European Bridge-CA 7.3.2008 Seite 1
European Bridge-CA Bindeglied zwischen Verwaltung und
WirtschaftHalle 9, B22
European Bridge-CA 7.3.2008 Seite 2
TeleTrusT Deutschland e.V. - Betreiber der European Bridge-CA• Gründung 1989 mit dem Ziel, die Vertrauenswürdigkeit von
Informations- und Kommunikationstechnik in einer offenen Systemumgebung zu fördern.
• Hauptaufgaben:• Einflussnahme auf die deutsche und europäische IT-Sicherheitspolitik
und die nationale Gesetzgebung
• Einflussnahme auf die Standardisierung im Sinne herstellerübergreifender Interoperabilität[z.B. Standards für Trustcenter ISIS/MTT, European Bridge-CA].
• Förderung innovativer Technologien (z.B. biometrische Verfahren)
• Internationale Aktivitäten (gemeinsam mit EEMA und PKI-Forum; Ausrichten der ISSE-Konferenzen, etc.)
European Bridge-CA 7.3.2008 Seite 3
Ausgangssituation für elektronische Geschäftsprozesse
European Bridge-CA 7.3.2008 Seite 4
Ziele der EB-CA:• Ein gemeinsamer Vertrauensraum für
sicheren elektronischen Datenverkehr auf Basis von Public-Key Infrastrukturen
• Definition eines gemeinsamen Merkmals zur Sicherung von Integrität, Herkunft und Datensicherheit. � X.509 Zertifikate.
• Anforderungen:– Integration bestehender adäquater Lösungen. (Unternehmens-PKIs,
hosted PKIs, etc.)– Abwärtskompatibilität (Migrationspfade).– Zukunftsorientiert (Planungssicherheit).– Am Bedarf und den Möglichkeiten der Anwender:
Einbindung von Unternehmen (auch KMUs !!!) und Verwaltung.
European Bridge-CA 7.3.2008 Seite 5
European Bridge-CA (EB-CA)
� Pragmatischer Ansatz
� Public-Private-PartnershipInfrastrukturelles Netzwerk zur Verbesserung organisationsübergreifender Informationsverarbeitung
� Ermöglicht den sicheren und schnellen Datenaustausch zwischen Organisationen
� „Single Point of Administration“Ein Vertragspartner, dessen Dienste und Dienstleistungen allen Mitgliedern zur Verfügung stehen.
European Bridge-CA 7.3.2008 Seite 6
Bridge-Infrastruktur
European Bridge-CA 7.3.2008 Seite 7
Services der EB-CA:
Zentral verfügbare Services, die öffentlich zur Verfügung stehen.
Trust List:� Einfacher, robuster, Mechanismus zum Verteilen von Vertrauensankern (CA-
Zertifikaten).
� Integration von Verwaltung und Unternehmen.
Verzeichnisdienst:� Ermöglicht einfachen Zugriff auf Zertifikate aus beliebigen Anwendungen.
� Einfache Anwendung von Verschlüsselung.
Validierungsservice:� Ermöglicht einfache Aussage über den Status von Zertifikaten und damit
signierter Daten aus Anwendungen heraus.
European Bridge-CA 7.3.2008 Seite 8
� Organisationsübergreifender sicherer Datenaustausch möglich durch: – Verschlüsselung– digitale Signatur– Authentifikation
� Mögliche Anwendungen:– E-Mail, VPN, SSL, EDI, ......
� Ermöglicht:– medienbruchfreie Kommunikation– schnelle, schlanke Prozesse: digitale Rechnungsstellung,
Behördenkommunikation, etc.
� große Optimierungspotentiale
Vorteile - Bridge-Infrastruktur
European Bridge-CA 7.3.2008 Seite 9
Investitionsschutz
� Unabhängigkeit durch Nutzung offener Standards bzgl. � Client, � Betriebssysteme � Anwendungen
� Skalierbarkeit bzgl. Teilnehmerzahl und Durchsatz
� Aufwärtskompatibilität bzgl. technischer Innovationen
� Einhaltung Internationaler Standards
� Mittel- bis langfristige Planungssicherheit
European Bridge-CA 7.3.2008 Seite 10
Zusammenfassung – Bridge-Infrastruktur
Mitarbeiter Mitarbeiter Mitarbeiter Mitarbeiter Mitarbeiter Mitarbeiter
Bänder
desVert
rauens
Organisations-CA Organisations-CA
• Derzeit: Vertrauenswürdiger Stammzertifikatsaustausch (Listenformat ETSI TS 102 231)
• Verzeichnis/Überprüfungsdienst
• nur ein Vertragspartner• internationale Standards• eine gemeinsame Mindestpolicy
European Bridge-CA 7.3.2008 Seite 11
Lösung: EB-CA Vertrauensniveau:
• Die EB-CA definiert ein Vertrauensniveau im Fortgeschrittenen Signaturbereich mit erhöhten Anforderungen, um Identitäten sicher zuordnen zu können.
• Die EB-CA ermöglicht außer Signaturen auch Verschlüsselung und Identifikation. � Mit zunehmender Bedeutung (Industriespionage, Vereinfachung der
Anmeldung an Webdiensten, etc.)
• Der Ansatz qualifizierter Signaturen mit Anbieterakkreditierung hat sich nicht bewährt (Behörden gehen derzeit zur fortgeschrittenen Signatur über: ELSTER, e-Vergabe, …. )
• EB-CA kann die Lücke zwischen fortgeschrittenen (ungeregeltem Bereich) und qualifizierten Signaturen füllen.
European Bridge-CA 7.3.2008 Seite 12
EB-CA-Services:• Ein zentral verfügbarer Verzeichniszugang:
+ Die EB-CA betreibt einen zentralen LDAP-Zugang zu den Verzeichnisdiensten Ihrer Mitglieder.
ldap://dir.bridge-ca.org
ldap://dir.bridge-ca.de
http://www.bridge-ca.de/eb-ca2/directory/index.php
+ Vereinfachung der Suche nach Verschlüsselungs- und Signaturzertifikaten in Verwaltung und Wirtschaft
+ Optional zentrale Verteilung von Sperrinformationen.
+ Vereinfachtes Zertifikatsmanagement (vor allem aus Sicht der Anwender notwendig)
European Bridge-CA 7.3.2008 Seite 13
EB-CA-Services:• Ein zentral verfügbarer Validierungszugang:
+ Die EB-CA betreibt einen zentralen OCSP-Responder für Sperrinformationen ihrer Mitglieder.
http://ocsp.bridge-ca.org:80
+ Vereinfachung der Statusprüfung von Zertifikaten (Nutzerfreundlichkeit)
+ Einbindung von Sperrlisten für Mitglieder, die keinen eigenen OCSP Server betreiben.
+ Unterstützung von OCSP wächst in den Anwendungen (z.B. Virtuelle Poststelle, Bremen-Online Services, etc.)
European Bridge-CA 7.3.2008 Seite 14
Beispiel: elektronische Gewerbeanmeldung
• Anforderungen:– Daten aus Verwaltung und Wirtschaft müssen sicher ausgetauscht
werden.• Einsatz von Authentifizierung, Signatur (fortgeschritten/qualifiziert) und
Verschlüsselung.
– Transparente Nutzung durch den Anwender• Anwender darf mit der Sicherheitstechnologie nicht konfrontiert werden.
– Einfache Anwendung, die Webbasierte Technologie mit E-Mail Technologie kombiniert.
– Standardbasierte Lösung• Interoperabilität, Systemunabhängigkeit � Zukunftssicherheit � Investitionsschutz
European Bridge-CA 7.3.2008 Seite 15
Schematische Darstellung:
Web-Anwendung
PC im Unternehmen bzw. beim Bürger
Karten-leser
Validierungservice der EB-CA
Verifikations-modul
2
1 4 9
3
5
8
6 7
1. Download Formular2. Ausfüllen Formular3. Signatur4. Upload Formular5. Verifikation6. Validierungsanfrage EB-CA 7. Statusantwort EB-CA8. PDF-Protokoll9. Sichere E-Mail mit der EB-CA
Verzeichnisdienst der EB-CA
European Bridge-CA 7.3.2008 Seite 16
Kontakte: www.bridge-ca.org [ .de / .com ]
Projektmanagement
Dr. Helmut Schütze
TeleTrusT Deutschland e.V.
Peter Steiert
TeleTrusT Deutschland e.V.
Mitglieder des Boards der Bridge-CA
Bernhard Esslinger, Deutsche Bank
Saskia Günther, Allianz
Stephan Wollny, Deutsche Telekom
Guido von der Heidt, Siemens
Kai Fuhrberg, Bundesamt für Sicherheit in der Informationstechnik
Helmut Reimer, TeleTrusT Deutschland e.V.
Joachim Rieß, Daimler