Maschinenlesbare Reisedokumente: Deutschen Firmen gelingt erste Umsetzung

AuthentifizierungSicherheit

HJP Consulting, cv cryptovision und Governikus haben einen der ersten Prototypen für eine ID-Karte nach der 2014 verabschiedeten eIDAS-Token-Spezifikation umgesetzt. Sie legt den einheitlichen, europaweit gültigen Rechtsrahmen für den elektronischen Identitätsnachweis und für Vertrauensdienste fest.

Die EU sieht vertrauenswürdige elektronische Geschäftsprozesse zwischen Unternehmen, Behörden und Bürgern im gesamten EU-Raum als wesentliche Voraussetzung für einen florierenden, digitalen Binnenmarkt. Diese Voraussetzung soll mit der am 1. September 2014 in Kraft getretenen “Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt”, kurz (eIDAS-Verordnung), geschaffen werden. Mit ihr wird der einheitliche, europaweit gültige Rechtsrahmen für den elektronischen Identitätsnachweis und für sogennante “Vertrauensdienste” – zum Beispiel elektronische Signaturen, Siegel und Zeitstempel – festgelegt.

Die eIDAS-Verordnung verfolgt einen für Innovationen offenen Ansatz und ist technologieneutral. In ihrem Rahmen haben die französische Agence nationale de la sécurité des systèmes d’information (ANSSI) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) eine gemeinsame Chipkartenspezifikation erarbeitet (BSI TR-03110 Version 2.20). Sie basiert auf der Technologie, die im deutschen Personalausweis verwendet wird und spezifiziert die Sicherheitsmechanismen für maschinenlesbare Reisedokumente und eIDAS-Token.

Mit dem Projekt “POSeIDAS” (Prototypische Implementierung eines OpenSource eIDAS-Servers hatte das BSI die Unternehmen HJP, cv cryptovision und Governikus beauftragt. Ziel des Projekts war die Bereitstellung von Prototypen eines eIDAS-Servers und einer Umgebung für die Simulation der Funktionen eines eIDAS-Tokens sowie die Implementierung von eIDAS-Funktionen auf einer Chipkarte.

Die BSI TR-03110 ist in vier Teile gegliedert (Bild: BSI)
Die BSI TR-03110 ist in vier Teile gegliedert (Grafik: BSI)

HJP Consulting mit Sitz in Borchen, lieferte dazu die Simulationsumgebung. Für die Simulation wird der ebenfalls von HJP entwickelte und durch das BSI zertifizierte, Open-Source-Chipkartensimulator PersoSim genutzt. Er bildet die Funktionalität eines elektronischen Personalausweises nach und wird unter anderem von eID-Client Entwicklern und BSI eingesetzt. PersoSim beinhaltet jetzt Funktionen wie Chip Authentication in Version 3, pseudonyme Signaturen und Attributserweiterungen (ERA). Die neuen Funktionen bilden nun ein vollständiges eIDAS-Token gemäß TR-03110 ab. “Mit POSeIDAS haben wir die weltweit erste Umsetzung der neuen Sicherheitsfeatures für zukünftige ID-Karten erfolgreich realisiert,” erklärt Holger Funke, HJP Consulting.

Die Bremer Governikus KG lieferte im Rahmen des Projektes eine Open-Source-Variante eines eID-Servers sowie einen entsprechenden eID-Client. Beide können in Bezug auf die elektronischen Identitäten im Rahmen der eIDAS-Verordnung zur Überprüfung der Interoperabilität (Proof of Concept) genutzt werden. Ausgehend von dem eID-Server und dem eID-Client, die in einer ersten Version die Infrastruktur der Online-Ausweisfunktion des deutschen Personalausweises unterstützten, wurden sukzessive die Erweiterungen umgesetzt, die zur Unterstützung der in der technischen Richtlinie TR-03110 des BSI in der Version 2.20 beschriebenen Token erforderlich sind.

Cryptovision aus Gelsenkirchen hat die erste Implementierung der neuen eIDAS-Funktionen auf einer Chipkarte bewerkstelligt. Die Implementierung basiert auf dem Produkt “ePasslet Suite“, einer modularen Java-Card-basierten Anwendungssuite für multifunktionale, hoheitliche Ausweisdokumente, die bereits in über 20 eID-Projekten in unterschiedlichen Ländern zum Einsatz kommt.

Die ePasslet Suite stellt auf Grundlage eines Java-Card-Betriebssystems Applets für Reisepässe, eID-Karten, elektronische Führerscheine, Signaturkarten und weitere Anwendungen zur Verfügung. Sie bildet auch das Fundament für die Umsetzung der eIDAS-Funktionalität. Dadurch sollen die innovativen eIDAS-Funktionen zukünftig auf flexible Weise in internationalen eID-Projekten genutzt werden können.

Allgemeine Roadmap der eIDAS-Verordnung (Bild: EU-Kommission, Statement: <a href="http://europa.eu/rapid/press-release_STATEMENT-14-318_en.htm" target="_extern">New EU regulation on eIdentification (eIDAS) launched by Neelie Kroes)</a>)
Allgemeine Roadmap der eIDAS-Verordnung (Bild: EU-Kommission)