Berechtigungszertifikat

Berechtigungszertifikat des neuen Personalausweises

Im Rahmen der sog. Terminal Authentication prüft der nPA mit Hilfe eines Challenge-Response-Verfahrens die Zugriffsberechtigungen des Lesegeräts (Terminal). Bei der Authentisierungsfunktion muss die auslesende Instanz, das sog. Terminal, die Berechtigung zum Auslesen von personenbezogenen Daten des nPA besitzen. Dies wird in Form von Zertifikaten, hier dem sog. Berechtigungszertifikat, sichergestellt. Das Berechtigungszertifikat, auch Terminal Certificate, wird von der beim Bundesverwaltungsamt angesiedelten Vergabestelle für Berechtigungszertifikate (VfB) ausgegeben.

Ein gültiges Berechtigungszertifikat
Ein gültiges Berechtigungszertifikat

Berechtigungszertifikate enthalten die Zugriffsberechtigungen des Terminals auf die Datenfelder eines ePA und spielen damit eine große Rolle in Bezug auf die Autorisation. Ein Terminal kann also nur solche Datenfelder auslesen, für die es anhand der Zugriffsberechtigungen befugt ist. Eine Änderung der Zugriffsberechtigungen ohne Anpassung der Signatur resultiert in dem Verlust der Gültigkeit des Terminal Certificate und damit zwangsläufig in einem Bruch der Vertrauenskette. Der nPA darf unter keinen Umständen ein Auslesen von Datenfeldern mit einem ungültigen Berechtigungszertifikat zulassen. Dies kann durch entsprechende Gültigkeitsprüfungen im nPA sichergestellt werden.

CVCA, CSCA und TLV-kodierte Card Verifiable Certificates

Die folgende Abbildung zeigt ein Beispiel für ein Tag-Length-Value-kodiertes CVCA-Zertifikat für die ePass-Anwendung z.B. auf einem elektronischen Reisepass. Üblicherweise handelt es sich bei den Zertifikaten um sogenannte Card Verifiable Certificates (CV Certificates, dt. karten-verifizierbare Zertifikate). CV Certificates bieten den Vorteil, dass sie selbst in Umgebungen mit geringen Ressourcen, wie z.B. einer SmartCard oder eben dem Chip eines Personalausweises, verifiziert werden können.

ein TLV-kodiertes Card Verifiable Certificate einer CVCA

Dekodiertes CVCA

Die folgende Abbildung zeigt das dekodierte CVCA-Certificate aus der obigen Abbildung.

Dekodiertes CVCA-Certificate (hier am Beispiel für die ePass-Funktion)