Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Public Key Infrastruktur in Schleswig-Holstein Baustein für eGovernment (Vortrag im Rahmen des eGovernment-Forums 2003 in Rendsburg) eGovernment bedeutet die Durchführung von Verwaltungsprozessen auf elektronischem Weg. Für bestimmte Prozesse ist dabei Voraussetzung, dass die Identität einer Person festgestellt werden kann, die Vertraulichkeit der über Netze übertragenen Verwaltungsdaten sicherge-stellt ist und die Urheberschaft und Gültigkeit archivierter elektronischer Dokumente nachge-prüft werden kann. Dazu bedient man sich der elektronischen Signatur und der Verschlüsse-lung. Für die Nutzung dieser Instrumente ist eine komplexe Organisation nötig.
Die im Umfeld von eGovernment-Diskussionen häufig benutzte Abkürzung PKI steht für den Begriff Public Key Infrastructure. Public Key (Öffentlicher Schlüssel) ist ein Begriff aus der Kryptografie und bezeichnet den Teil eines (kryptografischen) Schlüsselpaares, der allen Kommunikationspartnern zugänglich gemacht wird. Infrastruktur steht für die Technik und Organisation zur Herstellung und Verwaltung der Schlüssel.
Das Schlüsselpaar (bestehend aus Öffentlichem Schlüssel und Privatem Schlüssel) wird in diesem Zusammenhang überwiegend für elektronische Signatur und Verschlüsselung einge-setzt. Dabei wird der Öffentliche Schlüssel für die Prüfung einer Unterschrift (elektronischen Signatur) oder die Verschlüsselung eines Dokuments verwendet, der Private Schlüssel (der im ausschließlichen Besitz des Schlüsselinhabers bleibt) zum Unterschreiben und Entschlüsseln.
Schlüssel werden hauptsächlich für Personen eingesetzt (z. B. als Signatur); es sind aber auch Verwendungsmöglichkeiten für Rechner, Programmmodule oder Formulare denkbar. Damit kann z. B. eindeutig der Rechner einer Verwaltung identifiziert werden, der für ein Bürgeran-gebot zur Verfügung steht; können Programme zur Bearbeitung von Förderanträgen als sicher gekennzeichnet werden oder Formulare als wirklich gültige erkannt werden.
Verwendungszwecke von Schlüsseln sind die sichere Identifikation (von Personen, Rech-nern), Authentifikation (von Personen, Rechnern, Programmen, Formularen), Integrität (von Dokumenten, Programmen, Formularen) und die Herstellung von Vertraulichkeit (bei der Kommunikation und Übermittlung von Dokumenten).
Sicher gestellt werden muss bei der Verwendung solcher Schlüssel die eindeutige Zuordnung zum Schlüsselinhaber. Diese Anforderung wird durch die Ausstellung von Zertifikaten erfüllt, die die Zugehörigkeit des Schlüssels zu einer Person (bzw. einem Rechner, einem Programm-hersteller) bescheinigen. Die Zertifikate werden von einer Zertifizierungsstelle ausgestellt, die vertrauenswürdig sein muss und deshalb selber von einer vertrauenswürdigen Instanz beglau-bigt ist. In Deutschland ist das für den Bereich der im Signaturgesetz definierten qualifizierten Signaturen die Regulierungsbehörde für Telekommunikation und Post (RegTP)1.
Eine PK-Infrastruktur besteht insgesamt aus • einer (mehrstufigen) zertifizierenden (beglaubigenden) Stelle, die die nötige Technik vor-
hält und die Zertifikate herstellt, • einer (mehrstufigen) registrierenden Stelle, die die Aufgabe der sicheren Identifizierung
der Person bei der Übergabe des Zertifikats und der laufenden Verwaltung der Zertifikate übernimmt,
• Anwendern mit ihrer Arbeitsumgebung, die die Zertifikate und Schlüssel bei der täglichen Arbeit einsetzen,
• einer Stelle. die für die Nachprüfbarkeit der Zertifikate sorgt, • den Prozessen zum Management der Zertifikate (Beantragung, Sperrung, Verlängerung).
1 Informationen unter www.regtp.de
Einsatzmöglichkeiten elektronischer Signaturen und Schlüssel sind beispielsweise • die Steuererklärung oder die Meldeverfahren (Beziehung Bürger – Verwaltung), • die Agrar- oder Wirtschaftsförderung (Beziehung Verwaltung – Wirtschaft), • die Kommunikation zwischen Verwaltungen (Beziehung Verwaltung – Verwaltung).
Dabei ist die in der Regel • eine qualifizierte Signatur gemäß Signaturgesetz2 einzusetzen, soweit es die Kommunika-
tion mit dem Bürger oder der Wirtschaft betrifft; • eine fortgeschrittene Signatur ausreichend, soweit es die Kommunikation zwischen Ver-
waltungen oder in geschlossenen Nutzerkreisen von Wirtschaft und Verwaltung angeht. Die qualifizierte Signatur ist allerdings durch die umfangreichen Vorgaben für Sicherheits-maßnahmen und den zwingenden Einsatz von Chipkarten kostenintensiver.
Für den Einsatz von fortgeschrittenen Signaturen in den Verwaltungen hat der Kooperations-ausschuß des Bundes und der Länder den Anstoß zu einer Verwaltungs-PKI3 gegeben, deren oberste Instanz beim Bundesamt für die Sicherheit in der Informationsverarbeitung (BSI) an-gesiedelt ist. Der Bund und einige Bundesländer sind dort inzwischen angeschlossen.
In Schleswig-Holstein haben im Jahr 2002 Test-Projekte im kommunalen und im Landes-Be-reich begonnen, die interessierten Verwaltungen die Gelegenheit geben, den Einsatz von Zer-tifikaten zu testen. Die Datenzentrale Schleswig-Holstein (DZ-SH) hat im Auftrag des Landes eine vom BSI anerkannte oberste Zertifizierungsstelle für Schleswig-Holstein eingerichtet. Bis zum Ende des Jahres soll daraus eine produktionsreife PKI für Land und Kommunen ent-stehen, über die die Weiterentwicklung des eGovernment unterstützt wird. Die PKI wird fort-geschrittene Zertifikate ausstellen und eine Anbindung an die Verzeichnisdienste der akkredi-tierten Zertifizierungsstellen („TrustCenter“) nach Signaturgesetz herstellen.
Zur Teilnahme an dieser PKI sollte als Mindestvoraussetzung eine Arbeitsplatzausstattung von Windows2000 aufwärts vorhanden sein sowie ein Internetanschluß. Die teilnehmende Verwaltung ist verpflichtet, die Regeln für den Betrieb einer Registrierungsstelle einzuhalten.
Die Kosten für die Nutzung der PKI beim Einsatz von fortgeschrittenen Zertifikaten, die als Datei auf dem Arbeitsplatz-Rechner gespeichert werden, liegen nach aktuellen Schätzungen bei 15 € jährlich pro Zertifikat. Bei höheren Sicherheitsanforderungen kommen Chipkarten für die Speicherung der Zertifikate zum Einsatz, so dass etwa doppelt so hohe Kosten entste-hen. Dazu ist die Anschaffung eines Kartenlesers für den Arbeitsplatz nötig.
Die Möglichkeiten für konkrete Anwendungen in der schleswig-holsteinischen Verwaltung sind vielfältig. Schon jetzt existiert eine produktive Anwendung in Form des elektronischen Grundbuchs. Weitere Registerverfahren befinden sich in der Ausschreibungsphase. Einsatz-beispiele sind neben den Fachanwendungen Workflow-Prozesse oder die Archivierung mit der Notwendigkeit des Nachweises über Urheberschaft, Gültigkeit und Integrität von Doku-menten. Aber auch einfache Prozesse wie die sichere Übermittlung von eMail zwischen Ver-waltungen oder in einer Verwaltung können zur Vereinfachung des Verwaltungshandeln bei-tragen. Lothar Deseke Leiter Competence Center Security Datenzentrale Schleswig-Holstein
2 Gesetz über Rahmenbedingungen für elektronische Signaturen vom 16. Mai 2001 3 Informationen unter www.bsi.bund.de/aufgaben/projekte/sphinx/verwpki/index.htm
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Public Key Infrastruktur in
Schleswig-Holstein
Baustein für eGovernment
Lothar DesekeLeiter
Competence Center SecurityDatenzentrale Schleswig-Holstein
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
eGovernment und PKIeGovernment ist die Durchführung von Verwaltungsprozessen auf elektronischem Wegdabei muss
die Identität einer Person festgestellt werden könnenUrheberschaft und Gültigkeit von Dokumenten nachprüfbar seindie Vertraulichkeit der übertragenen Verwaltungsdaten sichergestellt sein
Instrumente dafür sind elektronische Signatur und Verschlüsselungdie Nutzung dieser Instrumente bedarf einer Organisation = PKI
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
der Begriff PKIPKI = Public Key InfrastrukturPublic Key = Öffentlicher Schlüssel
Teil eines kryptografischen Schlüsselpaares bestehend aus Öffentlichem und Privatem Schlüssel
Infrastruktur = Technik und Organisation
zur Herstellung und Verwaltung der Schlüssel
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Einsatzprinzip von SchlüsselnÖffentlicher Schlüssel
Prüfung einer elektronischen SignaturVerschlüsselung von Daten
Privater Schlüssel
Unterschreiben von DatenEntschlüsseln von Daten
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Einsatzzwecke von Schlüsselneindeutige Identifizierung von Personen
Zugang zu Rechnern und InformationenUrheberschaft von Dokumenten
eindeutige Identifizierung von Rechnernsichere Rechner - Rechner- Kommunikation
eindeutige Identifizierung von Programmen und Programmmodulenaktive Formulare
Verschlüsselung (Sicherung von Daten gegen unbefugte Kenntnisnahme)Vertraulichkeit von DokumentenVertraulichkeit von Rechnerverbindungen
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Anforderungan den Schlüsseleinsatz:
Sichere und eindeutige Zuordnung des Schlüssels zum SchlüsselinhaberLösung
Verknüpfung von Schlüssel und zugehörigen Datenin einem Zertifikatausgestellt von einer vertrauens-würdigen Zertifizierungsstelledie ggf. selber einer Prüfungund Kontrolle unterliegt
Martin Mustermann
Zertifizierungsstelle
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Infrastrukturbeglaubigende Stelle (Zertifizierungsstelle, CA)
Erstellung der Zertifikate, Verlängerung, Sperrungregistrierende Stelle (Registrierungsstelle, RA)
Antragsannahme, Identitätsprüfung bei Übergabeveröffentlichende Stelle (Verzeichnisdienst)
Veröffentlichung der Zertifikate und SperrlistenAnwender mit Arbeitsumgebung
sicherer Umgang mit dem ZertifikatProzesse zum Management der Zertifikate
Beantragung, Sperrung, Verlängerung, Archivierung
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Public Key Infrastruktur (Schema)
CAZertifizierungsstelle
RARegistrierungsstelle(n)
Menschen Rechner Programme
Zertifikats“inhaber“
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
EinsatzmöglichkeitenBürger – Verwaltung
Steuererklärung (ELSTER)Meldeverfahren
Wirtschaft – VerwaltungWirtschaftsförderung, EU-AgrarförderungVergabe
Verwaltung – VerwaltungProzesse zwischen Verwaltungsebenen (z. B. Kommunen – Land)verwaltungsinterne Prozesse
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Arten von SignaturenSignaturgesetz unterscheidet zwischen qualifizierter und fortgeschrittener Signaturqualifizierte Signaturist in der Regel einzusetzen bei Kommunikation mit
BürgerWirtschaft, soweit nicht geschlossener Benutzerkreis
fortgeschrittene Signaturist in der Regel einzusetzen bei Kommunikation mit
Wirtschaft, soweit geschlossener Benutzerkreisverwaltungsintern
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
PKI-Strukturen in Deutschland (fortgeschrittene Signatur)Verwaltungs-PKI
entstanden auf Initiative des KoopAbetrieben vom BSI
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Stand der PKI in S-HAnschluß an die Verwaltungs-PKI ist erfolgt
Prüfung der Policies durch das Bundesamt für die Sicherheit in der Informationsverarbeitung (BSI)Zertifizierung der obersten Zertifizierungsstelle S-H
Tests des Einsatzes von Zertifikaten sind durchgeführtzusammen mit der KomFIT im kommunalen Bereichmit dem Innenministerium im Landesbereich
produktionsreife PKI für Land und Kommunen ist im AufbauNutzung fortgeschrittener ZertifikateAnbindung an bundesweite VerzeichnisdiensteEinsatzbeginn Ende 2003
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Teilnahmevoraussetzungen für die PKI-SHTechnische Voraussetzungen
Arbeitsplatz mit mindestensWindows 2000Office 2000Internet Explorer 5
Internetanschluß oder Netzverbindung mit der DZ-SHOrganisatorische Voraussetzungen
Einrichtung einer Registrierungsstelle oderAnschluß an eine bestehende RegistrierungsstelleAnerkennung der Sicherheitsrichtlinien
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Kosteneinfache Lösung
Zertifikate als Datei, Speicherung auf Festplatteaktuelle Kostenschätzung: 15 € pro Zertifikat im Jahr
Lösung für höhere SicherheitsanforderungenZertifikate auf Chipkartedoppelte Kosten gegenüber einfacher Lösungzusätzlich Kartenleser am Arbeitsplatz
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
… und der Bürger
bekommt grundsätzlich kein Zertifikat der PKI-SH benötigt ein qualifiziertes Zertifikatkann qualifizierte Zertifikate von akkreditierten Zertifizierungsstellen bekommen
(Akkreditierung durch die Regulierungsbehörde für Post und Telekommunikation, RegTP)
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
… qualifizierte Signaturen für die Verwaltung
müssen dort, wo sie benötigt werden, ebenfalls von akkreditierten Zertifizierungsstellen bezogen werden (ggf. Rahmenvertrag?) können in die PKI-SH-Struktur eingebunden werden(Kartenleser und ggf. Zusatzsoftware werden benötigt)
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Prüfung qualifizierter Signaturen
kann über die Struktur der PKI-SH erfolgen Verzeichnisdienste sind über dieVerwaltungs-PKI verbunden
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Fazit
die Strukturen für diesen Baustein des eGovernment sind vorhanden
Sie können starten• identifizieren Sie geeignete Anwendungen• planen Sie frühzeitig
Empfehlung: starten Sie zum Kennenlernen mit einer einfachen internen Anwendung
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Einsatz von Zertifikaten aus AnwendersichtBeispiel: Mail
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
AnwendersichtPosteingang
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
AnwendersichtMailansicht
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
AnwendersichtZertifikatsinformationen
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
AnwendersichtZertifizierungspfad
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
AnwendersichtFehlerhafte Signatur
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
AnwendersichtPost senden
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
AnwendersichtPost senden
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
vielen Dank für ihre Aufmerksamkeit
Fragen sind willkommen
Datenzentrale Schleswig-HolsteinDer IT-Dienstleister für die öffentliche Verwaltung
PKI in Schleswig-Holstein
eGovernment-Forum Rendsburg Lothar Deseke Juni 2003
Public Key Infrastruktur in
Schleswig-Holstein
Baustein für eGovernment
Lothar DesekeLeiter
Competence Center SecurityDatenzentrale Schleswig-Holstein