Ausblick: Mögliche Steigerungen des Sicherheitsniveaus

Die folgenden Abschnitte skizzieren konzeptuell Verfahren, welche das Vertrauen in die mobile Identität der veGK zum Zugriff auf sensible Daten oder Operationen weiter stärken könnten.

Allgemein: Staffelung der Sicherheitsanforderungen an die Movi-Schnittstellen

Verknüpfung veGK und eID

Aus der Sicherheitsbewertung nach eIDAS geht hervor, dass eine der Haupteinschränkungen der Sicherheit der veGK aus dem Zustellprozess des Vertrauensankers (der eGK) resultiert. Der etablierte Zustellprozess erlaubt keine deterministische digitale Überprüfung, ob die eGK tatsächlich der die korrespondierende Identität innehabenden natürlichen Person zugestellt wurde. Für den Zugriff auf Daten oder Operationen “geringerer Güte” ist das Vertrauen in die “sehr wahrscheinlich” korrekte Zustellung ausreichen. Bei der Inanspruchnahme von medizinischen Dienstleistung in der realen Welt erfolgt weiterhin eine optische Kontrolle durch das medizinische Personal: Passt das Erscheinungsbild der natürlichen Person zu dem auf der Karte aufgedruckten Bild?

In der eID sind folgende Attribute gespeichert [1], welche je nach Ausprägung des Berechtigungszertifikats abgerufen werden können:

  1. Heuristische Verknüpfung: Es werden die im Authentifizierungszertifikat der eGK gespeicherten Daten mit denen durch das eID-Verfahren bezogenen Daten verglichen. Desto mehr Attribute miteinander verglichen werden, desto stärker oder schwächer ist das resultierende Vertrauen in den ordnungsgemäßen Besitz der eGK. Da die Attribute jedoch in unterschiedlichen Ausprägungen erfasst sein können (Vor- und Nachname vs. Vor-, Zwischen- und Nachnamen) und zudem nicht sichergestellt werden kann, dass keine weitere Person mit gleichen Attributen existiert, kann die Vertrauensaussage nur heuristisch sein. Unabhängig der fehlenden eindeutigen Zuordnung könnte ein möglicher Angriffsvektor beim Zugriff auf “hoch-sensible” Daten oder Operationen erheblich eingeschränkt werden, da das Online-Ausweisen per eID und das “zusammenpassen” der personenbeziehbaren Attribute zu einem definierten Grad (Schwellwert) für einen Angreifer eine weitere erhebliche Hürde darstellen kann.

  2. Deterministische Verknüpfung: Ein Versicherter hat sich, zu einem beliebigen Zeitpunkt, bei der die externen Daten bereitstellende vertrauenswürdigen Instanz ausgewiesen, welche neben den personenbeziehbaren Daten auch das Karten-spezifische Pseudonym übernimmt. Während des online ausweisens eines Versicherten kann, neben der heuristischen Verknüpfung auf Basis der namensgebenden Attribute, zusätzlich das Pseudonym deterministisch überprüft werden. Versicherer wie die Techniker Krankenkasse (TK) ermöglichen ihren Versicherten bereits den Zugriff auf ihr Online-Angebot über das eID-Verfahren [4].

Der Einbezug der eID kann prinzipiell zu zwei unterschiedlichen Zeitpunkten erfolgen:

  1. Während des Registrierungsprozesses der veGK: In 1.a) direkt nach oder vor der Aktivierung der eGK, in 1.b) vor der Erstellung des Aktivierungscodes.
  2. Nach der Registrierung der veGK nach Prozess 1.a): Sobald die veGK zum Zugriff auf hoch-sensible Daten oder Operationen genutzt werden soll. Operationen geringerer Güte, in Bezug auf die Sicherheit, würden noch keine Integration der eID voraussetzen.

Vor allem bei der postalischen Registrierungsvariante (1.b) ist der Nutzer des Mobilgeräts völlig unbekannt. Das Wissen über die KVNR und das Abfangen des postalisch zugestellten Aktivierungscodes könnte ausreichen, um die Identität eines Versicherten digital zu übernehmen. Der Einsatz der Online-Ausweisfunktion kann dem entgegenwirken und den Angriffsvektor massiv einschränken.

Auslieferungsprozess: Aktivierung der “Online-Funktion” der eGK per eID

Der Auslieferungsprozess der eGK PIN ist noch nicht spezifiziert. Da die eGK PIN für einen Versicherten nur dann Sinn macht, wenn er sie auch Nutzen kann impliziert das, dass er vermutlich Zugriff auf ein NFC-fähiges Mobilgerät und/oder Lesegerät für seinen PC hat.

Der initiale Aktivierungscode zum freischalten der eGK für digitale Szenarien könnte über eine Anwendung (nativ, web-basiert) auf Basis einer eID-Authentifizierung übermittelt werden und als Grundlage für die PIN-Änderung durch den Nutzer dienen. Die postalische Zustellung des eGK-PINs wäre obsolet.

Registrierung der veGK per Post: Zusätzlicher Aktivierungscode per Terminal

Nutzer ohne NFC-fähiges Mobilgerät können sich per eID einen Aktivierungscode für die Erzeugung des Schlüsselmaterials auf ihrem Gerät beschaffen. Das kryptografische Schlüsselmaterial wird hierbei nicht von dem Aktivierungscode abgeleitet, er dient lediglich der Feststellung der Identität des Nutzers des Mobilgeräts. Die Beschaffung kann über den Desktop-PC des Nutzers (bei vorhandenem Lesegerät) oder über öffentlich zugängliche eID-Terminals in der Verwaltung oder in anderen Einrichtungen erfolgen (siehe Bürgerterminals des Bürgerservice.org e.V.). Ein ähnliches Verfahren bietet die Volksverschlüsselung des Fraunhofer SIT über ihr Registrierungsportal zur Ausstellung von identitätsgeprüften Klasse 3 X.509-Zertifikaten zur Ende-zu-Ende-Verschlüsselung der E-Mail Kommunikation.

Ein möglicher Prozess könnte folgendermaßen aussehen:

  1. Ein Nutzer authentifiziert sich an einem eID-Terminal oder an seinem PC. Der erzeugte Aktivierungscode wird entweder auf einen verbunden USB-Stick geladen zur Datenübernahme zuhause, oder direkt in die Movi-Anwendung übernommen (QR-Code, manuelle Eingabe). Der Account Management Service (AMS) dient als Backend und erhält die Authentifizierungsdaten (z.B. Namen, Geburtstag und Adresse) durch den eID-Server, welche er temporär speichert.
  2. Der Aktivierungscode wird im Rahmen der Registrierung des öffentlichen Attestierungsschlüssels mit an den AMS übermittelt, welcher diesen verifiziert.
  3. Erstellung des Registrierungsbriefs: Der AMS gleicht entweder a) die Namens- und Adressdaten zwischen AMS (eID) und Identitätsprovider (Movi) ab, oder b) übernimmt die Adressdaten der eID zur Erstellung des Registrierungsbriefs. In Szenario b) ist zu klären, in welcher Ausprägung der Datenabgleich zwischen IdP und der vertrauenswürdigen externen Datenquelle in Registrierungsprozess 1.b) noch notwendig ist (welche Daten werden neben der KVNR noch benötigt). Je nach Ausprägung der Daten der externen Quelle, kann die Verknüpfung der eID-Identität heuristisch oder deterministisch erfolgen (siehe Verknüpfung veGK und eID). Wäre keine Verknüpfung der zwei Identitäten notwendig (Übernahme der eID-Daten in den IdP), währen weniger eID-Attribute notwendig.
  4. Der Nutzer erhält den Registrierungsbrief per Post und aktiviert sein Movi-Konto final.

Gegenseitige Authentifizierung in TLS mit attestiertem Geräte-Schlüssel

Prozess der gegenseitigen Authentifizierung für TLS:

  1. Die Anwendung kontaktiert den AMS über eine server-seitig authentifizierte TLS Verbindung.
  2. Der AMS generiert eine zufällige Challenge und sendet diese an die Anwendung.
  3. Die Anwendung generiert innerhalb der sicheren Hardware einen kryptografischen Schlüssel, lässt sich diesen zusammen mit der Challenge Attestieren und setzt die TLS-Verbindung zurück.
  4. Die Anwendung baut eine neue TLS-Verbindung basierenden auf einer gegenseitigen Authentifizierung unter Verwendung des zuvor attestierten Schlüssels auf.
  5. Der AMS verifiziert das Attestierungsergebnis innerhalb des TLS-Zertifikats der Anwendung.
  6. Der AMS verifiziert anhand einer Richtlinie das Attestierungsergebnis.
  7. Je nach Verifikationsergebnis wird der Anwendung der Zugriff auf die Schnittstelle gewährt, oder nicht.

Eine Demoimplementierung ist unter [3] zu finden.

Quellen

[1] https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/EIDAS/German_eID_Whitepaper.pdf [2] https://pure.tugraz.at/ws/portalfiles/portal/23614047/SECRYPT_2019_97_CR.pdf
[3] https://github.com/a-sit-plus/android-attestation-demo
[4] https://www.ausweisapp.bund.de/fileadmin/user_upload/Anwenderforen/Governikus_Anwender_21012016.pdf