European Bridge-CA 7.3.2008 Seite 1

European Bridge-CA Bindeglied zwischen Verwaltung und

WirtschaftHalle 9, B22

European Bridge-CA 7.3.2008 Seite 2

TeleTrusT Deutschland e.V. - Betreiber der European Bridge-CA• Gründung 1989 mit dem Ziel, die Vertrauenswürdigkeit von

Informations- und Kommunikationstechnik in einer offenen Systemumgebung zu fördern.

• Hauptaufgaben:• Einflussnahme auf die deutsche und europäische IT-Sicherheitspolitik

und die nationale Gesetzgebung

• Einflussnahme auf die Standardisierung im Sinne herstellerübergreifender Interoperabilität[z.B. Standards für Trustcenter ISIS/MTT, European Bridge-CA].

• Förderung innovativer Technologien (z.B. biometrische Verfahren)

• Internationale Aktivitäten (gemeinsam mit EEMA und PKI-Forum; Ausrichten der ISSE-Konferenzen, etc.)

European Bridge-CA 7.3.2008 Seite 3

Ausgangssituation für elektronische Geschäftsprozesse

European Bridge-CA 7.3.2008 Seite 4

Ziele der EB-CA:• Ein gemeinsamer Vertrauensraum für

sicheren elektronischen Datenverkehr auf Basis von Public-Key Infrastrukturen

• Definition eines gemeinsamen Merkmals zur Sicherung von Integrität, Herkunft und Datensicherheit. � X.509 Zertifikate.

• Anforderungen:– Integration bestehender adäquater Lösungen. (Unternehmens-PKIs,

hosted PKIs, etc.)– Abwärtskompatibilität (Migrationspfade).– Zukunftsorientiert (Planungssicherheit).– Am Bedarf und den Möglichkeiten der Anwender:

Einbindung von Unternehmen (auch KMUs !!!) und Verwaltung.

European Bridge-CA 7.3.2008 Seite 5

European Bridge-CA (EB-CA)

� Pragmatischer Ansatz

� Public-Private-PartnershipInfrastrukturelles Netzwerk zur Verbesserung organisationsübergreifender Informationsverarbeitung

� Ermöglicht den sicheren und schnellen Datenaustausch zwischen Organisationen

� „Single Point of Administration“Ein Vertragspartner, dessen Dienste und Dienstleistungen allen Mitgliedern zur Verfügung stehen.

European Bridge-CA 7.3.2008 Seite 6

Bridge-Infrastruktur

European Bridge-CA 7.3.2008 Seite 7

Services der EB-CA:

Zentral verfügbare Services, die öffentlich zur Verfügung stehen.

Trust List:� Einfacher, robuster, Mechanismus zum Verteilen von Vertrauensankern (CA-

Zertifikaten).

� Integration von Verwaltung und Unternehmen.

Verzeichnisdienst:� Ermöglicht einfachen Zugriff auf Zertifikate aus beliebigen Anwendungen.

� Einfache Anwendung von Verschlüsselung.

Validierungsservice:� Ermöglicht einfache Aussage über den Status von Zertifikaten und damit

signierter Daten aus Anwendungen heraus.

European Bridge-CA 7.3.2008 Seite 8

� Organisationsübergreifender sicherer Datenaustausch möglich durch: – Verschlüsselung– digitale Signatur– Authentifikation

� Mögliche Anwendungen:– E-Mail, VPN, SSL, EDI, ......

� Ermöglicht:– medienbruchfreie Kommunikation– schnelle, schlanke Prozesse: digitale Rechnungsstellung,

Behördenkommunikation, etc.

� große Optimierungspotentiale

Vorteile - Bridge-Infrastruktur

European Bridge-CA 7.3.2008 Seite 9

Investitionsschutz

� Unabhängigkeit durch Nutzung offener Standards bzgl. � Client, � Betriebssysteme � Anwendungen

� Skalierbarkeit bzgl. Teilnehmerzahl und Durchsatz

� Aufwärtskompatibilität bzgl. technischer Innovationen

� Einhaltung Internationaler Standards

� Mittel- bis langfristige Planungssicherheit

European Bridge-CA 7.3.2008 Seite 10

Zusammenfassung – Bridge-Infrastruktur

Mitarbeiter Mitarbeiter Mitarbeiter Mitarbeiter Mitarbeiter Mitarbeiter

Bänder

desVert

rauens

Organisations-CA Organisations-CA

• Derzeit: Vertrauenswürdiger Stammzertifikatsaustausch (Listenformat ETSI TS 102 231)

• Verzeichnis/Überprüfungsdienst

• nur ein Vertragspartner• internationale Standards• eine gemeinsame Mindestpolicy

European Bridge-CA 7.3.2008 Seite 11

Lösung: EB-CA Vertrauensniveau:

• Die EB-CA definiert ein Vertrauensniveau im Fortgeschrittenen Signaturbereich mit erhöhten Anforderungen, um Identitäten sicher zuordnen zu können.

• Die EB-CA ermöglicht außer Signaturen auch Verschlüsselung und Identifikation. � Mit zunehmender Bedeutung (Industriespionage, Vereinfachung der

Anmeldung an Webdiensten, etc.)

• Der Ansatz qualifizierter Signaturen mit Anbieterakkreditierung hat sich nicht bewährt (Behörden gehen derzeit zur fortgeschrittenen Signatur über: ELSTER, e-Vergabe, …. )

• EB-CA kann die Lücke zwischen fortgeschrittenen (ungeregeltem Bereich) und qualifizierten Signaturen füllen.

European Bridge-CA 7.3.2008 Seite 12

EB-CA-Services:• Ein zentral verfügbarer Verzeichniszugang:

+ Die EB-CA betreibt einen zentralen LDAP-Zugang zu den Verzeichnisdiensten Ihrer Mitglieder.

ldap://dir.bridge-ca.org

ldap://dir.bridge-ca.de

http://www.bridge-ca.de/eb-ca2/directory/index.php

+ Vereinfachung der Suche nach Verschlüsselungs- und Signaturzertifikaten in Verwaltung und Wirtschaft

+ Optional zentrale Verteilung von Sperrinformationen.

+ Vereinfachtes Zertifikatsmanagement (vor allem aus Sicht der Anwender notwendig)

European Bridge-CA 7.3.2008 Seite 13

EB-CA-Services:• Ein zentral verfügbarer Validierungszugang:

+ Die EB-CA betreibt einen zentralen OCSP-Responder für Sperrinformationen ihrer Mitglieder.

http://ocsp.bridge-ca.org:80

+ Vereinfachung der Statusprüfung von Zertifikaten (Nutzerfreundlichkeit)

+ Einbindung von Sperrlisten für Mitglieder, die keinen eigenen OCSP Server betreiben.

+ Unterstützung von OCSP wächst in den Anwendungen (z.B. Virtuelle Poststelle, Bremen-Online Services, etc.)

European Bridge-CA 7.3.2008 Seite 14

Beispiel: elektronische Gewerbeanmeldung

• Anforderungen:– Daten aus Verwaltung und Wirtschaft müssen sicher ausgetauscht

werden.• Einsatz von Authentifizierung, Signatur (fortgeschritten/qualifiziert) und

Verschlüsselung.

– Transparente Nutzung durch den Anwender• Anwender darf mit der Sicherheitstechnologie nicht konfrontiert werden.

– Einfache Anwendung, die Webbasierte Technologie mit E-Mail Technologie kombiniert.

– Standardbasierte Lösung• Interoperabilität, Systemunabhängigkeit � Zukunftssicherheit � Investitionsschutz

European Bridge-CA 7.3.2008 Seite 15

Schematische Darstellung:

Web-Anwendung

PC im Unternehmen bzw. beim Bürger

Karten-leser

Validierungservice der EB-CA

Verifikations-modul

2

1 4 9

3

5

8

6 7

1. Download Formular2. Ausfüllen Formular3. Signatur4. Upload Formular5. Verifikation6. Validierungsanfrage EB-CA 7. Statusantwort EB-CA8. PDF-Protokoll9. Sichere E-Mail mit der EB-CA

Verzeichnisdienst der EB-CA

European Bridge-CA 7.3.2008 Seite 16

Kontakte: www.bridge-ca.org [ .de / .com ]

Projektmanagement

Dr. Helmut Schütze

TeleTrusT Deutschland e.V.

helmut.schuetze@teletrust.de

Peter Steiert

TeleTrusT Deutschland e.V.

peter.steiert@teletrust.de

Mitglieder des Boards der Bridge-CA

Bernhard Esslinger, Deutsche Bank

Saskia Günther, Allianz

Stephan Wollny, Deutsche Telekom

Guido von der Heidt, Siemens

Kai Fuhrberg, Bundesamt für Sicherheit in der Informationstechnik

Helmut Reimer, TeleTrusT Deutschland e.V.

Joachim Rieß, Daimler