"banner top"

SuisseID – Der digitale Identitätsträger der Zukunft

Artikel als PDF

Die SuisseID soll ab Mai 2010 das erste standardisierte Produkt für den sicheren elektronischen Identitätsnachweis werden. Damit sollen künftig Geschäfte von Privatpersonen zu Firmen, von Firmen untereinander sowie vom Bürger zur Verwaltung direkt über das Netz sicher abgeschlossen werden können.

Das Staatssekretariat für Wirtschaft (SECO) – verantwortlich für die Einführung der SuisseID – hat das e-Government Kompetenzzentrum der BFH beauftragt in Zusammenarbeit mit dem Departement TI einen Vorentwurf des geplanten SuisseID Zertifikatinhalts mit ähnlichen Produkten anderer europäischer Länder zu vergleichen und zu bewerten. Im folgenden Artikel sollen die Eigenschaften der SuisseID näher vorgestellt werden.

Die SuisseID ist eine Infrastruktur, welche künftig von ZertES-anerkannten Anbietern von Zertifizierungsdiensten (CSP) bereitgestellt werden kann. Sie besteht grundsätzlich aus:

  • einem sicheren Datenträger (Token), ausgestellt für eine natürliche Person mit folgendem Zertifikat-Set:

    • einem ZertES-konformen Zertifikat (QC), um damit Dokumente elektronisch und rechtsverbindlich unterschreiben zu können.
    • einem standardisierten Authentisierungs-Zertifikat (IAC), welches vom Inhaber zur sicheren Authentisierung gegenüber Online-Services, sowie zum Signieren von E-Mails verwendet werden kann.

  • einem nur vom SuisseID-Inhaber abrufbaren Identity-Provider-Service (IdP), welcher zusätzliche Daten liefert, die im Zertifikat nicht eingetragen sind (Geburtsdatum, Bürgerort, Funktionsbezeichnung gemäss Handelsregister usw.)
  • einer eindeutigen SuisseID-Nummer

Was muss ich mir unter einem SuisseID-Token vorstellen?

Der Träger (USB-Stick oder SmartCard) beinhaltet immer das gesamte Zertifikats-Set und muss gemäss Verordnung strengen Sicherheitsstandards bezüglich Zugangs-, Fälschungs- und Kopiersicherheit entsprechen. Alle administrativen Operationen – wie die Ausgabe, Sperrung und Erneuerung der SuisseID – müssen immer auf beide Zertifikate (QC und IAC) angewandt werden. Die physische und visuelle Ausgestaltung des Trägers ist dem CSP überlassen.

Was werde ich als Besitzer mit meinem SuisseIDToken machen können?

  • Die SuisseID dient nicht der Identifikation einer Person, wie ein amtlicher elektronischer Identitätsausweis (eID oder ePass), sondern ermöglicht es dem Inhaber sich gegenüber einer breiten Palette von staatlichen und privaten Anwendungen sicher elektronisch zu authentisieren.
  • Mit dem SuisseID Signatur-Zertifikat nach ZertES (QC) können Dokumente elektronisch signiert werden, was gemäss OR der eigenhändigen Unterschrift gleichkommt.
  • Das Zertifikats-Set (QC und IAC) der SuisseID erlaubt E-Mails zu signieren, jedoch nicht die Verschlüsselung von E-Mails. Ein CSP kann aber für diesen Zweck ein dafür geeignetes Verschlüsselungs-Zertifikat einem SuisseID-Token hinzufügen.

Welche Benutzerinformationen werden auf dem SuisseID-Token gespeichert?

Nebst vielen rein technischen Definitionen müssen beide SuisseID Zertifikate eine SuisseID-Nummer (eine eindeutige, durch den CSP vergebene Nummer ) beinhalten und das Feld SubjectDN mit der eigentlichen Namensgebung.
Der Subject DN darf minimal den Namen des Zertifikatsinhabers (CN) oder ein Pseudonym enthalten. Es ist dem Benutzer und dem CSP überlassen, weitere standardisierte Attribute der Inhaberin oder des Inhabers dem SubjectDN hinzuzufügen.

 

Attribute im SubjectDN

CN = Hans Muster oder
pseudonym = Mein Name ist Hase
serialNumber = 0001-9472-9142-8359

optional:
emailAddress = hans.muster@bfh.ch
organization = Berner Fachhochschule
organizationalUnit = Administration
surname = Muster
givenname = Hans

Wie kann ich mich – als Besitzer einer SuisseID – gegenüber einer Anwendung (Service-Provider) sicher authentisieren?

In Abhängigkeit der Anforderungen eines Anwendungs-Betreibers können verschiedene Authentisierungsverfahren mit unterschiedlichem Datenfluss zum Einsatz kommen. Im einfachsten Fall muss zur Authentisierung nur das Authentisierungs-Zertifikat (IAC) eingesetzt werden. Diese Art eignet sich meistens dann, wenn bereits eine Vertrags- bzw. Vertrauensbeziehung (z.B. bei e-Banking) zwischen einem Kunden und einer Anwendung besteht. Beim Betreiber muss dazu die SuisseID des Benutzers vorgängig registriert werden.

Benötigt die Anwendung für die erstmalige Authentifizierung mehr identifizierende Merkmale (z.B. einen Altersnachweis), können diese Informationen vom zentralen SuisseID Identity Provider (IdP) angefordert werden (siehe Abbildung 2 ). Die Anwendung des Betreibers antwortet dabei auf einen Authentifizierungsvorgang (1) mit einer Profildaten-Bestätigungs-Anforderung (2). Diese wird vom Benutzer an den IdP weitergleitet (3). Nach erfolgter Authentifizierung des SuisseID Benutzers (4) und Validierung seines Zertifikats (5), stellt der IdP die angeforderte Bestätigung zusammen. Der Benutzer lässt sich die von der Anwendung verlangten Attribute anzeigen und – falls er mit der Auslieferung einverstanden ist – vom IdP signieren (6). Im letzten Schritt sendet der Benutzer die gewünschte Bestätigung selbst an die Anwendung des Betreibers (7).

Abbildung 2: Die SwissID-Authentizierungsarchitektur (Quelle: SECO)

Wie steht es um den Schutz der persönlichen Daten?

Die SuisseID-Spezifikation ist darauf ausgelegt, die Anzahl identifizierender Attribute des Inhabers auf dem Träger selbst möglichst klein zu halten. Die Ausgabe zusätzlicher Merkmale oder weiterer persönlicher Informationen eines Benutzers erfolgt immer über den SuisseID-Inhaber selbst und mit dessen Einverständnis.

Die SuisseID-Nummer hat keine Referenz zu einem staatlichen Personenidentifikator wie z.B. der neuen Sozialversicherungsnummer.
Die SuisseID-Zertifikate unterstützen die Verwendung von Pseudonymen in der Namensgebung (nur der IdP und der CSP kennen in diesem Fall den echten Namen zur SuisseID-Identität). Eine Person kann bei Bedarf mehrere SuisseIDs erwerben, um diese in verschiedenen persönlichen Kontexten einzusetzen.

Alle diese Eigenschaften sollen dem Benutzer grösstmögliche Flexibilität und Sicherheit im Umgang mit der SuisseID geben, bei gleichzeitig bestmöglicher Wahrung seiner Datenschutzinteressen.

 

Aktuell (Stand 9. Januar 2010) haben sich ca. 80 Firmen verpflichtet als Anwendungs-Betreiber die SuisseID zu unterstützen. In einer ersten Phase des Projekts wird der SuisseID-IdP zusammen mit einem Toolkit für die Anwendungs-Betreiber (SuisseID Enabler) entwickelt. In einer weiteren Phase soll die hier vorgestellte Authentisierungsarchitektur durch eine Claim Assertion Infrastructure (CAI) erweitert werden. Damit können auch externe Quellen zur Bestätigung weiterer Eigenschaften (Befähigungen, Zulassungen, Berechtigungen) eines SuisseID-Inhabers einbezogen werden.