PKI in Schleswig-Holstein · 2006-03-01 · • eine fortgeschrittene Signatur ausreichend, soweit es die Kommunikation zwischen Ver-waltungen oder in geschlossenen Nutzerkreisen

Public Key Infrastruktur in Schleswig-Holstein Baustein für eGovernment (Vortrag im Rahmen des eGovernment-Forums 2003 in Rendsburg) eGovernment bedeutet die Durchführung von Verwaltungsprozessen auf elektronischem Weg. Für bestimmte Prozesse ist dabei Voraussetzung, dass die Identität einer Person festgestellt werden kann, die Vertraulichkeit der über Netze übertragenen Verwaltungsdaten sicherge-stellt ist und die Urheberschaft und Gültigkeit archivierter elektronischer Dokumente nachge-prüft werden kann. Dazu bedient man sich der elektronischen Signatur und der Verschlüsse-lung. Für die Nutzung dieser Instrumente ist eine komplexe Organisation nötig.

Die im Umfeld von eGovernment-Diskussionen häufig benutzte Abkürzung PKI steht für den Begriff Public Key Infrastructure. Public Key (Öffentlicher Schlüssel) ist ein Begriff aus der Kryptografie und bezeichnet den Teil eines (kryptografischen) Schlüsselpaares, der allen Kommunikationspartnern zugänglich gemacht wird. Infrastruktur steht für die Technik und Organisation zur Herstellung und Verwaltung der Schlüssel.

Das Schlüsselpaar (bestehend aus Öffentlichem Schlüssel und Privatem Schlüssel) wird in diesem Zusammenhang überwiegend für elektronische Signatur und Verschlüsselung einge-setzt. Dabei wird der Öffentliche Schlüssel für die Prüfung einer Unterschrift (elektronischen Signatur) oder die Verschlüsselung eines Dokuments verwendet, der Private Schlüssel (der im ausschließlichen Besitz des Schlüsselinhabers bleibt) zum Unterschreiben und Entschlüsseln.

Schlüssel werden hauptsächlich für Personen eingesetzt (z. B. als Signatur); es sind aber auch Verwendungsmöglichkeiten für Rechner, Programmmodule oder Formulare denkbar. Damit kann z. B. eindeutig der Rechner einer Verwaltung identifiziert werden, der für ein Bürgeran-gebot zur Verfügung steht; können Programme zur Bearbeitung von Förderanträgen als sicher gekennzeichnet werden oder Formulare als wirklich gültige erkannt werden.

Verwendungszwecke von Schlüsseln sind die sichere Identifikation (von Personen, Rech-nern), Authentifikation (von Personen, Rechnern, Programmen, Formularen), Integrität (von Dokumenten, Programmen, Formularen) und die Herstellung von Vertraulichkeit (bei der Kommunikation und Übermittlung von Dokumenten).

Sicher gestellt werden muss bei der Verwendung solcher Schlüssel die eindeutige Zuordnung zum Schlüsselinhaber. Diese Anforderung wird durch die Ausstellung von Zertifikaten erfüllt, die die Zugehörigkeit des Schlüssels zu einer Person (bzw. einem Rechner, einem Programm-hersteller) bescheinigen. Die Zertifikate werden von einer Zertifizierungsstelle ausgestellt, die vertrauenswürdig sein muss und deshalb selber von einer vertrauenswürdigen Instanz beglau-bigt ist. In Deutschland ist das für den Bereich der im Signaturgesetz definierten qualifizierten Signaturen die Regulierungsbehörde für Telekommunikation und Post (RegTP)1.

Eine PK-Infrastruktur besteht insgesamt aus • einer (mehrstufigen) zertifizierenden (beglaubigenden) Stelle, die die nötige Technik vor-

hält und die Zertifikate herstellt, • einer (mehrstufigen) registrierenden Stelle, die die Aufgabe der sicheren Identifizierung

der Person bei der Übergabe des Zertifikats und der laufenden Verwaltung der Zertifikate übernimmt,

• Anwendern mit ihrer Arbeitsumgebung, die die Zertifikate und Schlüssel bei der täglichen Arbeit einsetzen,

• einer Stelle. die für die Nachprüfbarkeit der Zertifikate sorgt, • den Prozessen zum Management der Zertifikate (Beantragung, Sperrung, Verlängerung).

1 Informationen unter www.regtp.de

Einsatzmöglichkeiten elektronischer Signaturen und Schlüssel sind beispielsweise • die Steuererklärung oder die Meldeverfahren (Beziehung Bürger – Verwaltung), • die Agrar- oder Wirtschaftsförderung (Beziehung Verwaltung – Wirtschaft), • die Kommunikation zwischen Verwaltungen (Beziehung Verwaltung – Verwaltung).

Dabei ist die in der Regel • eine qualifizierte Signatur gemäß Signaturgesetz2 einzusetzen, soweit es die Kommunika-

tion mit dem Bürger oder der Wirtschaft betrifft; • eine fortgeschrittene Signatur ausreichend, soweit es die Kommunikation zwischen Ver-

waltungen oder in geschlossenen Nutzerkreisen von Wirtschaft und Verwaltung angeht. Die qualifizierte Signatur ist allerdings durch die umfangreichen Vorgaben für Sicherheits-maßnahmen und den zwingenden Einsatz von Chipkarten kostenintensiver.

Für den Einsatz von fortgeschrittenen Signaturen in den Verwaltungen hat der Kooperations-ausschuß des Bundes und der Länder den Anstoß zu einer Verwaltungs-PKI3 gegeben, deren oberste Instanz beim Bundesamt für die Sicherheit in der Informationsverarbeitung (BSI) an-gesiedelt ist. Der Bund und einige Bundesländer sind dort inzwischen angeschlossen.

In Schleswig-Holstein haben im Jahr 2002 Test-Projekte im kommunalen und im Landes-Be-reich begonnen, die interessierten Verwaltungen die Gelegenheit geben, den Einsatz von Zer-tifikaten zu testen. Die Datenzentrale Schleswig-Holstein (DZ-SH) hat im Auftrag des Landes eine vom BSI anerkannte oberste Zertifizierungsstelle für Schleswig-Holstein eingerichtet. Bis zum Ende des Jahres soll daraus eine produktionsreife PKI für Land und Kommunen ent-stehen, über die die Weiterentwicklung des eGovernment unterstützt wird. Die PKI wird fort-geschrittene Zertifikate ausstellen und eine Anbindung an die Verzeichnisdienste der akkredi-tierten Zertifizierungsstellen („TrustCenter“) nach Signaturgesetz herstellen.

Zur Teilnahme an dieser PKI sollte als Mindestvoraussetzung eine Arbeitsplatzausstattung von Windows2000 aufwärts vorhanden sein sowie ein Internetanschluß. Die teilnehmende Verwaltung ist verpflichtet, die Regeln für den Betrieb einer Registrierungsstelle einzuhalten.

Die Kosten für die Nutzung der PKI beim Einsatz von fortgeschrittenen Zertifikaten, die als Datei auf dem Arbeitsplatz-Rechner gespeichert werden, liegen nach aktuellen Schätzungen bei 15 € jährlich pro Zertifikat. Bei höheren Sicherheitsanforderungen kommen Chipkarten für die Speicherung der Zertifikate zum Einsatz, so dass etwa doppelt so hohe Kosten entste-hen. Dazu ist die Anschaffung eines Kartenlesers für den Arbeitsplatz nötig.

Die Möglichkeiten für konkrete Anwendungen in der schleswig-holsteinischen Verwaltung sind vielfältig. Schon jetzt existiert eine produktive Anwendung in Form des elektronischen Grundbuchs. Weitere Registerverfahren befinden sich in der Ausschreibungsphase. Einsatz-beispiele sind neben den Fachanwendungen Workflow-Prozesse oder die Archivierung mit der Notwendigkeit des Nachweises über Urheberschaft, Gültigkeit und Integrität von Doku-menten. Aber auch einfache Prozesse wie die sichere Übermittlung von eMail zwischen Ver-waltungen oder in einer Verwaltung können zur Vereinfachung des Verwaltungshandeln bei-tragen. Lothar Deseke Leiter Competence Center Security Datenzentrale Schleswig-Holstein

2 Gesetz über Rahmenbedingungen für elektronische Signaturen vom 16. Mai 2001 3 Informationen unter www.bsi.bund.de/aufgaben/projekte/sphinx/verwpki/index.htm

Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung

PKI in Schleswig-Holstein

eGovernment-Forum Rendsburg Lothar Deseke Juni 2003

Public Key Infrastruktur in

Schleswig-Holstein

Baustein für eGovernment

Lothar DesekeLeiter

Competence Center SecurityDatenzentrale Schleswig-Holstein




eGovernment und PKIeGovernment ist die Durchführung von Verwaltungsprozessen auf elektronischem Wegdabei muss

die Identität einer Person festgestellt werden könnenUrheberschaft und Gültigkeit von Dokumenten nachprüfbar seindie Vertraulichkeit der übertragenen Verwaltungsdaten sichergestellt sein

Instrumente dafür sind elektronische Signatur und Verschlüsselungdie Nutzung dieser Instrumente bedarf einer Organisation = PKI




der Begriff PKIPKI = Public Key InfrastrukturPublic Key = Öffentlicher Schlüssel

Teil eines kryptografischen Schlüsselpaares bestehend aus Öffentlichem und Privatem Schlüssel

Infrastruktur = Technik und Organisation

zur Herstellung und Verwaltung der Schlüssel




Einsatzprinzip von SchlüsselnÖffentlicher Schlüssel

Prüfung einer elektronischen SignaturVerschlüsselung von Daten

Privater Schlüssel

Unterschreiben von DatenEntschlüsseln von Daten




Einsatzzwecke von Schlüsselneindeutige Identifizierung von Personen

Zugang zu Rechnern und InformationenUrheberschaft von Dokumenten

eindeutige Identifizierung von Rechnernsichere Rechner - Rechner- Kommunikation

eindeutige Identifizierung von Programmen und Programmmodulenaktive Formulare

Verschlüsselung (Sicherung von Daten gegen unbefugte Kenntnisnahme)Vertraulichkeit von DokumentenVertraulichkeit von Rechnerverbindungen




Anforderungan den Schlüsseleinsatz:

Sichere und eindeutige Zuordnung des Schlüssels zum SchlüsselinhaberLösung

Verknüpfung von Schlüssel und zugehörigen Datenin einem Zertifikatausgestellt von einer vertrauens-würdigen Zertifizierungsstelledie ggf. selber einer Prüfungund Kontrolle unterliegt

Martin Mustermann

Zertifizierungsstelle




Infrastrukturbeglaubigende Stelle (Zertifizierungsstelle, CA)

Erstellung der Zertifikate, Verlängerung, Sperrungregistrierende Stelle (Registrierungsstelle, RA)

Antragsannahme, Identitätsprüfung bei Übergabeveröffentlichende Stelle (Verzeichnisdienst)

Veröffentlichung der Zertifikate und SperrlistenAnwender mit Arbeitsumgebung

sicherer Umgang mit dem ZertifikatProzesse zum Management der Zertifikate

Beantragung, Sperrung, Verlängerung, Archivierung




Public Key Infrastruktur (Schema)

CAZertifizierungsstelle

RARegistrierungsstelle(n)

Menschen Rechner Programme

Zertifikats“inhaber“




EinsatzmöglichkeitenBürger – Verwaltung

Steuererklärung (ELSTER)Meldeverfahren

Wirtschaft – VerwaltungWirtschaftsförderung, EU-AgrarförderungVergabe

Verwaltung – VerwaltungProzesse zwischen Verwaltungsebenen (z. B. Kommunen – Land)verwaltungsinterne Prozesse




Arten von SignaturenSignaturgesetz unterscheidet zwischen qualifizierter und fortgeschrittener Signaturqualifizierte Signaturist in der Regel einzusetzen bei Kommunikation mit

BürgerWirtschaft, soweit nicht geschlossener Benutzerkreis

fortgeschrittene Signaturist in der Regel einzusetzen bei Kommunikation mit

Wirtschaft, soweit geschlossener Benutzerkreisverwaltungsintern




PKI-Strukturen in Deutschland (fortgeschrittene Signatur)Verwaltungs-PKI

entstanden auf Initiative des KoopAbetrieben vom BSI




Stand der PKI in S-HAnschluß an die Verwaltungs-PKI ist erfolgt

Prüfung der Policies durch das Bundesamt für die Sicherheit in der Informationsverarbeitung (BSI)Zertifizierung der obersten Zertifizierungsstelle S-H

Tests des Einsatzes von Zertifikaten sind durchgeführtzusammen mit der KomFIT im kommunalen Bereichmit dem Innenministerium im Landesbereich

produktionsreife PKI für Land und Kommunen ist im AufbauNutzung fortgeschrittener ZertifikateAnbindung an bundesweite VerzeichnisdiensteEinsatzbeginn Ende 2003




Teilnahmevoraussetzungen für die PKI-SHTechnische Voraussetzungen

Arbeitsplatz mit mindestensWindows 2000Office 2000Internet Explorer 5

Internetanschluß oder Netzverbindung mit der DZ-SHOrganisatorische Voraussetzungen

Einrichtung einer Registrierungsstelle oderAnschluß an eine bestehende RegistrierungsstelleAnerkennung der Sicherheitsrichtlinien




Kosteneinfache Lösung

Zertifikate als Datei, Speicherung auf Festplatteaktuelle Kostenschätzung: 15 € pro Zertifikat im Jahr

Lösung für höhere SicherheitsanforderungenZertifikate auf Chipkartedoppelte Kosten gegenüber einfacher Lösungzusätzlich Kartenleser am Arbeitsplatz




… und der Bürger

bekommt grundsätzlich kein Zertifikat der PKI-SH benötigt ein qualifiziertes Zertifikatkann qualifizierte Zertifikate von akkreditierten Zertifizierungsstellen bekommen

(Akkreditierung durch die Regulierungsbehörde für Post und Telekommunikation, RegTP)




… qualifizierte Signaturen für die Verwaltung

müssen dort, wo sie benötigt werden, ebenfalls von akkreditierten Zertifizierungsstellen bezogen werden (ggf. Rahmenvertrag?) können in die PKI-SH-Struktur eingebunden werden(Kartenleser und ggf. Zusatzsoftware werden benötigt)




Prüfung qualifizierter Signaturen

kann über die Struktur der PKI-SH erfolgen Verzeichnisdienste sind über dieVerwaltungs-PKI verbunden




Fazit

die Strukturen für diesen Baustein des eGovernment sind vorhanden

Sie können starten• identifizieren Sie geeignete Anwendungen• planen Sie frühzeitig

Empfehlung: starten Sie zum Kennenlernen mit einer einfachen internen Anwendung




Einsatz von Zertifikaten aus AnwendersichtBeispiel: Mail




AnwendersichtPosteingang




AnwendersichtMailansicht




AnwendersichtZertifikatsinformationen




AnwendersichtZertifizierungspfad




AnwendersichtFehlerhafte Signatur




AnwendersichtPost senden




AnwendersichtPost senden




vielen Dank für ihre Aufmerksamkeit

Fragen sind willkommen




Public Key Infrastruktur in

Schleswig-Holstein

Baustein für eGovernment

Lothar DesekeLeiter

Competence Center SecurityDatenzentrale Schleswig-Holstein

Documents

PKI in Schleswig-Holstein · 2006-03-01 · • eine fortgeschrittene Signatur ausreichend, soweit es die Kommunikation zwischen Ver-waltungen oder in geschlossenen Nutzerkreisen