BSI-Forum : Mit der mobilen Identität in die Zukunft : Smart-eID
Der Einsatz mobiler Identitäten (Smart-eID) ist ein wichtiger Schritt zur Unterstützung der voranschreitenden Digitalisierung. Er ermöglicht die sichere Speicherung einer digitalen Identität im Smartphone, sodass die Nutzung der Online-Ausweisfunktion auch ohne physisches Ausweisdokument möglich ist.
Mit der Einführung des elektronischen Personalausweises, des elektronischen Aufenthaltstitels mit der Online-Ausweisfunktion und der eID-Karte für Unionsbürger:innen wurde die Möglichkeit der gegenseitigen Authentifizierung von Ausweisinhabern und Diensteanbietern im Rahmen von E-Business- und E-Government-Anwendungen geschaffen. Im Zuge der digitalen Transformation von Geschäftsprozessen soll dieser Vorgang nun vereinfacht werden. Nutzer:innen können dann zukünftig die Online-Ausweisfunktion allein mit ihren Smartphones und ohne ein physisches Ausweisdokument nutzen.
Dabei übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die technische Leitung sowie die technische Koordinierung des Projekts mit verschiedenen Auftragnehmern aus der Privatwirtschaft und integriert die Smart-eID in die bereits bestehende eID-Infrastruktur des Bundes. So sollen bereits existierende eID-Server – ohne große Aufwendungen – die neue Smart-eID unterstützen.
eID-Infrastruktur
Die deutsche eID-Infrastruktur baut derzeit auf Ausweisdokumenten auf, die von den Meldeämtern an die Bürger herausgegeben werden. Die in den hoheitlichen Dokumenten digital und sicher gespeicherten Identitätsdaten können mithilfe der Online-Ausweisfunktion von Diensteanbietern zur sicheren Identifizierung im Internet verwendet werden. Zur Identifizierung benötigt der Bürger ein Lesegerät, zum Beispiel ein Smartphone mit NFC-Schnittstelle, und einen eID-Client, zum Beispiel die AusweisApp2 des Bundes. Die Gegenschnittstelle zum Client ist der eID-Server, welcher den Ablauf des Authentisierungsvorgangs übernimmt.
Der Identifizierungsvorgang beginnt mit dem Aufruf der Website des Diensteanbieters – diese leitet den Bürger automatisch weiter zum eID-Client. Der Zugriff auf die sensiblen Daten, die sogenannten Datengruppen, wird über ein Berechtigungszertifikat reglementiert, das heißt der Diensteanbieter beziehungsweise der eID-Server muss den Lese- und/oder Schreibzugriff gegenüber dem hoheitlichen Dokument nachweisen. Neben dem Berechtigungszertifikat kann der Bürger die Lese- oder Schreibberechtigung einsehen und optionale Datengruppen an- oder abwählen.
Im darauffolgenden Schritt bestätigt der Bürger den Vorgang durch die Eingabe seiner persönlichen eID-PIN. Nach dem Auflegen des Kartendokuments auf das NFC-Lesegerät und der anschließenden Verifikation der eID-PIN durch das hoheitliche Dokument selbst werden die gespeicherten Identitätsdaten, für die ein Berechtigungszugriff besteht, vom eID-Server ausgelesen. Der Vorgang der Identifizierung endet mit der Weitergabe der ausgelesenen Daten vom eID-Server an den Diensteanbieter.
Dieser Ansatz sorgt dafür, dass die auf dem Kartendokument gespeicherten Identitätsdaten zu jedem Zeitpunkt ausschließlich dem Inhaber zur Verfügung stehen und dieser selbstbestimmt wählen kann, welche Identitätsdaten dem Diensteanbieter zur Verfügung gestellt werden. Auch eine anonyme Authentisierung oder eine anonyme Altersverifikation sind mit der Online-Ausweisfunktion möglich.
Mittlerweile können die hoheitlichen Dokumente auch mithilfe eines Smartphones ausgelesen werden. Dafür wird die NFC-Schnittstelle im Smartphone genutzt, die auch durch das mobile Zahlen mit dem Smartphone in immer mehr Geräten Einzug erhält.
Einführung der Smart-eID
Die Einführung der Smart-eID ermöglicht das Ableiten von Identitätsdaten von einem hoheitlichen Dokument auf das Smartphone. Dazu werden mithilfe der AusweisApp2 – dem eID-Client des Bundes – die Identitätsdaten des Nutzers einmalig über die NFC-Schnittstelle von einem der genannten Dokumente ausgelesen und mithilfe eines im Auftrag des Bundes betriebenen Personalisierungsdienstes sicher im Smartphone gespeichert.
Der Zugriff auf die gespeicherten Identitätsdaten wird, wie auch bei den bereits existierenden Dokumenten, durch eine sechsstellige Nutzer-PIN und das Password-Authenticated-Connection-Establishment-(PACE)-Protokoll abgesichert. In einer ersten Umsetzung der Smart-eID sollen die Nutzerdaten der Bürger:innen auf dem Secure Element (SE) des Smartphones gespeichert werden. Dieser Hardware-sicherheitschip verfügt über kryptografische Funktionen und ermöglicht die sichere Speicherung und Verwendung von Schlüsselmaterial in der Hardware auf dem mobilen Gerät. Der Zugriff auf diese Funktionen kann durch einen sogenannten Cryptographic-Service-Provider (CSP) gekapselt sein. Mithilfe dieser Kapselung, können Applets kryptografische Funktionen des SE nutzen, ohne selbst Schlüsselmaterial verwalten zu müssen. Diese Vorgehensweise erleichtert die Zertifizierung der Applets. Als Alternative zu einem verbauten Secure Element im Smartphone kann auch eine Embedded Universal-Integrated-Circuit-Card (eUICC – auch eSIM genannt) als Hardware-Sicherheitsanker dienen.
Zur Einführung der Smart-eID werden zunächst Smartphones mit verbautem Secure Element und vorhandenen oder nachladbaren CSPs unterstützt. Weitere Geräte, die diese Voraussetzungen nicht erfüllen oder bei welchen der Zugang zu den entsprechenden Sicherheitsmechanismen nicht gegeben ist, sollen folgen. So ist in einer weiteren Ausbaustufe die Speicherung der Nutzerdaten auf der eUICC geplant. Moderne eUICCs unterstützen das Nachladen von Daten und Applets und könnten damit für die Smart-eID verwendet werden.
Es gibt auch Überlegungen für eine Software-Variante der Smart-eID, also ohne Nutzung eines dedizierten Hardwaresicherheitschips. An eine solche Variante müssen aber ganz andere Maßstäbe gesetzt werden. Aufgrund der hierbei nicht nutzbaren Sicherheitsfunktionen eines Sicherheitschips kann eine solche Variante nur ein geringeres Sicherheitsniveau erreichen.
Technisches System
Die Smart-eID speichert die Identitätsdaten in ein sogenanntes eID-Applet. Dieses Applet befindet sich im Secure Element des Smartphones und ist dort, ähnlich wie der Chip im Ausweisdokument, für die elektronische Identifizierung mit einem Smartphone zuständig. Damit sich die elektronische Identifizierung mit möglichst geringen Anpassungen im Zusammenspiel mit der bereits bestehenden eID-Infrastruktur verwenden lässt, muss sich das Applet nach außen hin identisch wie ein hoheitliches Kartendokument verhalten und wird auch nach BSI TR-03105 Teil 3.3 [1] zertifiziert.
Da die Secure Elements in der Regel nicht mit vorinstalliertem eID-Applet ausgeliefert werden, muss das eID-Applet nachträglich installiert werden. Der Zugang zu den Secure Elements ist jedoch strikt limitiert: So hat das Betriebssystem des Smartphones keinerlei schrei- benden oder lesenden Zugang zum Secure Element. Um das eID-Applet zu installieren, ist daher der Betrieb eines speziellen Trusted-Service-Manager (TSM) notwendig. Nur dieser TSM hat die notwendigen Schlüssel um neue Sicherheitsbereiche, sogenannte Security-Domains (SDs), auf dem Secure Element einzurichten und dort Anwendungen und Daten nachzuladen.
Um verschiedene Technologien und Hersteller zu kapseln, wurde hierfür, basierend auf der BSI TR-03165 [2], ein Trusted-Service-Management-System (TSMS) entwickelt. Der TSMS ist eine eigenständige Lösung zur Installation von Applets auf Hardwaresicherheitschips und kann prinzipiell für verschiedene Anwendungsbereiche Verwendung finden (z. B. ID, Ticketing, Car-Key, Bonus-Systeme). Für die Smart-eID wurde der TSMS in die eID-Infrastruktur integriert und installiert die Anwendung eID-Applet auf Hardwaresicherheitschips der Smartphones. Dieser Vorgang erfolgt ohne Identitätsdaten von Bürger:inne:n und wird Provisionierung genannt.
Zur Einbringung der Identitätsdaten in das eID-Applet ist ein Personalisierungsdienst erforderlich, der vom Ausweishersteller im Auftrag des BMI betrieben wird. Er ist in der Lage die Identitätsdaten, die in der Smart-eID gespeichert werden sollen, in das eID-Applet einzubringen. Um sicherzustellen, dass der Personalisierungsdienst keine Identitätsdaten in ein falsches eID-Applet einbringt, ist der Personalisierungsdienst in der Lage die Echtheit und Integrität des eID-Applets zu verifizieren. Der Personalisierungsdienst hat ebenfalls Zugriff auf einen Document-Signer, mit dem er die Smart-eID signieren kann, um deren Authentizität nachzuweisen. Dieser Vorgang wird Personalisie- rung genannt.
Als eigenständiges hoheitliches Dokument verfügt die Smart-eID über ein eigenes Pseudonym und ist daher nicht identisch mit dem Ausweisdokument. Dies kann bei Verwendung der Pseudonymfunktion dazu führen, dass ein Halter eines Personalausweises und einer Smart-eID nicht sofort über das Pseudonym als dieselbe Person identifiziert wird. Diensteanbieter müssen daher bei einer Smart-eID, wie auch bereits beim Wechsel eines alten Kartendokuments auf ein Neues, ein entsprechendes Identitätsmatching durchführen. Ebenfalls ist es nicht vorgesehen, dass die Smart-eID über die im Personalausweis eingebrachten biometrischen Daten verfügt. Diese werden aufgrund der fehlenden Berechtigung nicht vom Personalisierungsdienst ausgelesen.
Eine Smart-eID ist nach aktueller Planung technisch zwei Jahre gültig. Anschließend ist die Smart-eID nicht mehr nutzbar und muss erneut von einem hoheitlichen Kartendokument abgeleitet werden. Da die Smart-eID immer die Daten zum Zeitpunkt der Ableitung enthält und nicht automatisch aktualisiert werden kann, ist ein manuelles Aktualisieren durch ein erneutes Ableiten notwendig, wenn sich die hinterlegten Daten, wie zum Beispiel die persönliche Anschrift, geändert haben.
Kontrolle über eigene ID-Daten
Nutzer:innen verfügen zu jedem Zeitpunkt über die volle Kontrolle ihrer Identitätsdaten, da diese ausschließlich lokal im eigenen Smartphone gespeichert werden. So kann die Smart-eID jederzeit über die AusweisApp2 oder bei Verlust des Smartphones über die Fernlöschfunktion des Mobilbetriebssystems gelöscht werden. Äquivalent zu den Kartendokumenten kann auch die Smart-eID über den landesweiten Sperr-Notruf (Tel.-Nr. 116 116) mithilfe des Sperrkennworts gesperrt und somit unbrauchbar gemacht werden. Das Sperrkennwort wird der/dem Nutzer:in einmalig beim Einrichtungsprozess der Smart-eID angezeigt und per Brief an die im Personalausweis hinterlegte Adresse gesendet. Verfügt die/der Nutzer:in über mehre Smartphones, kann für jedes Smartphone eine Smart-eID abgeleitet und eingerichtet werden. Eine Übersicht über sämtliche Smart-eIDs kann über den Auskunftsservice des Ausweisherstellers abgefragt werden. Neben Typ und Hersteller des Smartphones werden auch das Erstellungsdatum und Ablaufdatum sowie das Sperrkennwort für die jeweilige Smart-eID angezeigt. Identitätsdaten der Nutzer:innen werden von diesem Dienst nicht verarbeitet oder erfasst.
Eine Selbstauskunft über die gespeicherten Identitätsdaten der Smart-eID ist mittels Online-Ausweisfunktion und der AusweisApp2 (AA2) möglich. Wie bei der Selbstauskunft anderer Ausweisdokumente werden hierbei die gespeicherten Daten sicher durch einen eID-Server beim AA2-Anbieter entschlüsselt und der/dem Nutzer:in angezeigt.
Die Entscheidungsfreiheit, ob die herkömmliche Online-Ausweisfunktion durch Nutzung eines physischen Ausweisdokuments oder die Smart-eID verwendet wird, obliegt den Nutzer:inne:n und kann lediglich durch den Dienstanbieter auf den physischen Ausweis eingeschränkt werden, wenn dessen Fachanwendung besondere Anforderungen an das Vertrauensniveau stellt.
Ausblick
Die Erweiterung der eID-Infrastruktur auf das Smartphone ist der nächste Schritt, um Nutzer:inne:n die Anwendung der Online-Ausweisfunktion zu erleichtern. Zukünftig reicht es aus, mit dem Smartphone einmal das physische Ausweisdokument auszulesen, woraufhin die Online-Ausweisfunktion direkt mit dem Smartphone und ohne Nutzung des physischen Dokuments genutzt werden kann.
Literatur
1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Conformity Tests for Official Electronic ID Documents, BSI Technische Richtline 3105, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03105/TR-03105_node.html
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Trusted Service Management System, BSI Technische Richtline 3165, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Themasortiert/tr03165/tr-03165.html
Impressum
Redaktion:
Katrin Alberts (verantwortlich)
E-Mail: katrin.alberts@bsi.bund.de
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat Öffentlichkeitsarbeit
Postfach 20 03 63
53133 Bonn
Hausanschrift:
Godesberger Allee 185-189
53175 Bonn
Telefon: +49 228 999582-0
Telefax: +49 228 999582-5455
Web: www.bsi.bund.de
Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> – Die Zeitschrift für Informations-Sicherheit. Die Beiträge der einzelnen Autoren spiegeln deren persönliche Meinung wider, die nicht unbedingt der Position des BSI entsprechen muss.
30. Jahrgang 2022