Dem wachsenden Bedarf nach sicherer und einfacher Absicherung des Datenzugriffs in großen Netzwerken kann durch Benutzeridentifikation mittels elektronischer Ausweisdokumente nachgekommen werden. Schwerpunktmäßig geht es im Vortrag um den elektronischen Personalausweis (ePA), der die erforderliche Funktionalität bereit-stellen kann. Er wird ab November 2010 in Deutschland eingeführt, es bleibt jedoch die Frage nach der Akzeptanz dieser Technik durch den Bundesbürger als Anwender. Als Smartcard mit drahtloser NFC-Schnittstelle bietet der ePA mehr Funktionalitäten als der bisher bekannte Personalausweis; neben der schon üblichen Sichtkontrolle ermöglicht er zweitens auch die eID-Funktion zur Identifikation in Online-Anwendungen sowohl im Bereich eGovernment als auch im Bereich eCommerce und stellt drittens die Funktion der qualifizierten Signatur für den elektronischen verbind-lichen Rechtsverkehr bereit.
Beide letztgenannte Funktionen stellen hohe Anforderungen an die Sicherheit aus Sicht der Informationstechnologie, die neben neuartigen Protokollen wie PACE auch komplexe Public-Key-Infrastrukturen (PKI) speziell für den elektronischen Personal-ausweis entwickelt hat. Die den drahtlos auslesbaren elektronischen Ausweisen zu Grunde liegende Technologie der Near-Field-Communication (NFC) ist eine Unterart der RFID-Technologie und erschließt in Kombination mit Smartphones weite Anwen-dungsfelder, so dass der Ansatz der Verwendung elektronischer Ausweisdokumente in Kartenform für die Absicherung des Datenzugriffs noch vor ihrer Einführung in Deutschland überholt sein könnte.
Inhaltsverzeichnis
1 ELEKTRONISCHE AUSWEISDOKUMENTE ZUR ABSICHERUNG DES DATENZUGRIFFS MIT MOBILEN COMPUTERN
1.1 EINLEITUNG
1.1.1 Erforderliche Infrastruktur für elektronische Ausweisdokumente
1.2 BEREITS VERWENDETE ELEKTRONISCHE AUSWEISDOKUMENTE
1.2.1 BELPIC
1.2.2 e-Card-Strategie der Bundesregierung Deutschland
1.2.3 eGK – elektronische Gesundheitskarte
1.2.4 Elektronischer Reisepass (ePass)
1.3 ELEKTRONISCHER PERSONALAUSWEIS IN DEUTSCHLAND (EPA)
1.3.1 eID-Funktion
1.3.2 Qualifizierte Signatur
1.3.3 Sicherheit des ePA
1.3.4 PKI und ePA
1.3.5 Anwendungsszenario des ePA zur Absicherung des (…) Datenzugriffs
1.4 RFID UND NFC
1.4.1 RFID
1.4.2 NFC
1.5 AUSBLICK UND ALTERNATIVEN ZU ELEKTRONISCHEN AUSWEISEN IN KARTENFORM
1.6 FAZIT UND BEWERTUNG
Zielsetzung & Themen
Das Hauptziel dieser Arbeit ist die Untersuchung der Möglichkeiten, elektronische Ausweisdokumente, insbesondere den deutschen elektronischen Personalausweis (ePA), als Krypto-Hardware-Token zur sicheren Authentifizierung und Absicherung von Datenzugriffen bei mobilen Computern einzusetzen. Es wird analysiert, wie die zugrunde liegende Sicherheitstechnik und Infrastruktur diesen Anforderungen gerecht werden können.
- Technische Grundlagen und Infrastrukturanforderungen elektronischer Ausweise
- Analyse existierender Systeme (BELPIC, eGK, ePass) als Vergleichsbasis
- Detaillierte Untersuchung des elektronischen Personalausweises (ePA) und seiner Funktionen
- Sicherheitsmechanismen wie PACE, EAC und Public-Key-Infrastrukturen (PKI)
- Eignung und Potential der NFC-Technologie für mobile Anwendungen
Auszug aus dem Buch
1.3.1 eID-Funktion
Die eID-Funktion des ePA dient zum Nachweis der digitalen Identität. Sie ist die vielseitigste Anwendung des ePA. Die Daten, die auf dem RFID-Chip gespeichert sind, können für eine Online-Authentifizierung verwendet werden, die einen Benutzer für sichere Geschäftsprozesse sowohl mit staatlicher Verwaltung als auch mit der Privatwirtschaft akzeptabel macht. Die eID-Funktion soll optional sein, d.h. der Inhaber des Ausweises kann jederzeit entscheiden, ob er diese Funktion durch die Personalausweisbehörde reversibel freischalten lassen will oder nicht („opt-in und „opt-out“) [BMI08a; S.62]. Die biometrischen Daten stehen aber in jedem Fall nur für hoheitliche Kontrollen zur Verfügung und sind nicht über die eID-Funktion verfügbar. Für die eID-Funktion werden lediglich persönliche Daten wie Name, Wohnort und Ablaufdatum verwendet [Schm09a; S.142]. Bevor solche Daten jedoch zum Dienstanbieter übertragen werden, soll in der Anwendung abgefragt werden, welche Daten der Benutzer übermitteln will. Dies bestätigt er für jeden Datenblock einzeln durch Ankreuzen entsprechender Felder und einer abschließend einzugebenden 6-stelligen PIN [Ecke08; S.26], was den Vorgaben der qualifizierten elektronischen Signatur entspricht.
Damit wird aus Perspektive der Sicherheit dem bewährten Verfahren der Kombination von Wissen (PIN) und Besitz (Ausweis/RFID-Chip) Rechnung getragen [BMI08a; S.56], was besonders für den Fall des Diebstahls oder bei sonstigem Verlust relevant ist. Im Falle der hoheitlichen Kontrolle müssen die Daten jedoch teilweise auch ohne die Eingabe der PIN auslesbar sein. Deshalb wird in diesem Fall für den Verbindungsaufbau nicht das PACE-Protokoll (siehe Kapitel 1.3.3.2) sondern die MRZ oder die aufgedruckte Karten-PIN genutzt. Über eine entsprechende Zertifizierung wird die Berechtigung des Lesegerätes sichergestellt [BKMN08; S.175]. Die Daten dieser Funktion sind nicht digital signiert, es wird also keine statische Datenauthentifizierung (Static Data Authentification, SDA)8 betrieben. Damit sollen zwei Probleme umgangen werden: Zum einen ließe sich die Wohnadresse in der Praxis nicht leicht genug ändern, zum anderen soll damit das Fremdprüfungsproblem9 und das Klonen des Ausweises verhindert werden [Schm09a; S.142]. Aus diesem Grunde wird die dynamische Datenauthentifizierung (Dynamic Data Authentification, DDA) verwendet, bei dem ein Challenge-Response-Verfahren angewendet wird, das über einen asymmetrischen Algorithmus realisiert wird. Dessen privater Schlüssel ist nicht auslesbar auf dem Chip des Ausweises gespeichert [Schm09a; S.72].
Zusammenfassung der Kapitel
1 ELEKTRONISCHE AUSWEISDOKUMENTE ZUR ABSICHERUNG DES DATENZUGRIFFS MIT MOBILEN COMPUTERN: Diese Einleitung führt in die Problematik der Identifizierung im Internet ein und erläutert den Bedarf an sicheren Lösungen, wobei elektronische Ausweisdokumente als Hardware-Token betrachtet werden.
1.1 EINLEITUNG: Es wird der Übergang von einfachen Ausweisen zu hochtechnisierten Dokumenten mit Mikrochips beschrieben und der Bedarf an einer sicheren Infrastruktur für mobile Computer definiert.
1.1.1 Erforderliche Infrastruktur für elektronische Ausweisdokumente: Dieses Kapitel erläutert die notwendigen Komponenten, insbesondere Lesegeräte und Public-Key-Infrastrukturen (PKI), die für den Betrieb elektronischer Ausweise unerlässlich sind.
1.2 BEREITS VERWENDETE ELEKTRONISCHE AUSWEISDOKUMENTE: Hier werden zur Veranschaulichung bestehende elektronische Ausweissysteme wie BELPIC, die deutsche eCard-Strategie und die elektronische Gesundheitskarte vorgestellt.
1.2.1 BELPIC: Vorstellung der belgischen elektronischen Identitätskarte als ein frühes Beispiel für die Implementierung elektronischer Identitäten.
1.2.2 e-Card-Strategie der Bundesregierung Deutschland: Erläuterung des standardisierten Ansatzes der Bundesregierung zur Vereinheitlichung verschiedener eCard-Anwendungen.
1.2.3 eGK – elektronische Gesundheitskarte: Untersuchung der hochkomplexen Telematik-Infrastruktur und der Funktionen der elektronischen Gesundheitskarte.
1.2.4 Elektronischer Reisepass (ePass): Beschreibung der hoheitlichen Funktion des ePasses und der verwendeten RFID-Technik.
1.3 ELEKTRONISCHER PERSONALAUSWEIS IN DEUTSCHLAND (EPA): Detaillierte Darstellung des ePA, seiner Funktionsbereiche und der damit verbundenen Sicherheitstechnik.
1.3.1 eID-Funktion: Analyse der eID-Funktion zur sicheren Online-Authentifizierung und deren Absicherung durch PIN und Besitznachweis.
1.3.2 Qualifizierte Signatur: Erläuterung der Funktion zur Erstellung qualifizierter elektronischer Signaturen als rechtsverbindliches Werkzeug.
1.3.3 Sicherheit des ePA: Überblick über die Sicherheitsanforderungen und die grundlegenden Verfahren wie PACE und EAC.
1.3.4 PKI und ePA: Diskussion der notwendigen Public-Key-Infrastruktur für den ePA, inklusive der Hierarchie von Zertifizierungsstellen.
1.3.5 Anwendungsszenario des ePA zur Absicherung des (…) Datenzugriffs: Ein konkretes Szenario illustriert die praktische Nutzung des ePA zur Absicherung des Datenzugriffs für einen mobilen Außendienstmitarbeiter.
1.4 RFID UND NFC: Untersuchung der physikalischen Grundlagen der kontaktlosen Datenübertragung mittels RFID und NFC.
1.4.1 RFID: Grundlagen und vielfältige Anwendungsgebiete der Radio Frequency Identification.
1.4.2 NFC: Detailanalyse der Near Field Communication als Unterart der RFID-Technologie, insbesondere im Kontext von mobilen Endgeräten.
1.5 AUSBLICK UND ALTERNATIVEN ZU ELEKTRONISCHEN AUSWEISEN IN KARTENFORM: Diskussion möglicher zukünftiger Entwicklungen, wie der Integration in Smartphones oder alternativer Token-Formen.
1.6 FAZIT UND BEWERTUNG: Zusammenfassende Bewertung der Eignung elektronischer Ausweise zur Absicherung mobiler Computer unter Berücksichtigung technischer und soziologischer Aspekte.
Schlüsselwörter
Elektronischer Personalausweis, ePA, NFC, RFID, mobile Computer, Datenzugriff, Sicherheit, Public-Key-Infrastruktur, PKI, eID-Funktion, elektronische Signatur, Authentifizierung, Smartcard, PACE, EAC
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit untersucht den Einsatz elektronischer Ausweisdokumente, insbesondere des elektronischen Personalausweises (ePA), als sichere Hardware-Token zur Identifikation und Absicherung von Datenzugriffen bei der Arbeit mit mobilen Computern.
Was sind die zentralen Themenfelder?
Die zentralen Themenfelder sind die Sicherheitstechnik elektronischer Ausweise, die zugrunde liegenden Infrastrukturen (PKI), die Anwendung der RFID- und NFC-Technologie sowie die praktische Implementierung und Akzeptanz dieser Technologien.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Ziel ist zu analysieren, wie elektronische Ausweise für die sichere Identifikation eines Nutzers bei der Verwendung mobiler Computer genutzt werden können und ob diese Technologie für diesen Zweck geeignet ist.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer Literatur- und Technologieanalyse. Sie untersucht bestehende Konzepte (BELPIC, eGK, ePass), technische Spezifikationen (BSI-Richtlinien, Standards) sowie Anwendungsszenarien.
Was wird im Hauptteil behandelt?
Der Hauptteil behandelt die Infrastrukturanforderungen, den ePA im Detail inklusive seiner Funktionen (eID, Signatur), die Sicherheitsverfahren (PACE, EAC, PKI) sowie die Grundlagen und Klassifizierungen der NFC-Technologie.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zu den wichtigsten Begriffen gehören Elektronischer Personalausweis (ePA), NFC, RFID, Authentifizierung, Public-Key-Infrastruktur (PKI) und Datensicherheit.
Wie unterscheidet sich PACE von dem bisherigen BAC-Verfahren?
PACE (Password Authenticated Connection Establishment) bietet im Gegensatz zum älteren BAC-Verfahren (Basic Access Control) eine stärkere Sicherheit durch die Verwendung elliptischer Kurven und unterstützt dynamische Passwörter, um Angriffe effektiver abzuwehren.
Welche Rolle spielt die NFC-Technologie für den ePA?
NFC ermöglicht die drahtlose Kommunikation zwischen dem Chip des ePA und einem Lesegerät in einer sehr geringen Reichweite. Dies unterstützt die bequeme und intuitive Bedienung durch den Nutzer ("physische Annäherung"), was die Akzeptanz fördert.
Warum wird der ePA im Kontext der Sicherheit mit einem Hardware-Token verglichen?
Der ePA ähnelt einem Hardware-Token, da er den Besitz des physischen Mediums mit dem Wissen einer PIN (Zwei-Faktor-Authentifizierung) kombiniert, was für die Absicherung von Zugriffen auf sensitive Daten in Netzwerken essenziell ist.
- Quote paper
- Carsten Dickhut (Author), 2010, Elektronische Ausweisdokumente zur Absicherung des Datenzugriffs mit mobilen Computern, Munich, GRIN Verlag, https://www.grin.com/document/144093
