PKI Newsletter 5

Sehr geehrte Damen und Herren,

Der heutige Newsletter informiert Sie über die Möglichkeiten, mit der Bayern-PKI 2.0 Smartcards (z.B. für Dienstausweise) zu drucken.

Auf folgende Fragen gehen wir näher ein:

  • Welche Vorteile bringt die Nutzung von Smartcards?
  • Smartcards für staatliche Behörden
    • Welche Karten sind kompatibel mit der neuen Bayern-PKI 2.0?
    • Wie wird künftig eine Smartcard bestellt und bedruckt?
  • Smartcards für kommunale Behörden und weitere Bezugsberechtigte
    • Welche Karten sind kompatibel mit der neuen Bayern-PKI 2.0?
    • Wie wird künftig eine SmartCard bestellt und bedruckt?
    • Welche Kosten kommen mit den neuen Smartcards auf Kommunen zu?
  • Was sind virtuelle Smartcards und wofür können sie genutzt werden?
  • Was ist sonst noch wichtig zu wissen?

Die Nutzung von Smartcards gehört zu den wesentlichen Bestandteilen der MPKI (Managed PKI), die im Rahmen der Bayern-PKI 2.0 der Dienstleister Eviden für uns betreiben wird. 

Symbolbild SmartCard blanko

Das Bild zeigt eine blanko Smartcard mit Chip.

Auf diesen Smartcards können gesicherte Schlüssel und digitale Zertifikate gespeichert werden. Sie werden hauptsächlich genutzt für die Authentifizierung an verschiedenen Systemen, den Schutz von Daten und der Kommunikation (durch Verschlüsselung) und deren Integrität (durch Signierung).

Die zuständige Registrierungsstelle (RA)

  • überträgt entweder ein bestehendes Zertifikat auf den Chip der Smartcard oder
  • erzeugt mit dem Card Manager die Schlüssel und Zertifikate auf der Smartcard.  

In beiden Fällen wird die Aktivierung der Smartcard vor Ort in den Behörden vorgenommen.

Das Zertifikat und die Schlüssel auf der Smartcard sind durch eine PIN zusätzlich geschützt. Damit können sich die Zertifikatsinhaber für verschiedene Funktionen authentifizieren. So ist eine Nutzung PKI-basierter Anwendungen (z.B. NCP) möglich oder es können verschlüsselte Mails (mit dem Zertifikat auf der Smartcard) entschlüsselt werden. 

Spezielle Kartenlesegeräte (etwa für Zeiterfassung) können durch kontaktlose Kommunikation die auf der Smartcard befindliche Seriennummer lesen. Auf diese Weise kann eine Smartcard auch dazu genutzt werden, Zutritt zu gesicherten Bereichen zu erhalten oder Druckaufträge freizugeben. 

Welche Vorteile bringt die Nutzung von Smartcards?

Die folgenden Vorteile beim Einsatz von Smartcards können mit der neuen Bayern-PKI 2.0 umgesetzt werden:

  • Multifunktionaler Dienstausweis - eine Smartcard für viele Zwecke
    Die Smartcard kann bedruckt werden und damit als Dienstausweis (nach §35 AGO für staatliche Behörden) zum Einsatz kommen. Hierfür steht eine Auswahl von Layouts zur Verfügung.
    Symbolbild Dienstausweis
    Das Bild zeigt einen Dienstausweis mit Standardlayout

    Daneben kann sie gleichzeitig für viele weitere Zwecke genutzt werden - etwa für PKI-Anwendungen wie z.B. die Anmeldung am NCP Client, Zutritssteuerung, Druckerauthentifizierung oder auch Zeiterfassung (BayZeit).
  • Flexible Verwaltung durch den Endnutzer möglich
    Endnutzer können mit dem Card Manager ihre Smartcard künftig selbst aktivieren und verwalten.
  • Zertifikate nutzbar auf kompatiblen Geräten
    Die auf den Karten gespeicherten gesicherte Schlüssel und digitale Zertifikate können von unterschiedlichen (mit der Smartcard kompatiblen) Lesegeräten genutzt werden und sind damit flexibel einsetzbar. Sie sind nicht an ein einzelnes Gerät gebunden.
  • Hohes Sicherheitsniveau
    • Die Schlüsselgenerierung auf der Smartcard wird erst bei Aktivierung der Smartcard vor Ort in den Behörden vorgenommen.
    • Mit der Smartcard wird eine Multi-Faktor-Authentifizierung (MFA) umgesetzt, innerhalb welcher die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird.

Smartcards für staatliche Behörden

Die neue Bayern-PKI 2.0 unterstützt die folgenden vier Smartcard-Typen: 

  • TYP Classic:
    CardOS Smartcard, ausschließlich kontaktbehaftet mit Chipkartenleser nutzbar.
    Dieser Kartentyp kann mit den zur Verfügung stehenden Layouts versehen werden.
  • TYP Zeit:
    Smartcard vom Typ Classic mit zusätzlichen DESFire Chip für die Zeiterfassung mit BayZeit. Bei geeigneten Systemen kann der zusätzliche Chip auch für Zutrittskontrolle etc. verwendet werden.
    Auch diese Karte kann mit den zur Verfügung stehenden Layouts versehen werden.
  • TYP Dualinterface (DI): 
    CardOS Smartcard DI, Dual Interface, kann sowohl kontaktlos (z.B. mit Smartphones über RFID) als auch kontaktbehaftet genutzt werden.
    Auch diese Karte kann mit den zur Verfügung stehenden Layouts versehen werden.
  • TYP Stanz: 
    CardOS Smartcard gestanzt im Standard-SIM-Karten Format, zur Nutzung ist ein entsprechender USB-Adapter notwendig (z.B. wenn kein Kartenlesegerät eingebaut ist).
    Dieser Kartentyp kann nicht bedruckt werden.

Diese Smartcard-Typen werden vom Anbieter Eviden vertrieben, der im Auftrag des IT-DLZ die MPKI betreiben wird. 

Mit der endgültigen Ablösung der bisherigen PKI 1.0, also wenn die Umstellung auf die neue Bayern-PKI 2.0 abgeschlossen ist, sind die bisherigen Smartcards nicht mehr für PKI-Dienste nutzbar. 

Wie wird künftig eine neue Smartcard bestellt und bedruckt?

Staatliche Behörden können die Karten direkt über das LDBV-Druckzentrum beziehen, wo sie nach Anforderung auch bedruckt und versendet werden. Die Bestellung einer SmartCard erfolgt durch die Registrierungsstelle über den Card Manager (mit dem gewünschten Layout). Dadurch wird der Druckauftrag von der MPKI generiert und als Druckdatei an das LDBV-Druckzentrum übermittelt. Das LDBV Druckzentrum führt die Bedruckung der Smartcard durch. Die Smartcard und der PIN-Brief werden danach automatisiert (getrennt) an den Karteninhaber versendet.

Das Bespielen der Smartcards mit Bayern-PKI 2.0 Zertifikaten erfolgt in allen Fällen über den Card Manager (in der Registrierungsstelle oder durch den Endnutzer).

Smartcards für kommunale Behörden und andere Bezugsberechtigte

Der Dienstleister IDpendant bietet für kommunale Behörden die folgenden zwei Smartcard-Typen an, die von der Bayern-PKI 2.0 unterstützt werden:

  • TYP 1: CardOS V6.0 Chipkarten S-MID4.8
    kontaktbasierte Chipkarte nach ISO/IEC 7816
    Dieser Kartentyp ist bedruckbar
  • TYP 2: CardOS V6.0 Chipkarten S-COM*10.8
    Dual-Interface Ausführung, Kontaktlose Chipkarte nach ISO/IEC 14443 und ISO/IEC 7816-kompatible Befehle
    Auch dieser Kartentyp ist bedruckbar

Mit der endgültigen Ablösung der bisherigen PKI 1.0, also wenn die Umstellung auf die neue Bayern-PKI 2.0 abgeschlossen ist, sind die bisherigen Smartcards nicht mehr für PKI-Dienste nutzbar

Wie wird künftig eine neue Smartcard bestellt und bedruckt?

Kommunale Behörden können Kartenrohlinge der beiden Typen direkt von IDpendant beziehen. Bei Bedarf von großen Mengen (> 500) ist ein Bezug der Kartenrohlinge auch direkt über den Anbieter Eviden möglich.

  • Die Bedruckung der Smartcards kann durch eigene Drucksysteme der Kommunen vorgenommen werden. 
  • Für den Druck eines multifunktionalen Dienstausweises müssen dazu Smartcards mit passenden NFC-Chips zu den vorhandenen Drittsystemen (Zeiterfassung, Türöffnung, Druckerauthentifizierung u.ä.) bestellt werden.

Des Weiteren können kommunale Behörden beim Dienstleister IDpendant fertig bedruckte Dienstausweise beziehen. Dazu wird von der Registirierungsstelle eine Bestellung mit dem gewünschten Layout getätigt. Die Smartcard und den PIN-Brief versendet IDpendant danach (getrennt) an den Karteninhaber.
Das staatliche Druckzentrum im LDBV steht nicht zur Verfügung (Subsidiaritätsprinzip). 

Das Bespielen der Smartcards mit Bayern-PKI 2.0 Zertifikaten erfolgt in allen Fällen über den MPKI Card Manager (in der Registrierungsstelle oder durch den Endnutzer, sofern ein einen Zugang zum Bayerischen Behördennetz besteht).

Welche Kosten kommen mit den neuen SmartCards auf Kommunen zu? 

Für den Bezug von Smartcards gibt es eine Rahmenvereinbarung zwischen dem StMFH und dem Dienstleister IDPendant, welcher die Details zu entnehmen sind. Sie finden diese im Bayerischen Behördennetz unter  http://www.bybn.de/verwaltung_recht/beschaffung/vereinbarungen_mit_nachlasskonditionen/900064/index.html.
Die Preisliste für die PKI 2.0 ist an dieser Stelle veröffentlicht (Preise für Smartcards siehe Abschnitt 2 der Preisliste in der Anlage A). 
Diese URL können alle Registrierungsstellen nutzen.   

Was sind virtuelle SmartCards und wie werden diese verwendet?

Virtuelle Smartcards emulieren die Funktionalität physischer Smartcards und bieten durch die Zwei-Faktor-Authentifizierung vergleichbare Sicherheitsvorteile. Sie können im Rahmen der neuen Bayern-PKI 2.0 über Cryptovision für Windows Betriebssysteme (bei TPM 1.2-kompatibler Hardware) zur Verfügung gestellt werden:  

  • Die virtuelle Card wird auf dem TPM-Chip (Trusted Platform Module) gespeichert, der auf Geräten (wie PCs, Notebooks, etc.) verfügbar ist. Im TPM sind die für die Authentifizierung verwendeten Schlüssel in kryptografisch gesicherter Hardware gespeichert. Damit sind die virtuellen Smartcards untrennbar mit dem Gerät verbunden. Sie erfordern keine separate physische Karte und Leser. 
  • Auch virtuelle Smartcards können durch den Endnutzer innerhalb des Behördennetzes mit dem Card Manager "betankt" werden. 

Die virtuellen Smartcards haben ähnliche Funktionen wie "echte" Smartcards. Sie können nach entsprechenter Konfiguration durch die lokale Systemadministration für die Authentifizierung, Verschlüsselung und Signierung verwendet werden. 
An dem installierten Gerät (also z.B. am PC) stellen sie automatisch das benötigte Zertifikat bereit, so dass ein Benutzer nur seine PIN für die virtuelle intelligente Karte angeben muss, um sich z.B. an der Domäne anzumelden. 

Was ist sonst noch wichtig zu wissen?

Vor der Umstellung werden alle beteiligten Stellen rechtzeitig umfassend informiert.
Für Mitarbeiter, die RA-Tätigkeiten ausführen, werden vor Produktivstart Schulungen angeboten. Darüber hinaus werden wir Informationsmaterial zur Verfügung stellen und die Registrierungsstellen während der Migration begleiten.