Logo Bayern-PKI 2.0
© IT-DLZ

FAQ

    Allgemeine Fragen


    Wird es die Möglichkeit geben, neben einem 2FA-Zertifikat auf der SC, auch ein Authentifizierungssoftzertifikat für den gleichen Nutzer zu haben (z.B. für ein Diensthandy)?
    Ja, diese Möglichkeit wird es geben

    Können über die Bayern-PKI 2.0 public trusted Zertifikate bezogen werden? Wird es zukünftig ein Trusted Root (vertrauenswürdiges Root-Zertifikat) geben, damit versendete Mails auch außerhalb des Behördennetzes vertrauenswürdig sind?
    Zum Start der Bayern-PKI 2.0 werden keine public trusted Zertifikate ausgestellt. In einer optionalen, späteren Ausbaustufe könnte die Ausgabe von public trusted Personenzertifikate umgesetzt werden. Ob und ab wann genau steht noch nicht fest und hängt von vielen Einflussfaktoren ab (z.B. technischer Fortschritt, bundeseinheitliche Digitalisierung der Verwaltung gemäß OZG etc.).

    Wird die Online-Verwaltung der Bayern-PKI 2.0 auch für Kommunen möglich sein, die nicht am Bayerischen Behördennetz (BYBN) angeschlossen sind?
    Für Tätigkeiten einer Registrierungsstelle (RA) ist immer ein Zugang zum BYBN notwendig. Teilnehmer ohne BYBN Anschluss können auch ein aus dem Internet zugängliches Portal für die Zertifikatsverwaltung nutzen, das hierfür eingerichtet werden wird, sofern sie von einer RA registriert worden sind. Konkret wird dieses bekanntgegeben, sobald verfügbar. 

    Bieten Sie Zertifikate mit einer Schlüssellänge von min. 3000 Bit über die Bayern-PKI 2.0 an?
    Ja, mit der Bayern-PKI 2.0 werden Zertifikate mit einer Schlüssellänge von min. 3000 Bit (bei RSA) bzw. 256 Bit (bei ECC) angeboten.

    Was ist der Unterschied zwischen Personen- und Gerätezertifikaten?
    Gerätezertifikate werden von Maschinen genutzt und ermöglichen beispielsweise eine verschlüsselte und authentifizierte Geräte-zu-Geräte-Kommunikation.
    Personenzertifikate werden von natürlichen Personen oder auch von Gruppen, sogenannten Funktionsstellen, genutzt. Anwendungsfälle sind beispielsweise die zertifikatsbasierte Anmeldung (z.B. NCP, VPN), das Signieren und Verschlüsseln von E-Mails oder die Dokumentensignatur.

    Wer ist die Wurzelzertifizierungsstelle (Root-Certification Authority oder Root-CA), also die oberste Zertifizierungsstelle der dreistufigen Hierarchie der IPKI?
    Das IT-DLZ.

    Wer stellt die neuen Asset-Zertifikate (Infrastrukturzertifikate) der IPKI aus?
    Das IT-DLZ stellt Zertifikate für Clients und Server (Assets) aus.

    Wer stellt die neuen IPKI-Zertifikate für die Sub-CAs (untergeordnete Zertifizierungsstellen) aus?
    Das IT-DLZ.

    Für wen wird die Managed PKI (MPKI) angeboten?
    Die neue MPKI wird allen Mitarbeitenden der bayerischen Staatsverwaltung ebenso wie den Mitarbeitenden der kommunalen Gebietskörperschaften (wie etwa Gemeinden, Landkreise inkl. Landratsämter und Bezirken) angeboten. 
    Auch für Verwaltungsgemeinschaften sowie die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) und verschiedene weitere hoheitlichen Institutionen ist die MPKI zugänglich.

    Kann die MPKI auch ohne Zugang zum Behördennetz (BYBN) genutzt werden?
    Registrierungsstellen benötigen zwingend einen Anschluss an das BYBN.
    Nutzer ohne direkten Zugang zum BYBN (z.B. in Gemeinden, die über (noch) keinen Zugang verfügen), können die MPKI nutzen. Dabei gibt es in der Funktionalität jedoch Unterschiede zur Nutzung im BYBN. Näheres hierzu im 4. Newsletter im Newsletterarchiv. 

    Warum gibt es in der Bayern-PKI 2.0 Änderungen an den technischen Spezifikationen der Zertifikate im Vergleich zur bisherigen Bayern-PKI?
    Veraltete Technologien, die nach internationalem Konsens nicht mehr den Stand der Technik darstellen, sind in Zukunft nicht mehr ausreichend, um staatliche und kommunale IT-Systeme zu schützen. Bisher nutzt die Bayern-PKI RSA mit 2048 Bit Schlüssellänge (RSA-2k). Neben dem BSI (vgl. Technischen Richtlinie TR-02102) fordern auch internationale Standardisierungsgremien wie etwa die SOG-IS (Senior Officials Group Information Systems Security) in ihren Standards und Richtlinien eine generelle Ablösung von RSA-2k.

    Fragen zur Implementierung


    Wie lange werden die vorher ausgegebenen Zertifikate noch gelten?
    Die Laufzeiten der Zertifikate der Bayern-PKI werden ab März 2024 schrittweise reduzierte Gültigkeiten haben. Die Gültigkeit ist nicht mehr drei Jahre nach Ausstellung, sondern für alle Zertifikate bis März 2027.
    Die von der Bayern-PKI 2.0 ausgerollten Zertifikate werden dann wieder die volle Gültigkeitsdauer haben.

    Werden PKI-Infrastrukturkomponenten für einen Test verfügbar sein?
    Hierzu kann zum aktuellen Zeitpunkt noch keine Aussage getroffen werden. Die benötigten Informationen werden zu gegebener Zeit an zentraler Stelle bereitgestellt bzw. im Rahmen eines Newsletters mitgeteilt werden.

    Wird NCP mit den Zertifikaten der neuen Bayern-PKI 2.0 getestet?
    NCP wird von den Verantwortlichen des Fachverfahrens in Eigenregie auf Kompatibilität getestet. Eigene Tests sind nicht erforderlich.

    Wird es eine Datenmigration von Nexus Prime zum IDM geben?
    Nein, eine Datenmigration von Nexus Prime zum IDM wird es nicht geben. Stattdessen sind die Teilnehmer (User und Funktionsstellen) neu zu registrieren, wobei auf die neuen Möglichkeiten zur Automatisierung zurückgegriffen werden kann.
    Siehe hierzu auch den 3. Newsletter im Newsletterarchiv.

    Fragen zur Funktionalität


    Wird ein Auto-Enrollment via SCEP zur Verfügung gestellt?
    Ja. Die Funktion des Auto-Enrollments via SCEP ist sehr wichtig für Behörden mit vielen Außenstellen. Für Maschinen- und Geräte-Zertifikate ist dies im Konzept der neuen Bayern-PKI 2.0 vorgesehen.

    Wird eine Massenausstellung/ Automatisierung für Windows möglich sein?
    Für Windows-Geräte ist eine Automatisierung möglich.

    Wird eine Massenausstellung/ Automatisierung für Personenzertifikate möglich sein?
    Eine völlig automatische Beantragung für Personenzertifikate (über MDM) ist nicht möglich, da diese als Datei zugestellt werden. Eine Massenausstellung muss daher manuell angestoßen werden. 

    Wird für die Blackberry Enterprise Server eine Automatisierung möglich sein?
    Ja. Diese wird in der MPKI umgesetzt werden.

    Wird es für die Benutzerzertifikate von Smartphones eine App geben?
    Nein, eine App ist nicht vorgesehen. 

    Deckt die PKI auch den Fall ab, dass Benutzer Windows, iOS und Android Geräte gleichzeitig in Betrieb haben? Benutzerzertifikate müssten dann beliebig oft in dem Zeitraum wieder aus der PKI geladen werden, solange das Zertifikat gültig ist ?
    Für jedes in Benutzung befindliche Gerät können eigene Zertifikate für Signatur und Authentifizierung ausgestellt werden. Das Verschlüsselungszertifikat kann jederzeit aus der PKI erneut abgerufen werden, um es auf einem weiteren Gerät importieren zu können.

    Wird es nur noch eine Zertifikatsdatei pro Benutzer geben, die Verschlüsselung und Signierung vereint?
    Nein, es wird unterschiedliche Zertifikatsdateien für Verschlüsselung und Signatur geben.

    Können bestehende Identitäten aus VIVA in das neue IDM übertragen werden?
    Ja, wenn die Schnittstelle zu VIVA implementiert ist, können aus VIVA bestehende Identitäten weitestgehend automatisiert in das IDM übernommen werden.

    Können im Active Directory (AD) vorhandene Nutzer in das neue IDM übertragen werden?
    Ja, für ausgewählte AD Forests ist es eine Anbindung an das IDM geplant. Damit können Teilnehmer, die auf beliebigem Weg im IDM erfasst worden sind, um Informationen aus dem AD angereichert werden.

    Gibt es eine allgemeine Dateischnittstelle im IDM zum Einspielen von Identitäten?
    Ja, es sind Schnittstellen im IDM konzipiert, über die Identitäten einmalig oder regelmäßig übertragen werden können (z.B. bei umfangreichen Änderungen der Daten).

    Lässt sich die Gültigkeitsdauer von Zertifikaten mit der Bayern-PKI 2.0 anpassen bzw. verkürzen?
    Ja, dies ist anhand der Sperrfunktion möglich für Zertifkate, die mit der Bayern-PKI 2.0 manuell beantragt wurden. Ebenfalls möglich ist es für mittels den Auto-enrollment Protokollen SCEP und EST beantragten Zertifikate.

    Wird mit der Bayern PKI 2.0 eine (automatisierte) Kommunikation über Proxys hinweg möglich sein?
    Dies hängt von dem eingesetzten Protokoll ab. Ist dieses verwendete Protokoll Proxy-fähig, so unterstützt die Bayern PKI 2.0 die automatisierte Kommunikation über Proxys hinweg.
    Pauschal lässt sich das nicht beantworten, da in der Vielzahl der Einsatzfälle, die die Bayern-PKI 2.0 abdeckt, verschiedene Protokolle verwendet werden.

    Gibt es mit der neuen Bayern-PKI 2.0 die Möglichkeit zur Nutzung von qualifizierten elektronischen Signaturen?
    Die Bayern-PKI 2.0 wird weiterhin fortgeschrittene elektronische Signaturzertifikate ausstellen. Es sind mehrere Ausbaustufen geplant, die nach der erfolgreichen Umstellung realisiert werden sollen. Jedoch kann zum heutigen Stand noch keine Auskunft geben, was die Nutzung von qualifizierten elektronischen Signaturen betrifft.

    Wird es mit der Bayern-PKI 2.0 ein Secure-Mail Gateway geben?
    Im Rahmen der Einführung der Bayern-PKI 2.0 wurden mehrere Ausbaustufen optional in die Planung mit aufgenommen. Der Aufbau der Secure-Mail Gateway ist eine davon.

    Fragen zu neuen Algorithmen


    Weitere Informationen hierzu finden Sie auf dieser Seite des LSI

    Fragen zur Nutzung von Smartcards


    Wofür kann eine Smartcard genutzt werden?
    Smartcards können - je nach Ausstattung des Rohlings - mit der neuen Bayern-PKI 2.0 als multifunktionaler Dienstausweis genutzt werden. Eine Smartcard bietet sich für viele Zwecke an, für PKI-Anwendungen wie z.B. die Anmeldung am NCP Client, Zutrittsteuerung, Druckerauthentifizierung oder auch Zeiterfassung (BayZeit). Siehe hierzu auch den 5. Newsletter im Newsletterarchiv.

    Können ältere Smartcards der PKI 1.0 dann noch weiter genutzt werden?
    Nein. Mit der endgültigen Ablösung der bisherigen PKI 1.0, also wenn die Umstellung auf die neue Bayern-PKI 2.0 abgeschlossen ist, sind die bisherigen Smartcards nicht mehr für die PKI-Dienste nutzbar. 

    Wird es möglich sein, die User Zertifikate welche als Zertifikatsdatei vorliegen, selbständig auf eine Smartcard zu transferieren (Vorbehaltlich der Hardwarevoraussetzungen) ?
    Ja, dies wird möglich sein, aber durch diesen Aufbringungs-Prozess erreichen diese Smartcards nicht dasselbe Sicherheitsniveau der Authentifizierung wie native Smartcards.

    Wie können bei Nutzung des zentralen Druckservice, der mit entsprechenden Lieferzeiten verbunden ist, kurzfristig – z.B. für VIP – Ausweise / Ersatzausweise ausgegeben werden?
    Bei den Registrierungsstellen werden temporäre Ausweise für diese Zwecke bereitgehalten ("Kontingentkarten").

    Wird ein dezentraler (offline) Druck möglich sein – im Sinne einer reinen Bedruckung ohne weitere Verbindung zur PKI?
    Ja, dies wird möglich sein. Die PKI-Stelle wird keine unabhängige Nutzung verbieten.

    Was sind virtuelle Smartcards und wie werden diese verwendet?
    Virtuelle Smartcards emulieren die Funktionalität physischer Smartcards und bieten durch die Zwei-Faktor-Authentifizierung vergleichbare Sicherheitsvorteile. Sie können im Rahmen der neuen Bayern-PKI 2.0 über Cryptovision für Windows Betriebssysteme (bei TPM 1.2-kompatibler Hardware) genutzt werden. Siehe hierzu auch den 5. Newsletter im Newsletterarchiv.