Smartcard vorweisen, bitte!

Ab November können externe Benutzer nur noch mit einer Smartcard auf die Anwendungen des Eidgenössischen Justiz- und Polizeidepartments zugreifen.

Artikel erschienen in Swiss IT Magazine 2006/19

     

Die IT-Systeme des Bundesamtes für Polizei für Fahndung, die Erteilung von Ausweisen oder Geldwäscherei, aber auch andere Applikationen des eidgenössischen Justiz und Polizeidepartements (EJPD) wie etwa das Handels- oder das Strafregister, enthalten Personendaten, die das Datenschutzgesetz vor Missbrauch durch Dritte schützt. Kantone und Gemeinden und insbesondere deren Polizeikorps sind jedoch darauf angewiesen, für ihre Arbeit auf die Applikationen und Daten des EJPD zugreifen zu können. Das Department hat daher für seine Applikationen ein sicheres Single-Sign-on-Portal (SSO) aufgebaut, das den Benutzern nur aufgrund einer sicheren Identifikation die für ihre Arbeit notwendigen Zugriffsrechte gibt. Von den externen Anwendern bei Bund, Kantonen und Gemeinden wird verlangt, dass sie sich bei der Anmeldung einer auf sie persönlich ausgestellten Smartcard bedienen.


Zentrale Authentifizierungs- infrastruktur

Um den hohen Sicherheitsansprüchen zu genügen, werden die Fachanwendungen des EJPD in einer Sicherheitszone betrieben. Der Zugriff erfolgt ausschliesslich über das SSO-Portal und die Kommunikation ist über sämtliche Netzwerkstrecken verschlüsselt. Zudem sind alle an der Kommunikation beteiligten Personen und Komponenten jederzeit mittels Zertifikaten eindeutig identifizierbar.
Die Authentifizierung der Benutzer ist an eine speziell zu diesem Zweck entwickelte Infrastruktur delegiert, bei der Authentifizierung und Autorisierung getrennt sind. Der Sicherheitszone vorgelagert ist eine sogenannte demilitarisierte Zone, wo die Abklärung von Identität und Berechtigung zentral erfolgt. Dabei geht das Sicherheitssystem davon aus, dass jeder Mensch nur eine einzige Identität besitzt.
Die Erteilung der Rechte für die Ausführung bestimmter Funktionen obliegen den entsprechenden Verwaltungsabteilunge, wo die Informationen über den Benutzer und sein Aufgabengebiet vorhanden sind. Die Benutzer des SSO-Portals können so zwar mehrere Rollen in Bezug auf die Benutzung der Applikationen haben, diese müssen jedoch zwingend mit einer einzigartigen Identität verbunden sein.


Elektronische Identität

In der realen Welt zücken wir unseren Pass oder die Identititätskarte, um uns auszuweisen. Dem enspricht in der digitalen Welt eine elektronische Identität, die es dem Besitzer erlaubt, seine Identität zweifelsfrei zu beweisen, ein Dokument elektronisch zu signieren und Informationen zu entschlüsseln, die für ihn bestimmt sind.
Die technische Basis bildet eine Public Key Infrastucture (PKI). Diese beruht auf dem System der asymmetrischen Verschlüsselung mit zwei Schlüsseln. Der eine Teil eines Schlüsselpaares, der «public key», ist öffentlich zugänglich. Damit lässt sich ein Text so verschlüsseln, dass ihn der Besitzer des dazugehörigen privaten Schlüssels – und nur dieser – wieder entschlüsseln kann.




Um sicherzustellen, dass eine Botschaft unterwegs nicht manipuliert wurde und der Absender wirklich derjenige ist, für den er sich ausgibt, wird der Text digital signiert. Dazu wird ein beliebig langes Teilstück des verschlüsselten Textes (meist der gesamte Text) ausgewählt und mittels eines Hash-Verfahrens auf eine Bitfolge mit fester Länge komprimiert. Dies ergibt eine eindeutige Prüfsumme. Diese wird mit dem privaten Schlüssel des Senders verschlüsselt und zusammen mit dem Text verschickt. Der Empfänger entschlüsselt mit dem öffentlichen Schlüssels des Senders die verschlüsselte Prüfsumme und berechnet seinerseits eine Prüfsumme für den Text. Stimmen die Prüfsummen überein, so steht fest, dass der Verwender des privaten Schlüssels den Text signiert hat und die Nachricht bei der Übertragung nicht verändert wurde. Der eigentliche Text wird dann mit dem privaten Schlüssel des Empfängers entschlüsselt.





Mit Hilfe der Zertifizierung kann die Zuordnung eines Schlüsselpaares zu einer bestimmten Person und damit die Identität des Absenders sichergestellt werden. Dazu wird eine dritte Instanz eingeschaltet, die Zertifizierungsstelle oder Certification Authority. Diese führt Zertifizierungen nach einem veröffentlichten Regelwerk durch, in dem unter anderem festgelegt ist, auf welche Weise die Identität des Schlüsselinhabers festgestellt wird, wie lang der verwendete Schlüssel mindestens zu sein hat und für welchen Zeitraum ein Zertifikat gültig ist.


Die PKI-Infrastruktur

Das Zertifikat bildet das Kernstück einer PKI. Für Bund, Kantone und Gemeinden hat das Bundesamt für Information und Telekommunikation (BIT) die Aufgabe der Certification Authority übernomen. Es garantiert, dass die Zertifikate echt sind und nur an Berechtigte ausgegeben werden.
Das BIT hat eine Infrastuktur aufgebaut, welche die gesamte IT-Struktur für das Ausstellen und Verwalten elektronischer Benutzerzertifikate umfasst. In der Praxis erfolgt die Ausgabe jedoch dezentral durch sogenannte Local Regi­stration Authorities, die nach strengen Vorgaben des BIT vorgehen.
Die Benutzerzertifikate und die privaten Schlüssel werden auf einer Smartcard gespeichert. Zusammen mit einer PIN ergibt die Karte das Masterpasswort für den Zugriff auf das SSO-Portal des EJPD.
Nach einer erfolgreichen
Authentifizierung werden von der Portalanwendung alle Applika­tionen für den Zugriff freigeschaltet, für die der Anwender einen aktiven Account hat. Er gelangt auf eine personalisierte Einstiegsseite mit den ihm zur Verfügung stehenden Fach- und Web-Anwendungen. Die Passwörter für die einzelnen Anwendungen kennt der Smartcard-Besitzer nicht. Sie werden auf der Karte automatisch verwaltet, geändert und von den Anwendungen eingelesen und verifiziert.


Das Zürcher Beispiel

Im Kanton Zürich wurde der PKI-Rollout für die Kantonspolizei und die Polizei in den Gemeinden (ohne die Städte Zürich und Winterthur) soeben abgeschlossen. In nur gerade zwei Monaten wurden für 2300 Polizisten Zertifikate ausgestellt und 2100 PCs im ganzen Kanton mit Kartenlesern und Software ausgerüstet, welche die Karten erkennen und automatisch eine verschlüsselte Verbindung zum EJPD-Portal herstellen. Eine nicht zu unterschätzende logistische Aufgabe, wie Marco Antonelli sagt. Er war als Projektleiter bei Abraxas Informatik für diesen Roll-out zuständig.




2003 hatte die Kantonspolizei Zürich ihre IT-Infrastruktur an Abraxas ausgelagert. Für die Wartung und den Betrieb hat das Unternehmen ein eigenes Competence Center Polizeien gebildet. Fünf Abraxas-Mitarbeiter wurden dieses Jahr im BIT zu «Local Registration Authority Officers» ausgebildet. Sie sind für die Ausgabe der Schlüssel, PINs und Smartcards nach den Regeln des BIT verantwortlich. «Alle Polizisten erschienen persönlich und mussten sich ausweisen», erinnert sich Antonelli. «Drei Wochen lang hatten wir uns zu diesem Zweck in der Polizeikaserne installiert. Dann folgten drei Wochen im Flughafen Kloten. Im gleichen Zeitraum wurden die PCs mit Kartenlesern ausgerüstet. Am 22. September 2006 war der grösste PKI-Roll-out abgeschlossen, den es im Kanton Zürich bisher gegeben hat.» Damit gehören die Polizeikorps des Kantons Zürich zu den ersten, welche die Umrüstung abgeschlossen haben.





Ab jetzt werden die Local Registration Authority Officers den neu in den Polizeidienst Eintretenden ihre Smartcards in den Abraxas-eigenen Räumlichkeiten ausstellen oder diese von denjenigen Polizisten, die den Dienst verlassen, einziehen. Ausserdem sind sie für Notfälle – etwa, wenn ein Beamter seine Karte nicht zur Hand hat – ermächtigt, die Zulassung für kurze Zeit freizugeben, um dem Polizisten die Arbeit mit den Bundesapplikationen trotzdem zu ermöglichen.
Die Polizeibeamten finden nun innerhalb ihres Portals ein EJPD-Icon. Wenn sie dieses anklicken, werden die Smartcard verlangt, die PIN abgefragt und die Verbindung zum EJPD-Portal hergestellt.




Weiter wurden auf der Smartcard bereits vorsorglich weitere Zerifikate gespeichert, wie Antonelli erklärt. So dürften etwa in absehbarer Zeit auch mit der PKI des BIT verschlüsselte und
signierte E-Mails über das öffentliche Netz möglich werden.
Der Polizei käme dies insbesondere bei internationalen Kontakten sehr zustatten. Dazu muss die PKI des BIT jedoch erst ihrerseits von einer übergeordneten PKI-Instanz zertifiziert werden. Einen entsprechenden Auftrag hat das BIT im April erteilt.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER