Europäische PKI zum Zugriffsschutz elektronischer Reisedokumente
Harmonisierung der Sicherheitsmechanismen bei der Grenzkontrolle
Der PKI Spezialist MTG AG hat sein Produktportfolio um eine Implementierung des europaweit standardisierten PKI Management Protokolls SPOC erweitert. Mittels einer SPOC Komponente kann ein nationales PKI System, das den Zugriffsschutz auf die eigenen elektronischen Ausweise sicherstellt, in Europa jeweils bilateral mit einem anderen verbunden werden. Durch die entstehende europäische PKI werden Interoperabilität und ein einheitliches Sicherheitsniveau bei der Grenzkontrolle gewährleistet.
"Diese Erweiterung empfiehlt unsere technische Plattform einmal mehr als Basis für PKI Strukturen bei elektronischen Ausweisen", erklärt Andrea Klenk, Vorstandsmitglied der MTG. "Unser Produkt MTG CARA erfüllt die hohen Anforderungen, die in diesem Rahmen an Schnittstellen, Konfigurierbarkeit, Performanz und Skalierbarkeit eines PKI Systems gestellt werden."
Nun einige Erläuterungen zum Hintergrund. Elektronische Ausweisdokumente müssen durch geeignete technische Mechanismen auf Echtheit und Unverfälschtheit geprüft und vor unbefugtem Zugriff auf die persönlichen Daten der Ausweisinhaber geschützt werden. Zusätzlich zu internationalen Standards sind auf europäischer Ebene erweiterte Sicherheitsmechanismen durch Beschlüsse der EU festgelegt worden. Diese betreffen insbesondere den Zugriff auf gespeicherte biometrische Informationen (Fingerabdrücke). Die EU bezieht sich in ihren Festlegungen auf den deutschen Standard " Extended Access Control" (EAC). Technische Grundlage für EAC sind PKI Strukturen, die in einer zweistufigen Hierarchie sogenannte Berechtigungszertifikate ausgeben.
MTG baut derzeit für die Bundesrepublik Deutschland die benötigten Root CA Systeme auf. Unter der deutschen EAC Root CA, die auch als CVCA (country verifying certification authority) bezeichnet wird, werden digitale Zertifikate ausgegeben, die dedizierten hoheitlichen Anwendungen wie z.B. Grenzkontrollgeräten Leserechte auf die Daten der deutschen Reisedokumente erteilen. Auch die Kontrollgeräte anderer europäischer Nationen müssen über Berechtigungszertifikate aus der deutschen EAC PKI verfügen, um deutsche Reisedokumente vollständig zu lesen. Das gleiche gilt umgekehrt: um Ausweise der europäischen Nachbarn lesen zu können, benötigen deutsche Kontrollgeräte Berechtigungszertifikate aus deren EAC PKI Strukturen. Ausgehend von bilateralen Vereinbarungen müssen also sichere Verbindungen zwischen den nationalen PKI Systemen geschaffen werden. Zu diesem Zweck wurde von der europäischen "Brussels Interoperability Group" das sogenannte SPOC (single point of contact) Konzept entwickelt. Es beinhaltet insbesondere ein sicheres Kommunikationsprotokoll zur wechselseitigen Beantragung von CA Zertifikaten.
Die für Reisepässe festgelegten Schutzmechanismen wurden in Deutschland für den neuen Personalausweis noch weiterentwickelt. Der Zugriffsschutz erstreckt sich hier nicht nur auf die biometrischen Daten, sondern auch auf die sogenannte eID Funktionalität.