Fremd-bPK-Tool

Fremd-bPK-Tool
www.egiz.gv.at
E-Mail: post@egiz.gv.at
Telefon: ++43 (316) 873 5514
Fax: ++43 (316) 873 5520
Inffeldgasse 16a / 8010 Graz / Austria
Beschreibung und Bedienungsanleitung
Werkzeug für verschlüsselte bPKs
Dipl.-Ing. Mario Ivkovic
Graz, am 21. Dezember 2006
Inhaltsverzeichnis:
1
Allgemeines....................................................................................................................... 2
1.1 Begriffsbestimmungen ............................................................................................... 2
2 Einsatzszenarien von Fremd-bPKs und verschlüsselten bPKs......................................... 2
2.1 Szenario: Personenbezogenes Dokument senden und empfangen .......................... 2
2.2 Szenario: Personenbezogenes Dokument empfangen.............................................. 3
2.3 Szenario: Dokumentenaustausch mit SZRB-Abfrage ................................................ 4
3 Bedienungsanleitung......................................................................................................... 5
4 Lizenz und Source Code................................................................................................... 6
Abbildungsverzeichnis:
Abb. 3.1: Szenario: Personenbezogenes Dokument senden und empfangen ........................ 3
Abb. 3.1: Szenario: Personenbezogenes Dokument empfangen ............................................ 4
Abb. 3.1: Szenario: Dokumentenaustausch mit SZRB-Abfrage............................................... 5
Abb. 3.1: Werkzeug für verschlüsselte bPKs ........................................................................... 6
1 Allgemeines
Dieses Dokument dient einerseits der Beschreibung der kostenlos vom EGIZ zur Verfügung
gestellten Applikation Werkzeug zur Erstellung von verschlüsselten bPKs, als auch einer
allgemeinen Beschreibung der verschiedenen Einsatzgebiete von Fremd-bPKs beim
Dokumentenaustausch.
Zur Erstellung von Fremd-bPKs werden Zertifikate bzw. die darin enthaltenen öffentlichen Schlüssel
benötigt. Diese Zertifikate können mit dem Fremd-bPK-CA Tool 1 , welches ebenfalls kostenlos zur
Verfügung gestellt wird, erzeugt werden.
1.1 Begriffsbestimmungen
In diesem Dokument wird ein grundsätzliches Verständnis von bPKs und Fremd-bPKs
vorausgesetzt. Der hier neu eingeführte Begriff „verschlüsseltes bPK“, der nur eine Sonderform des
Fremd-bPK darstellt, wird im Anschluss erläutert.
Fremd-bPK
Das Fremd-bPK ist das verschlüsselte bPK einer Person, für einen anderen Bereich als den
eigenen. Verschlüsselt wird das Fremd-bPK mit dem öffentlichen Schlüssel der Behörde für dessen
Bereich die Fremd-bPK ausgestellt werden soll.
Die Berechnung des Fremd-bPK wird in der Regel von der Stammzahlenregisterbehörde (StZRegBehörde) durchgeführt.
Verschlüsseltes bPK
Das verschlüsselte bPK wird gleich wie das Fremd-bPK gebildet, mit dem einzigen Unterschied,
dass das verschlüsselte bPK von der jeweiligen Behörde selbst anstatt durch die StZReg-Behörde
berechnet wird. Mit anderen Worten wird aus dem bPK einer Person ein Fremd-bPK für den
eigenen Bereich erstellt. Das so erzeugte Fremd-bPK kann, wie im nächsten Abschnitt näher
beschrieben, für einen personenbezogenen Dokumentenaustausch genutzt werden.
2 Einsatzszenarien von Fremd-bPKs und verschlüsselten
bPKs
In diesem Abschnitt werden drei mögliche Szenarien beschrieben, bei denen zwei Behörden, mittels
eines Fremd-bPKs, einen personenbezogenen Dokumentenaustausch durchführen.
2.1 Szenario: Personenbezogenes Dokument senden und empfangen
Bei diesem Szenario gibt die Behörde A ein über ein bPK an eine bestimmte Person gebundenes
Dokument zur Weiterverarbeitung an die Behörde B, zusammen mit einer verschlüsselten bPK.
Behörde B schickt nach Beendigung der Bearbeitung das Dokument, zusammen mit der zuvor
empfangenen verschlüsselten bPK (Fremd-bPK), an Behörde A zurück. Die Behörde A kann das
Fremd-bPK entschlüsseln und somit das empfangene Dokument wieder der ursprünglichen Person
(bPK) zuordnen.
1
http://demo.a-sit.at/it_sicherheit/ca_toolkit/index.html
2
1.
bPKA
Fremd-bPKA
öffentlicher Schlüssel-A
Fremd-bPKA
Dokument
2.
Behörde A
Behörde B
3.
Fremd-bPKA
Dokument
4.
bPKA
Fremd-bPKA
privater Schlüssel-A
Abb. 2.1: Szenario: Personenbezogenes Dokument senden und empfangen
Ablauf:
1. Behörde A erzeugt ein für ihren Bereich verschlüsseltes bPK aus dem ihr bekannten bPK. Die
Verschlüsselung des bPK kann mit Hilfe des hier beschriebenen Werkzeuges vorgenommen
werden (siehe Kapitel 3).
2. Behörde A schickt das erzeugte Fremd-bPK zusammen mit dem Dokument an Behörde B.
Optional schickt die Behörde A ein Zertifikat an Behörde B, welches diese benutzen kann um
das Dokument später so zu verschlüsseln, dass nur Behörde A es wieder entschlüsseln und
lesen kann. Für den Fall, dass das Verschlüsselungs-Zertifikat von Behörde B bekannt ist, kann
das Dokument auch verschlüsselt an die Behörde B gesendet werden.
3. Behörde B schickt das modifizierte Dokument mit dem Fremd-bPK zurück an Behörde A.
Optional kann die Behörde B, falls ihr das Zertifikat von Behörde A bekannt ist, das Dokument
mit dem im Zertifikat enthaltenen öffentlichen Schlüssel verschlüsseln.
4. Behörde A entschlüsselt das empfangene Fremd-bPK und kann damit das Dokument wieder
einer Person (bPK) zuordnen. Für den Fall dass das Dokument verschlüsselt war, entschlüsselt
Behörde A das Dokument mit dem nur ihr bekannten privaten Schlüssel.
Zur Ver- und Entschlüsselung von den übertragenen Dokumenten könnte beispielsweise das CCETool 2 verwendet werden, welches kostenlos von A-SIT zur Verfügung gestellt wird.
2.2 Szenario: Personenbezogenes Dokument empfangen
Bei diesem Szenario möchte die Behörde B der Behörde A ein personenbezogenes Dokument
zukommen lassen. Dazu wird die Behörde A aufgefordert ein Fremd-bPK für die betreffende Person
an die Behörde B zu schicken. Die Behörde B kann im Anschluss das Dokument zusammen mit
dem Fremd-bPK an Behörde A retournieren.
2
http://demo.a-sit.at/buergerkarte/cce_tool/index.html
3
Abb. 2.2: Szenario: Personenbezogenes Dokument empfangen
Ablauf:
1. Behörde B fordert die Behörde A auf, ihr ein Fremd-bPK für eine bestimmte Person
zuzusenden.
2. Behörde A erzeugt das Fremd-bPK mit dem in diesem Dokument beschriebenen Werkzeug und
sendet es an die Behörde B. Optional kann ein Zertifikat mitgeschickt werden, mit dem das
Dokument von der Behörde A verschlüsselt wird.
3. Behörde A schickt das berechnete Fremd-bPK an die Behörde B.
4. Behörde B schickt das modifizierte Dokument mit dem Fremd-bPK zurück an Behörde A.
Optional kann die Behörde B, falls ihr das Zertifikat von Behörde A bekannt ist, das Dokument
mit dem im Zertifikat enthaltenen öffentlichen Schlüssel verschlüsseln.
5. Behörde A kann das erhaltene Fremd-bPK mit ihrem privaten Schlüssel entschlüsseln, das bPK
extrahieren und so das Dokument einer Person zuordnen.
2.3 Szenario: Dokumentenaustausch mit SZRB-Abfrage
Bei diesem Szenario sendet die Behörde A ein personenbezogenes Dokument an Behörde B mit
einer SZRB-Abfrage als Zwischenschritt.
4
SZRB
1.
4.
Fremd-bPKB
Fremd-bPKB
bPKB
privater Schlüssel-B
2.
Dokument
Fremd-bPKB
Behörde A
3.
Behörde B
Abb. 2.3: Szenario: Dokumentenaustausch mit SZRB-Abfrage
Ablauf:
1. Behörde A stellt eine Anfrage an das SZRB für ein Fremd-bPK für die Behörde B.
2. Behörde A bekommt das Fremd-bPK für Behörde B.
3. Behörde A sendet das Dokument zusammen mit dem Fremd-bPK an die Behörde B.
4. Behörde B kann das erhaltene Fremd-bPK mit ihrem privaten Schlüssel entschlüsseln, das bPK
extrahieren und so das Dokument einer Person zuordnen.
Bei diesem Szenario wird das hier beschriebene Werkzeug zur Erstellung von verschlüsselten bPKs
auf der Sender-Seite nicht benötigt, da das Fremd-bPK von der SZRB erstellt wird. Auf der
Empfänger-Seite kann es zum Entschlüsseln der Fremd-bPK eingesetzt werden.
3 Bedienungsanleitung
In diesem Abschnitt wird die Bedienung der Applikation Werkzeug für verschlüsselte bPKs
beschrieben.
Abb. 3.1 zeigt die Eingabemaske, die nach dem Starten der Applikation erscheint. Um ein FremdbPK zu erzeugen, müssen zuerst ein Bereich und ein bPK eingegeben werden. Des weiteren muss
ein Zertifikat geladen werden, mit dessen Hilfe das bPK im Anschluss verschlüsselt werden kann.
Wenn diese drei Bedingungen erfüllt sind, kann mit dem Button Verschlüsseln das Fremd-bPK
erzeugt werden. Das so erzeugte Fremd-bPK erscheint nun auf der linken Seite und kann wenn
benötigt gespeichert werden.
Um ein Fremd-bPK zu entschlüsseln muss dieses entweder manuell in das dafür vorgesehen Feld
eingefügt oder über den Button Fremd-bPK laden vom Dateisystem gelesen werden. Bevor das
Fremd-bPK entschlüsselt werden kann, muss eine PKCS#12 Datei, welche den privaten Schlüssel
enthält, geladen und entschlüsselt werden (PKCS#12 Datei kann beispielsweise mit Fremd-bPK-CA
Tool erstellt werden 3 ). Wurde die PKCS#12 Datei erfolgreich geladen, kann mit dem Button
Entschlüsseln aus dem Fremd-bPK der Bereich und das bPK rückgerechnet werden.
3
http://demo.a-sit.at/it_sicherheit/ca_toolkit/index.html
5
Abb. 3.1: Werkzeug für verschlüsselte bPKs
4 Lizenz und Source Code
Das hier beschriebene Werkzeug und der dazugehörige Source Code werden vom
Bundeskanzleramt (BKA) und der Technischen Universität Graz (TU Graz) sowohl Organisationen
der öffentlichen Verwaltung als auch der Privatwirtschaft kostenfrei zur Verfügung gestellt.
Lizenzrechtlich kommt dabei die Open-Source-Lizenz der Apache Software Foundation in der
Version 2.0 zur Anwendung. Dabei sind folgende Randbedingungen zu beachten:
•
Die Open-Source-Lizenz bezieht sich allein auf jene Teile, an denen das BKA die Rechte
hält.
•
Das beschriebene Werkzeug verwendet Bibliotheken bzw. Module Dritter, die teils wiederum
unter freien Software-Lizenzen stehen, oder auch kostenpflichtig sein können. Der
Lizenznehmer hat für den Erhalt allfälliger Rechte selbst zu sorgen.
•
Für den Betrieb in der eigenen Organisation sowie für eine eventuell notwendige Anpassung
der Software an spezielle Randbedingungen und die Inbetriebnahme hat der Lizenznehmer
selbst zu sorgen.
Es wird darauf hingewiesen, dass es sich bei der zur Verfügung gestellten Software lediglich um
einen Demonstrator handelt, der einer für den Produktionseinsatz erforderlichen Qualitätssicherung
nicht unterzogen wurde. Die Software wird daher ohne Gewährleistung, Zusicherung von
Eigenschaften oder Haftung zur Verfügung gestellt.
6
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertising