Cebit

Fraunhofer zeigt Anwendungsbeispiele für elektronischen Personalausweis

Das Fraunhofer SIT präsentiert Anwendungsszenarien, bei denen der elektronische Personalausweis im Internet genutzt wird.

In Pocket speichern vorlesen Druckansicht 97 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Axel Kossel

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) zeigt auf der CeBIT (Halle 9, Stand B36) Anwendungsszenarien für den elektronischen Personalausweis (ePA), der im November 2010 eingeführt werden soll. In Demo-Anwendungen wird gezeigt, wie der ePA etwa beim Online-Kauf von Musik oder beim Eröffnen eines Kontos bei einer Bank nutzbar sein könnte.

Muster des elektronischen Personalausweises im Scheckkartenformat

Der Chip auf dem ePA hat drei unabhängige Aufgaben: In Bereich für hoheitliche Anwendungen liegen die Personendaten und das Gesichtsbild, sofern der Inhaber damit einverstanden ist auch zwei Fingerabdrücke. Dieser Bereich ist für Anbieter von E-Business- oder E-Government-Anwendungen nicht zugänglich. Für diese gibt es einen zweiten Bereich, in dem Name, Adresse, Geburtsdatum und Pseudonyme abgelegt sind.

Damit ein Anbieter auf diese eID-Informationen zugreifen kann, muss er bei einer staatlichen Stelle ein Berechtigungszertifikat beantragen. Dabei wird auch geprüft, welche Daten er für seine Anwendung erheben darf. Im dritten Bereich kann schließlich zusätzlich zur eID eine qualifizierte elektronische Signatur nach Signaturgesetz abgelegt werden, um rechtsverbindliche Geschäfte online abzuschließen. Sie wäre etwa Voraussetzung für das genannte Beispiel, in dem ein Konto eröffnet wird.

eID arbeitet nicht mit X.509-Zertifikaten. Gegen deren Verwendung spricht laut SIT unter anderem, dass der ePA stromlos ist, kein aktuelles Datum mit Uhrzeit führt und somit Probleme hat, die Gültigkeit von Berechtigungszertifikaten zu prüfen. Die Verbindung zwischen Server und ePA wird durch ein spezielles Verfahren gesichert: Über die SSL-Verbindungen mit dem Diensteanbieter wird per Password Authenticated Connection Establishment (PACE) ein Sitzungsschlüssel ausgehandelt. Derzeit gibt es noch keine Kartenleser mit RFID-Schnittstelle, die PACE beherrschen und eine eigene Tastatur zur sicheren PIN-Eingabe besitzen. Das BSI will aber sicherstellen, dass solche Geräte bis zur Einführung des ePA verfügbar und zertifiziert sind.

Bei den Demoanwendungen auf der CeBIT wird gezeigt, wie der Nutzer angezeigt bekommt, welche eID-Daten der Betreiber der Anwendung vom ePA abfragen möchte und welche er optional freigeben kann. Erst wenn der Nutzer dann seine PIN eingibt, werden diese Daten auch tatsächlich übertragen. Die eID-Funktion kann bei der Personalausweisbehörde aktiviert oder deaktiviert werden, dort kann man auch eine vergessen PIN zurücksetzen lassen.

Die auf der CeBIT gezeigten Demoanwendungen sind noch theoretisch, doch die Bundesregierung will zwischen Oktober 2009 und Oktober 2010 einen Anwendungstest durchführen, zu dem sich bislang 90 Teilnehmer angemeldet haben, darunter etliche Versicherungen und Behörden.

Siehe dazu auch:

(ad)