PKI Newsletter 4

Sehr geehrte Damen und Herren,

der heutige Newsletter informiert Sie über die Managed Public Key Infrastructure (MPKI), die als Teil der Bayern-PKI 2.0 in Betrieb gehen wird. 

Auf folgende Fragen gehen wir näher ein: 

  • Für wen wird die MPKI angeboten?
  • Welche Vorteile bringt die Einführung der neuen MPKI?
  • Was ändert sich mit der neuen MPKI?
  • Was ist sonst noch wichtig zu wissen?

Die MPKI bildet die dritte Säule im 3-Säulen-Modell, das mit der neuen Bayern-PKI 2.0 in Betrieb gehen wird. 
Sie stellt Personenzertifikate und Funktionsstellenzertifikate aus.  

3-Säulen-Modell

Der Funktionsumfang der MPKI ermöglicht:

  • die Entgegennahme und Verwaltung von Zertifikatsanträgen (Personenzertifikate und Funktionsstellenzertifikate)
  • die Erstellung der beantragten Zertifikate 
  • die Erzeugung des zum jeweiligen Zertifikats gehörigen privaten Schlüssels (abhängig vom Schlüsselspeicherort)
  • die Übermittlung der Zertifikate an die Zertifikatsinhaber (= Personen oder Funktionsstellen)
  • die Veröffentlichung der Verschlüsselungszertifikate in internen und - falls gewünscht - öffentlichen Verzeichnisdiensten
  • die Bestellung, Aktivierung und Verwaltung von SmartCards. 

Die Bestellung einer SmartCard kann nur durch eine Registrierungsstelle (RA) erfolgen, alle anderen beschriebenen Funktionen können die Zertifikatsinhaber direkt nutzen.

Für die Nutzung der MPKI sind die Software Card Manager sowie ein Behördennetz-Anschluss erforderlich. Die MPKI kann auch ohne einen Anschluss an das Behördennetz genutzt werden, jedoch sind dann einige Dienste nicht oder nur eingeschränkt verfügbar (siehe Abschnitte Welche Vorteile bringt die Einführung der neuen MPKI und Was ändert sich mit der neuen MPKI).

Der Wurzelzertifizierungsstellenbetreiber (Root-Certification Authority oder Root-CA, also die oberste Zertifizierungsstelle der Hierarchie) ist der externe Dienstleister Eviden. 
Eviden ist künftig im Auftrag des IT-DLZ der Betreiber der MPKI und steht dabei unter der Aufsicht des IT-DLZ und des LSI. 

Die Zertifikate, die von der Managed-PKI ausgestellt werden, sind private trusted und kostenlos. 

Die MPKI unterstützt ausschließlich spezielle PKI 2.0-kompatible SmartCards. Zu diesem Thema werden wir Sie im nächsten Newsletter ausführlich informieren.

Für wen wird die neue MPKI angeboten?

Die neue MPKI wird allen Mitarbeitenden der bayerischen Staatsverwaltung ebenso wie den Mitarbeitenden der kommunalen Gebietskörperschaften (wie etwa Gemeinden, Landkreise inkl. Landratsämter und Bezirken) angeboten. 
Auch für Verwaltungsgemeinschaften sowie die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) und verschiedene weitere hoheitlichen Institutionen ist die MPKI zugänglich. 

Welche Vorteile bringt die Einführung der neuen MPKI?

Mit der neuen Bayern-PKI werden für die MPKI die folgenden Verbesserungen realisiert: 

  • Erreichbarkeit der MPKI für Endnutzer ohne Behördennetzanschluss
    → durch ein Web Portal (browserbasiert)
  • Aktivierung und Verwaltung einer Smartcard durch den Endnutzer möglich
    → durch den Card Manager (nur im Behördennetz nutzbar)
  • virtuelle Smartcard (mit und ohne Nutzung eines TPM-Chip) als Zertifikatsspeicherort, den die Bayern-PKI 1.0 bisher nicht bietet
  • Höhere Sicherheit der SmartCard
    → Schlüsselgenerierung erfolgt erst bei Aktivierung auf der Smartcard vor Ort in den Behörden; Initialisierung des Smartcard Chip in kontrollierter, abgesicherter Umgebung

Was ändert sich mit der neuen MPKI?

Wie schon erwähnt, wird die Managed PKI künftig vom Dienstleister Eviden im Auftrag des IT-DLZ betrieben. Dabei bleibt das IT-DLZ Trustcenter als zentrale Anlaufstelle für den Support erhalten.
Die folgende Tabelle zeigt den künftigen vollen Funktionsumfang für Registrierungsstellen sowie für Nutzer mit BYBN-Anschluss im Vergleich zu den Grundfunktionen für Nutzer ohne BYBN-Anschluss:

Funktionsumfang der MPKI:
Registrierungsstellen sowie Nutzerinnen und  Nutzer mit Anschluss an BYBN Nutzerinnen und Nutzer ohne Anschluss an BYBN

Einheitliche Bedienoberfläche 

Installation von zwei Software-Paketen:

  • Card Manager
  • Middleware

sowohl für Windows wie auch Linux

Einheitliche Bedienoberfläche

  • als Browser Anwendung

Card Manager Funktionen für die Registrierungsstellen:

  • Bestellung und Erneuerung von Zertifikaten für Nutzer (die Auslieferung erfolgt per E-Mail an den Nutzer; Nutzer können sich innerhalb oder außerhalb des BYBN befinden)
  • Sperrung von Nutzerzertifikaten
  • Durchführung von Massenoperationen um die oben genannte Operationen für mehrere Nutzer gleichzeitig durchführen zu können
  • Bestellung und Verwaltung von Smartcards für Nutzer
  • Bestellung und Verwaltung von Kontingentkarten, die beispielsweise als temporäre Ersatzkarten für vergessene Smartcards verwendet werden können
  • Abfragen und Reports zum Datenbestand
  • Verwaltung von Berechtigungen für Nutzer Verschlüsselungsschlüssel (Key Escrow)
 Registrierungsstellen benötigen zwingend einen Anschluss an das BYBN

Card Manager Funktionen für die Nutzer

  • Erstbeantragung, Erneuerung und Sperrung eigener Zertifikate
  • Verwaltung von Funktionsstellen und Funktionsstellenzertifikate
    • Funktionsstellenverantwortliche verwalten Funktionsstellenmitglieder
    • mehrere Signatur-/ Authentifizierungszertifikate pro Funktionsstelle sind möglich
  • Bereitstellung der Zertifikate und Schlüssel an verschiedenen Zertifikatsspeicherorten
    (P12, virtuelle Smartcard, Smartcard)
  • Wiederherstellung der eigenen Verschlüsselungsschlüssel
    (Key Recovery)
  • Aktivierung und Verwaltung einer SmartCard

Browser Funktionen für die Nutzer:

  • Erstbeantragung, Erneuerung, Aktivierung und Sperrung eigener Zertifikate 
  • Erstbeantragung, Erneuerung, Aktivierung und Sperrung von Funktionsstellenzertifikaten
    • ​​​​​​​nur für Funktionsstellenverantwortliche 
    • im Unterschied zur Beantragung mit BYBN- Anschluss gibt es pro Funktionsstelle nur genau ein Zertifikat eines bestimmten Typs.
  • Auslieferung der Zertifikate und Schlüssel als transportgesicherte P12-Datei per Mail
  • Keine Bestellmöglichkeit für Smartcards

Middleware (Cryptovision sc/interface) Funktionen für die Registrierungsstellen und Nutzer:

  • Schnittstellen, damit Anwendungen die privaten Schlüssel der Zertifikate nutzen können
    • PKCS#11
    • MS Minidriver
  • technische Verwaltung verschiedener Zertifikatsspeicherorte
    • virtuelle Smartcard
      (mit und ohne Nutzung eines TPM-Chip)
    • Smartcard
  • Möglichkeit die vergessene PIN ohne PUK offline zu erneuern
 Middleware ist für Nutzer ohne BYBN-Anschluss nicht verfügbar

Was ist sonst noch wichtig zu wissen?

Vor der Umstellung werden alle beteiligten Stellen rechtzeitig umfassend informiert.
Für Mitarbeiter, die RA-Tätigkeiten ausführen, werden vor Produktivstart Schulungen angeboten. Darüber hinaus werden wir Informationsmaterial zur Verfügung stellen und die Registrierungsstellen während der Migration begleiten.

Erfahren Sie mehr

Detaillierte Informationen zu weiteren Themenbereichen wie MPKI, Smartcard-Druck und anderen Bereichen rund um die neue Bayern-PKI 2.0 werden wir Ihnen weiterhin in loser Folge zukommen lassen.  

Zudem werden grundlegende Informationen an den folgenden Stellen veröffentlicht:

Website der Bayern-PKI: https://www.pki.bayern.de/pki20/index.html

Hier finden Sie neben aktuellen Projektinformationen auch:

  • FAQ zur Bayern-PKI 2.0
  • Ansprechpartner
  • ein Newsletterarchiv

Online Portal des IT-DLZ: https://onlineportal.it-dlz.bybn.de 

Hier finden Sie:

  • die PKI im Produktportfolio
  • das Angebot an Vorträgen und Kundenworkshops des IT-DLZ
  • ein Newsletterarchiv

Sie haben Fragen dazu?

Bei Fragen zur Bayern-PKI 2.0 wenden Sie sich an das IT-DLZ, per E-Mail an bayern-pki-2.0@ldbv.bayern.de oder direkt an das IT-DLZ Kundenmanagement.

Bei IT-sicherheitstechnischen Fragen unterstützt Sie das LSI, beispielsweise zur

  • Auswahl der Zertifikats-Algorithmen
  • Auswahl von Autoenrollment-Mechanismen
  • Erfüllung von spezifischen Sicherheitsanforderungen durch die PKI

Wenden Sie sich an beratung-staatsverwaltung@lsi.bayern.de oder beratung-kommunen@lsi.bayern.de 

Mit freundlichen Grüßen,

Ihr PKI-Team

Landesamt für Digitalisierung, Breitband und Vermessung
IT-Dienstleistungszentrum des Freistaats Bayern 
St.-Martin-Str. 47
81541 München

Internet: https://www.ldbv.bayern.de/digitalisierung/itdlz.html 
E-Mail: bayern-pki-2.0@ldbv.bayern.de