 3‘000‘000 Ausweispapiere
Verarbeitungssystem Dienst ÜPF (ISS)
3‘000
9‘000 Überwachungs-
massnahmen
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
11
Für weiterführende Informationen stehen
wir Ihnen gerne zur Verfügung:
Informatik Service Center ISC-EJPD
Fellerstrasse 15
3003 Bern
Tel.: +41 (0)31 323 78 11
www.isc-ejpd.admin.ch
Das ISC-EJPD ist für Sie da!
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
12
Die Mobile-ID
Das neue
Authentisierungsmittel
am SSO-Portal
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
13
Police goes mobile
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
14
Anwendungsszenario: Polizist@work
Polizeifahrzeug
Anwendungs-
Server Kanton
SIS (Schengen Information System )
EJPD-Portal EJPD-Anwendungen
Polizist
Kantonale
Umsysteme
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Das Problem: Sicherheit versus Usability
15 Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
16
Warum eine neue Authentisierungsart?
Anforderung: Kantonale Polizeikorps möchten
mit iOS Geräten auf das SSO-Portal zugreifen.
Polizeikorps möchten keine zusätzlichen Geräte
verwenden.
Die Sicherheit sollte gleich hoch sein wie bei der
Verwendung von Client-Zertifikaten (SmartCard)
beim Zugriff auf besonders schützenswerte
Daten.
Die SmartCard-Anbindung an mobile Geräte
ist nur schwer und umständlich realisierbar.
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
17
Wir suchen eine (hoch)sichere mobile Lösung
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
18
SIM-Karte als Träger eines privaten und eines
öffentlichen Schlüssels (analog SmartCard)
Sicher – da starke kryptographische Verfahren
mit Zertifikaten angewendet werden (analog
SmartCard)
Unabhängig vom mobilen Gerät und vom
Betriebssystem des mobilen Geräts
Immer dabei – kein zusätzliches, umständliches
Gerät
Viele Anwendungsfälle (Authentisierung,
Signatur von Transaktionen)
Mobile-ID – Was ist die Idee?
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
19
iOS-Sicherheitsanalyse
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
20
Nur für iOS Geräte (iPhone / iPad)
Einsatz von Mobile Device Management
Zertifikate der Swisscom (1. Schritt) und der
AdminPKI (2. Schritt) werden akzeptiert.
Für die Freigabe des Zugriffs auf eine
Fachanwendung via Mobile-ID ist die
Zustimmung des jeweiligen Anwendungs-
verantwortlichen erforderlich.
Vorgaben der Bundesverwaltung sind
einzuhalten.
EJPD-Rahmenbedingungen
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
21
Anwendungsszenarios: Polizist@work
SSO-Portal EJPD
Service-Provider
EJPD-
Anwendungen
Anwendungs-
Server Kanton
Mobile Authentication
Service
Polizeifahrzeug
Mobile App
2 3
4 5
EJPD Identity Provider
1
7
6
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
22
Die Integration ins
EJPD SSO-Portal
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Benutzersicht, Schritt 1:
23
Login mit User ID und Passwort:
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Benutzersicht, Schritt 2:
24
TI-hdomx59y
Vergleich Transaktions-ID
und Eingabe PIN:
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Technische Sicht: Die Akteure
25 Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Integrationsansatz mit Nevis
Zentralisierung der Mobile-ID-Funktionalitäten innerhalb Nevis
Vorteil: Keine Anpassungen an den 146 Applikationen!
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
EJPD SSO-Portal Architektur-Details
Integration Mobile ID
Web-Service
Mobile ID Credential-
Verwaltung
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Schritt 1: Aktivierung bei Mobile-Provider
Voraussetzung: SIM-Karte muss für Mobile-ID-Service registriert sein.
Der Benutzer kann danach die gleiche SIM-Karte auch für die Authentisierung bei anderen Anbietern verwenden!
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Schritt 2a: Aktivierung im EJPD SSO-Portal
Voraussetzung: Benutzer ist bereits stark authentisiert.
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
30
Schritt 2b: Aktivierung im EJPD SSO-Portal
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Bestätigung der Mobile-Nummer durch Aktivierungscode
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
Credential-Verwaltung mit nevisIDM
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
32
Die Mobile-ID
Nächste Schritte
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
33
SIM-Karte mit integriertem Smartcard-Chip
Einfache Bedienung eines vertrauten Geräts
(ohne Zusatzgerät)
Verlust wird sofort bemerkt
ABER
Braucht GSM-Netz
Keine E-Mail-Verschlüsselung möglich
Ist nur bedingt kombinierbar (z.B. Batch)
Braucht ein Smartphone
Der Service ist kostenpflichtig (Swisscom)
Ist eine Ergänzung zur Smartcard
Vorteile: Einfach und sicher …aber
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
34
Q1 2013 – Spezifikationen (SSO-Portal)
Q1 2013 – Genehmigung auf Stufe Bund
Q3 2013 – Architektur-Durchstich
Q4 2013 – Proof of Concept Mobile ID
Authentication
Q1 2014 – Start Pilotbetrieb mit Kapo ZH
Q2 2014 – Pilotbetrieb Mobile ID
Authentication (max. 40 User, 3-4
weitere Korps [BE / GE, SG, AI],
gestaffelt)
Q1 2015 – Produktionsaufnahme Mobile ID
Authentication*
* Abhängig von Pilotbetrieb, noch keine Zusage des EJPD
Roadmap
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
35 Die Mobile-ID Die neue Authentisierung am SSO-Portals
Peter Andres
Die Mobile-ID
Funktion in der Praxis
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
36
Live-Demo mit dem SSO-Portal
SSO-Portal [IdP / SP] Applikation(en) 2
Mobile Authentication Service
[Swisscom]
Verschlüsselter und
signierter SMS-
Austausch 3G Network
3
4
5
1
HTTP over SSL
6
Authentication Service
[SSO-Portal]
Challenge (Text) Challenge (Text)
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
37 Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer Live-Demo
Eidgenössisches Justiz- und Polizeidepartement EJPD
Informatik Service Center ISC-EJPD
38
Fragen
Die Mobile-ID Neue Authentisierung am SSO-Portal EJPD
Peter Andres / Stephan Schweizer