Registrierung eines Versicherten

Die folgenden Abschnitte beschreiben die Grundlagen der Abläufe zur Registrierung eines Versicherten im Movi-Kontext.

Inhalt

Grundlegende Sicherheitsüberlegungen
Varianten der Registrierung
Grundlagen des Registrieurngsprotokolls
Service Initialisierung
Geräteselbsttest
getRegistrationChallenge
SafetyNet-Anfrage
Quellen

Grundlegende Sicherheitsüberlegungen

Transportwegverschlüsselung (TLS)

Aktuelle Sicherheitsüberlegungen sind in “Empfehlungen für die sichere Verwendung von TLS (Transport Layer Security) und DTLS (Datagram Transport Layer Security)” [5] zu finden, welche die TLS-Versionsempfehlungen in OAuth 2.0 [4] ersetzt.

Varianten der Registrierung

Primär per NFC, sekundär postalisch

Grundlagen des Registrierungsprotokolls

Service Initialisierung

Initialisierung der Trusted Service List

Geräteselbsttest

Triggert ein Anwender die Erstellung eines Kontos, führt die Anwendung einen grundlegenden Geräteselbsttest durch. Überprüft werden folgende Parameter:

  1. Ist die NFC-Schnittstelle verfügbar?
  2. Überprüfung der Ausführungsumgebung -> eine TEE (Trusted Execution Environment) ist Mindestvoraussetzung für die vertrauenswürdige Attestierung und Speicherung kryptografischer Schlüssel.
  3. Ist die Bildschirmsperre aktiviert?
  4. Sind Biometrische Sensoren zur Authentifizierung verfügbar und eingerichtet?

Initialisierung der Trusted Service List

getRegistrationChallenge()

Diese Methode dient zum Bezug einer Nonce. Die allgemeine Diskussion der Anforderungen an kryptografische Nonces: hier getRegistrationChallenge

SafetyNet-Anfrage
SafetyNET-Antwort

SafetyNET vermittelt den Entwicklern ein Verständnis davon, ob das Gerät manipuliert wurde, nicht jedoch, ob es im allgemeinen verwundbar ist. Auch wenn das aktuelle Patchlevel, die OS- sowie Kernel-Version abgefragt und verarbeitet werden

SafetyNet

Erzeugung des Attesttierungsschlüssels

Quellen

[1] https://developer.android.com/training/safetynet/attestation
[2] BSI TR 2102-3
[3] RFC 7295 Abschnitt 3.9
[4] https://tools.ietf.org/html/rfc6749 [5] https://tools.ietf.org/html/bcp195