Seminar  - Mobile Business Datum  2009/10

Elektronische  Ausweisdokumente zur Absicherung des Datenzugriffs mit mobilen Computern Thema Nr. 12, Carsten Dickhut  

Inhaltsverzeichnis   

1  ELEKTRONISCHE AUSWEISDOKUMENTE ZUR ABSICHERUNG DES  

DATENZUGRIFFS  MIT MOBILEN COMPUTERN.  3

1.1  EINLEITUNG  4

1.1.1  Erforderliche Infrastruktur für elektronische Ausweisdokumente  6

1.2  BEREITS VERWENDETE ELEKTRONISCHE AUSWEISDOKUMENTE  7

1.2.1  BELPIC  7

1.2.2  e-Card-Strategie der Bundesregierung Deutschland  8

1.2.3  eGK - elektronische Gesundheitskarte.  8

1.2.4  Elektronischer Reisepass (ePass)  10

1.3  ELEKTRONISCHER PERSONALAUSWEIS IN DEUTSCHLAND (EPA)  11

1.3.1  eID-Funktion  13

1.3.2  Qualifizierte Signatur.  14

1.3.3  Sicherheit des ePA  14

1.3.4  PKI und ePA  18

1.3.5  Anwendungsszenario des ePA zur Absicherung des ( ) Datenzugriffs  21

1.4  RFID UND NFC  22

1.4.1  RFID  22

1.4.2  NFC  23

1.5  AUSBLICK UND ALTERNATIVEN ZU ELEKTRONISCHEN AUSWEISEN IN KARTENFORM  27

1.6  FAZIT UND BEWERTUNG.  28

1.7  LITERATURVERZEICHNIS.  30

1.8  ABBILDUNGSVERZEICHNIS:  33

Seite  2 von  33

1 Elektronische Ausweisdokumente zur Absicherung des Daten-

vonCarsten Dickhut

Zusammenfassung

Dem wachsenden Bedarf nach sicherer und einfacher Absicherung des Datenzugriffs in großen Netzwerken kann zu großen Teilen durch die Benutzeridentifikation mittels elektronischer Ausweisdokumente nachgekommen werden. Schwerpunktmäßig geht es in dieser Arbeit um den elektronischen Personalausweis (ePA), der die erforderliche Funktionalität bereit stellen kann. Er wird ab November 2010 in Deutschland eingeführt, jedoch bleibt die Frage nach der Akzeptanz dieser Technik durch den Bundesbürger als Anwender. Als Smartcard mit drahtloser NFC-Schnittstelle bietet der ePA mehr Funktionalitäten als der bisher bekannte Personalausweis; neben der schon üblichen Sichtkontrolle ermöglicht er optional zweitens auch die eID-Funktion zur Identifikation in Online-Anwendungen und stellt drittens optional die Funktion der qualifizierten Signatur für den elektronischen verbindlichen Rechtsverkehr bereit.

Die beiden letztgenannten Funktionen stellen hohe Anforderungen an die Sicherheit aus Sicht der Informationstechnologie, die neben neuartigen Protokollen wie PACE auch komplexe Public-Key-Infrastrukturen (PKI) speziell für den elektronischen Personalausweis entwickelt hat. Die den drahtlos auslesbaren elektronischen Ausweisen zu Grunde liegende Technologie der Near-Field-Communication (NFC) ist eine Unterart der RFID-Technologie und erschließt in Kombination mit Smartphones weite Anwendungsfelder, so dass der Ansatz der Verwendung elektronischer Ausweisdokumente in Kartenform für die Absicherung des Datenzugriffs noch vor ihrer Einführung in Deutschland überholt sein könnte.

Seite 3 von 33

1.1 Einleitung

Der moderne Mensch muss sich im täglichen Leben unserer heutigen Zeit häufig gegenüber computerbasierten Diensten identifizieren. Gerade durch die Etablierung des Internet ist dieser Vorgang in digitaler Form alltäglich geworden. Dabei ist es hinreichend unbequem, sich eine ständig wachsende Zahl von Kombinationen aus Benutzernamen und Passwort zu merken. Obendrein ist diese weit verbreitete Methode der Identifizierung nicht besonders sicher, da es einige mögliche Schwachstellen dieses Systems gibt: So können Benutzername und/oder Passwort relativ leicht ausgespäht werden, sie könnten als meistens verwendete relativ leichte Passwörter im Rahmen eines Brute-Force-Angriffs in großer Zahl ausprobiert und so gefunden werden, sie könnten durch Unachtsamkeit des Benutzers bekannt werden und so weiter. Für besonders sicherheitsrelevante Anwendungen wie zum Beispiel der hoheitlichen Identifizierung kann dieses Verfahren also nicht eingesetzt werden.

Es besteht deshalb Bedarf für eine bessere Lösung, am besten mit einer von den Nutzern akzeptierten und weit verbreiteten Technologie. Eine solche zu finden ist möglich, wenn man der Geschichte der Ausweisdokumente folgt. Ausweise wandelten sich in erheblicher Form und waren selten auf dem möglichen Stand der Technik,

denn ein Ausweistyp wird in der Regel in großer Anzahl für viele Nutzer hergestellt, muss lange haltbar und robust gegenüber Umwelteinflüssen sein. Riskante technische Experimente sind hier also fehl am Platz, dennoch muss ein Ausweis natürlich den Ansprüchen der sich wandelnden Technologie im täglichen Leben genügen. So wurden Passfotos in den 1920er Jahren zum Standard (ein halbes Jahrhundert nach der Erfindung der Fotografie) und in den 1980er Jahren wurden Ausweise erstmals mit Plastik ummantelt (obwohl Plastik schon länger bekannt war).

Die Integration eines Mikrochips - als Datenspeicher oder gar als Kleinstrechner - in die allgemein gebräuchlichen Ausweisdokumente ist damit nur folgerichtig, denn die Technologie ist vorhanden und bietet offensichtliche Vorteile: Ein Chip kann deutlich mehr Daten speichern als ein Papierdokument, er kann das (unberechtigte) Auslesen verhindern und damit die Fälschungssicherheit erhöhen und er eröffnet nicht zuletzt ein breites Feld an weiteren, bisher mit einem Ausweis unmöglichen Anwendungsgebieten: Zum Beispiel wird das bargeldlose Bezahlen und das Geldabheben am Automaten leichter, oder man kann mit einem solchen Dokument digitale Signaturen erzeugen. Und er ist natürlich für alle Online-Anwendungen interessant, bei denen sichergestellt werden soll, dass auch wirklich ein bestimmter Nutzer vor dem Endgerät sitzt.

Damit wird der Ausweis, dessen ursprüngliche Merkmale ausschließlich der reinen visuellen Kontrolle der Identität dienten, zum Multifunktionsgegenstand, der im tägli-

Seite4 von 33

Inhabers belegt und diesem (optional) bestimmte Rechte bescheinigt“ definiert wer-

den [Schm09a; S.9]. Auf den Begriff „Ausweis“ soll nicht weiter eingegangen werden, da Ausweise gemeinhin bekannt und definiert sind. Ein Ausweis sollte bestimmte Sicherheitsmerkmale zur Verhinderung der Fälschung und Fremdnutzung aufweisen, neben den bisher etablierten Sicherheitsmerkmalen der bekannten Ausweise muss ein elektronischer Ausweis durch Kryptographie gesichert sein. Elektronische Ausweisdokumente können bei der Anwendung mit mobilen Computern als Spezial-form von Krypto-Hardware-Tokens eingeordnet werden, da sie ähnliche Eigenschaften aufweisen: Sie sind maschinell auslesbare, einmalige, gegen Vervielfältigung und Manipulation gesicherte Datenträger oder Kleinstrechner, deren unmittelbarer Besitz sowie ein bestimmtes Wissen (z.B. PIN) für eine Anwendung erforderlich ist.

Im Rahmen dieser Arbeit soll - mit Schwerpunkt auf dem elektronischen Personalausweis in Deutschland - untersucht werden, wie elektronische Ausweisdokumente für die sichere Identifikation eines Nutzers in der Arbeit mit mobilen Computern verwendet werden können. Der Schwerpunkt liegt dabei auf der Sicherheitstechnik der Dokumente, da sie die zentrale Problematik der elektronischen Ausweise darstellt.

Abschließend soll auf die zugrunde liegenden Technologien eingegangen werden und ein kurzer Ausblick über Anwendungsszenarien und Bewertung elektronischer Ausweisdokumente gegeben werden.

Die Anwendungsgebiete elektronischer Ausweisdokumente im Zusammenhang mit der Absicherung mobiler Computer sind vielfältig und umfangreich - denn es lässt sich prinzipiell jede elektronische Anwendung, bei der eine Identifikation einer oder mehrerer Parteien erforderlich ist, mit einem elektronischen Ausweisdokument reali-

auch auf bereits existierende Produkte zu Absicherung des mobilen Datenzugriffs eingegangen werden oder es könnten spezielle Anwendungsszenarien behandelt werden, was jedoch nicht Teil dieser Arbeit sein soll.

Ein typischer Anwendungsfall wäre zum Beispiel die Zugriffsregelung auf sensitive Daten einer zentralen Datenbank über einen mobilen Computer wie zum Beispiel ein Notebook. Der mobile Nutzer müsste sich dazu bei seinem mit einem speziellen Lesegerät ausgestatteten Notebook authentifizieren, was mittels elektronischer Ausweisdokumente wie dem elektronischen Personalausweis geschehen könnte. Interessant in diesem Zusammenhäng wäre auch eine standortabhängige Zugriffsregelung auf Datengruppen verschiedener Sicherheitsstufen oder der Vergleich mit anderen Krypto-Hardware-Sicherheitstechnologien, was jedoch nicht Teil dieser Arbeit sein soll. Prinzipiell lässt sich mit einem elektronischen Ausweisdokument wie dem elektronischen Personalausweis jede Anwendung realisieren, die bisher über spezielle To-

Seite 5 von 33

kens (z.B. USB-Tokens ¹ ) realisiert wurde. Die Technik lässt sich also überall dort einsetzen, wo ein Benutzer sicher identifiziert werden muss und wo die entsprechenden technischen Voraussetzungen vorhanden sind. Interessanter als die Ausprägung dieser vielen Anwendungsmöglichkeiten ist daher die Beschreibung der zu Grunde liegenden Technik RFID und NFC sowie die Sicherheitsmerkmale eines in Zukunft weit verbreiteten Sicherheitsdokuments, des elektronischen Personalausweises, kurz ePA.

Nicht verschwiegen werden soll auch die Herausforderung der Quellensuche für eine Arbeit über Sicherheitstechnologien wie zum Beispiel elektronischen Ausweisdokumenten, denn den beteiligten Institutionen ist nicht daran gelegen, dass über (zumal noch nicht eingeführte) Sicherheitsdokumente und deren Funktionsweise zu viel bekannt wird. Vergleiche hierzu auch [Ecke09] mit der Bemerkung, dass das BSI ² nur einige Informationen auf seiner Website (www.bsi.bund.de) bekannt gibt.

1.1.1 Erforderliche Infrastruktur für elektronische Ausweisdokumente

Der elektronische Ausweis ist nur ein kleiner Teil einer großen Infrastruktur, ohne die er selbst (bis auf die auf seiner Oberfläche optisch sichtbaren Merkmale) wertlos wäre. Er benötigt also ein Hintergrundsystem, das man in die Ausweisinfrastruktur (zur sicheren Identifizierung des Inhabers) und die Anwendungsinfrastruktur (zur Erschließung weiterer Optionen jenseits des traditionellen Anwendungsgebietes) unterteilt [Schm09a; S.74]. Um zu klären, wie solche Ausweisdokumente zur Absicherung

dungsinfrastruktur.

Als wesentlicher Bestandteil dieser Infrastruktur können hier zunächst die Lesegeräte genannt werden, die zum Prüfen des Ausweises erforderlich sind. Diese Geräte müssen an allen Orten, an denen der Ausweis ausgelesen werden soll, installiert sein. Kommen mobile Computer zum Einsatz, so bedeutet dies, dass jeder mobile Computer die Fähigkeit zur (drahtlosen) Kommunikation mit dem Ausweisdokument bereitstellen muss. Natürlich muss der Chip des Ausweises zunächst seinen Inhalt erhalten, weshalb auch Schreibgeräte erforderlich sind, die aber oftmals an zentraler Stelle installiert sind (zum Beispiel Personalausweisbehörde). Je nach Anwendung muss gegebenenfalls eine Verbindung zum Internet bestehen, um einen Abgleich mit einer

(zentralen) Datenbank zu ermöglichen und Zugriff auf diverse Server-Anwendungen bereitzustellen [Schm09a; S.74]. Weiterhin ist in der Regel eine so genannte PKI (Public Key Infrastructure) erforderlich. Beispielhaft wird eine solche an der Infrastruktur für den elektronischen Personalausweis (ePA) in Deutschland erläutert werden (siehe Kapitel 1.3.4). Systemimmanent gibt es einige potenzielle Stellen der Inf-

¹ ZumBeispiel CodeMeter Technologie www.wibu.de/technologies.php

² BSI - Bundesamt für Sicherheit in der Informationstechnik

Seite 6 von 33

rastruktur, die durch eventuelle Angriffe gefährdet sind und die deshalb entsprechend gesichert werden müssen. Auch hier werden einige exemplarisch herausgegriffen.

1.2 Bereits verwendete Elektronische Ausweisdokumente

In diesem Kapitel wird anhand von drei Beispielen dargestellt, welche elektronischen Ausweisdokumente bereits in aktiver Verwendung sind, welche Besonderheiten sie aufweisen und welche Erfahrungen damit gemacht wurden.

Es gibt vielfältigste Ausweisdokumente, die letztlich immer dem Nachweis einer Identität beziehungsweise Berechtigung dienen. Als erstes Land weltweit hat Brunei (Ostasien) 1999 eine elektronische Identitätskarte eingeführt, die jedoch heute auf Grund ihrer simplen Technik kaum noch Beachtung findet [Schm09a; S.216]. An dieser Stelle soll sich auf die elektronischen Ausweisdokumente in Form von behördlichen Ausweisen konzentriert werden, dazu zählen insbesondere Reisepässe und mit dem deutschen Personalausweis vergleichbare Dokumente. Kurz beleuchtet werden sollen hier die die Identitätskarte BELPIC (Belgian Personal Identity Card) aus Belgien als eine der weltweit führenden Technologien sowie die eCard-Strategie der Bundesregierung Deutschland und die hochkomplexe Gesundheitskarte aus Deutschland.

1.2.1 BELPIC

Im Jahre 2001 wurde vom belgischen Ministerrat beschlossen, in Belgien als drittem europäischem Staat (nach Finnland und Estland) eine elektronische Identitätskarte einzuführen, die bereits ab 2003 ausgegeben wurde. Im Frühjahr 2009 besaß bereits über die Hälfte aller Bürger eine solche Karte, mit der vor allen Dingen das eGovernment ausgeweitet werden soll [BMI08a; S.32]. Es stehen zur Zeit insgesamt ca. 600 eAnwendungen im Internet zur Verfügung ³ . Teilweise werden digitale Signaturen eingesetzt, die beispielsweise mit der Anwendung Safer Chat für Jugendliche als Zugangsvoraussetzung für Chats im Internet dient. Die BELPIC ist eine kontaktbehaftete Smartcard im ID-1-Format ⁴ und unterstützt bisher keine MRTD ⁵ -Zugriffe, da sie vor dem MRTD entwickelt wurde. Das Sicherheitssystem der BELPIC verwendet zwei private Schlüssel, von denen einer für die Authentifizierung und der andere für die Erzeugung digitaler Signaturen verwendet wird. Zu diesen beiden Schlüsseln gibt es jeweils digitale Zertifikate nach dem X.509-Standard, die von einer Zertifizierungsstelle der belgischen Regierung ausgegeben werden. Zur Verschlüsselung der Daten ist ein dritter privater Schlüssel geplant. Ein weiterer dient der Verifizierung der Echtheit der Karte durch eine dynamische Datenauthentifizierung. Zweifelsohne

³ http://www.fedict.belgium.be/fr/ (Letzter Abruf am 30.12.2009)

⁴ ID-1-Format: „Scheckkartenformat“; Maße: B 85,6 x H 53,98 x T 0,76 mm mit abgerundeten Ecken im Radius von 3,18 mm. Siehe auch ISO 7815.

⁵ MRTD: Machine Readable Travel Document

Seite 7 von 33

1.2.2 e-Card-Strategie de er Bundesregierung Deutschland

1.2.3 eGK - elektronische e Gesundheitskarte

Seite 8 von 33

te Ideen zur eGK entstanden Ende der neunziger Jahre, die der Nachfolger der Krankenversichertenkarte (KVK) mit ihrem eingeschränkten Funktionsumfang des reinen Speicherns auf einem Chip mit nur 256 Byte ist. Weiterer Vorläufer ist die sogenannte QuaSi-Niere-Karte, die die medizinische Anwendung der Dialyse durch die Speicherung von patientenbezogenen und medizinischen Daten, die durch eine PIN geschützt sind, unterstützte und schon mit zwei privaten Schlüsseln und zugehörigen

digitalen Zertifikaten arbeitete [Schm09a; S.148]. Die eGK ist inzwischen „eines der umfangreichsten IT-Projekte aller Zeiten“ [Schm09a; S.149], deren unvollständige Spezifikation bislang 7000 Seiten umfasst. Die Einführung zum 1.1.2006 wurde verfehlt, startete nun aber zum 1.10.2009 in einigen Bundesländern, sodass noch keine fundierten Erfahrungen vorliegen.

Neben der verpflichtenden Funktion der elektronischen Verwaltung bürokratischer Vorgänge werden folgende Nutzungsarten freiwillig sein: Erstens der Elektronische Notfallausweis, der Rettungskräften wichtige Informationen für die Erstversorgung wie zum Beispiel Vorerkrankungen, Medikation, Allergien und so weiter bereitstellt und dessen Informationen selbstverständlich nicht durch eine PIN geschützt sein dürfen, weshalb sie nur von Ärzten und bestimmten weiteren Personen (z.B. Rettungsassistent) mit einem dafür freigeschalteten Heilberufsausweis abrufbar sind. Im nor-

malen und nicht-kritischen Versorgungsfall muss der Patient vor dem Auslesen seine PIN eingeben. Zweitens die elektronische Patientenakte, bei der Daten wie Untersuchungsergebnisse, Röntgenbilder und noch vieles mehr gespeichert werden können und deren Abruf aus einer zentralen Datenbank über die eGK autorisiert wird. Der Patient hat lesenden Zugriff, der Inhaber eines Heilberufsausweises hat außerdem auch schreibenden Zugriff. Drittens können bisher analoge Funktionen wie der Arztbrief, Patientenquittungen, Rezepte oder die Signatur mit Hilfe der eGK digital abgewickelt werden. Nicht zuletzt soll der Patient auch in einem eigens dafür vorgesehenen Bereich eigene Daten wie z.B. selbst gemessene Blutzuckerwerte ablegen können.

Zur Technik der eGK ist bemerkenswert, dass sie kontaktbehaftet ausgeführt ist und auf einem ISO/IEC-7816-4-Betriebssystem basiert. Der Speicherplatz auf dem Chip ist mit 32 KByte relativ knapp bemessen, reicht aber aus, da die meisten Daten ohnehin online gespeichert werden. Die Essenz der „Gesamtarchitektur“ [Gema08] besagt, dass die eGK mit mehreren Kryptografiefunktionen ausgestattet ist und dafür sieben private Schlüssel mit jeweils zugehörigen digitalen Zertifikaten verwendet. Das

sowie für die symmetrische Verschlüsselung Triple-DES und nicht zuletzt als Hashfunktion SHA-2 später eingeführt werden und RSA ersetzen.

Für die Telematik-Infrastruktur kommt auf Grund der Komplexität des Systems eine dreischichtige Client-Middleware-Server-Architektur zur Anwendung, da sie leichter

Seite 9 von 33