Das BSI zur Smart-eID

Von Ralf Keuper

Ende dieses Jahres soll die Smart-eID den Bürgerinnen und Bürgern auf dem Smartphone zur Verfügung stehen[1]Smart eID-Gesetz: Auf Smartphone speicherbarer Online-Ausweis. Unterdessen hat sich das BSI in seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland zur Smart-eID geäußert.

Zur technischen Grundlage der Smart-eID:

Grundlage für die Smart-eID ist ein so genanntes eIDApplet, das ausschließlich innerhalb eines Sicherheitselements des Mobilgerätes ausgeführt werden darf. Das Sicherheitselement wird durch einen dedizierten Chip realisiert, welcher für die sichere Speicherung von kryptografischen Schlüsseln sowie die sichere Ausführung kryptografischer Operationen oder Applikationen optimiert ist. Dieser kann in Mobilgeräten entweder als ein sogenanntes Secure Element (SE) realisiert werden oder durch eine fesverbaute SIM-Karte, welche auch eUICC oder eSIM genannt wird. Das Applet selber basiert auf etablierten kryptografischen Protokollen, die bereits beim elektronischen Personalausweis zum Einsatz kommen. Das bietet den Vorteil, dass die Smart-eID kompatibel zu bereits bestehenden Diensten ist, die bereits die Online-Ausweisfunktion anbieten. Im nächsten Schritt muss gewährleistet werden, dass das eID-Applet nur auf Sicherheitselementen mit einem geeigneten Sicherheitsniveau verwendet und auf diese aufgespielt werden kann.

Zur Rolle des Trusted Service Manager (TSM)

Dafür wird mit dem Trusted Service Manager (TSM) eine Infrastruktur geschaffen, die für alle Anbieter von sicheren Applets diskriminierungsfrei zugänglich ist und höchste Sicherheits- und Datenschutzstandards erfüllt. Der TSM übernimmt als Schnittstelle zwischen dem Ausweishersteller, dem Mobilgerätehersteller und der Endkundin bzw. dem Endkunden die Aufgabe, die Eignung der Sicherheitselemente von mobilen Endgeräten zu validieren und das eID-Applet sicher auf diese aufzubringen. Um das zu ermöglichen, engagiert sich das BSI in der Standardisierung der notwendigen Komponenten, Interfaces und Abläufe, damit die entwickelte Technologie für möglichst viele Mobilgeräte und Endnutzer zur Verfügung steht.

Zur Verwendung:

Für die eigentliche Verwendung der Smart eID muss das eID-Applet schließlich noch mit validen Identitätsdaten des Nutzers bespielt werden. Das wird durch einen Dienst ermöglicht, bei dem die Nutzerin bzw. der Nutzer ihren bzw. seinen bestehenden Personalausweis via Online-Ausweisfunktion ausliest und die Daten im Anschluss verifizierbar und manipulationssicher im Applet hinterlegt.

Dieser Beitrag wurde unter Cybersecurity, Digitale Identitäten veröffentlicht. Setze ein Lesezeichen auf den Permalink.