Der Schlüssel für sichere digitale Prozesse
Die Vorteile der secunet eID PKI Suite
Die eID PKI Suite ist das gebündelte Know-how aus mehr als 350 PKI-Projekten: Sie ist sowohl für den Einsatz im Bereich der hoheitlichen Dokumente als auch für Anwendungen im industriellen Umfeld konzipiert und unterstützt alle relevanten Standards und Protokolle.
Für Einsatzgebiete mit besonderen Sicherheitsanforderungen ist die eID PKI Suite auch in einer nach Common Critera EAL4+ zertifizieren Variante verfügbar.
Die eID PKI Suite ist standardkonform, was sie äußerst langlebig macht und Investitionen schützt: Unsere PKI passt sich problemlos an geänderte Sicherheitsanforderungen und sich weiterentwickelnde Infrastrukturen an.
Die verschiedenen Softwarebausteine der eID PKI Suite ergeben zusammengenommen ein hochleistungsfähiges Gesamtsystem, können aber genauso gut einzeln in eine bestehende Systemarchitektur integriert werden.
Die eID PKI Suite lässt sich kundenspezifisch sehr individuell aufsetzen - Kunden erhalten eine skalierbare Standardlösung, die trotzdem exakt auf ihre Bedürfnisse zugeschnitten ist.
Ackerbau und IT-Sicherheit
Einsatzgebiete
der eID PKI Suite:
Doppelter Schutz für moderne Identitätsdokumente
Die auf dem Chip gespeicherten Daten in hoheitlichen Dokumenten müssen gegen Manipulation und Verfälschung geschützt werden. Außerdem muss durch Einsatz geeigneter Sicherheitsmechanismen sichergestellt werden, dass nur solche Personen Zugriff auf die Daten erhalten, die dazu nachweislich berechtigt sind. Rückgrat des Sicherheitsgerüstes für hoheitliche Dokumente sind zwei umfassende Public-Key-Infrastrukturen (PKIs). Während die ICAO-PKI die Authentizität und Integrität der Dokumente sicherstellt, wird eine zweite PKI, die EAC-PKI für den erweiterten Zugriffsschutz benötigt. Die secunet eID PKI Suite erfüllt alle Anforderungen an eine PKI im Bereich eID und Grenzkontrolle. Durch ihren modularen Ansatz profitieren unsere Kunden von einer reibungslosen Integration in ihre Systeme.
Die Vorteile der secunet eID PKI Suite für hoheitliche Dokumente
Flexibel im Hinblick auf die einzusetzenden Signaturkomponenten und das damit verbundene Zertifikatsmanagement. Unterschiedliche HSMs werden unterstützt.
Mit einem Produkt werden alle Anforderungen an eine PKI, die im Kontext hoheitlicher Dokumente eingesetzt werden soll, erfüllt.
Die eID PKI Suite ist modular, skalierbar und standardkonform. Darüber hinaus unterstützt sie alle EAC Versionen.
Der nationale und internationale Zertifikatsaustausch über den SPOC wird vereinfacht und über das Terminal Control Center wird die Infrastruktur der Dokumentenverifizierung, einschließlich der Zertifikatsverwaltung zentralisiert.
Die eID PKI Suite bzw. deren Komponenten kommen immer dann zum Einsatz, wenn es um die Realisierung einer sicheren Infrastruktur für die moderne Ausgabe und Prüfung (issuance and verification) von elektronischen Identitätsdokumenten geht:
- Passausgebende Behörden nutzen die eID PKI Suite zur Realisierung einer sicheren Personalisierungsinfrastruktur
- Grenzkontrollbehörden nutzen die eID PKI Suite zur Realisierung einer sicheren Grenzkontrollinfrastruktur
- Sicherheitsbehörden nutzen die eID PKI Suite zur Realisierung eines sicheren, internationalen Zertifikatsaustausch
- Trustcenter können mithilfe der eID PKI Suite Berechtigungszertifikate für Dienstanbieter rund um nationale Identitätsdokumente erstellen
- Der Digital Seal Signer for Visa (DSS for Visa) erstellt eine digitale Signatur sowie einen 2D-Barcode, welche die Authentizität und Integrität der im Papierdokument gedruckten Daten sicherstellt
Liechtenstein digitalisiert die Verwaltung
Die eID PKI Suite umfasst verschiedene Softwarebausteine
Unser Angebot umfasst Komponenten zur Anwendung im Bereich der ICAO PKI ebenso wie Komponenten, die die Anforderungen der EAC PKI erfüllen. Sie ergeben zusammengenommen ein hochleistungsfähiges Gesamtsystem oder können auch einzeln in eine bestehende Systemarchitektur integriert werden – je nach Bedarf.
Country Verifying Certification Authority (CVCA)
Die Country Verifying Certification Authority (CVCA) bildet die Grundlage der EAC-Infrastruktur. Sie stellt die CVCA-Wurzelzertifikate sowie die DV-Zertifikate für alle Instanzen zur Dokumentenprüfung aus.
Die CVCA muss in einer sicheren Umgebung betrieben werden. Das System läuft auf Standard- Servern mit Linux OS und verfügt über ein Web-Application Frontend, lässt sich also mit einem Standard-Webbrowser bedienen. Das System unterstützt die folgenden Anwendungen:
Erzeugen eines ersten (selbst-signierten) CVCA Wurzelzertifikates, inkl. Secret Key Ausführung von Schlüsselwechsel bei Ablauf des CVCA-Zertifikates und Ausstellung von Link-Zertifikaten Import und Verifizierung von Zertifikatsanfragen der DVCA Ausstellung und Export von DV-Zertifikaten. Die eigentlichen kryptographischen Operationen werden mit einer HSM oder Smartcard umgesetzt. RSA- und ECDSA-basierte Algorithmen werden unterstützt.
Singe Point of Contact (SPOC)
Der Single Point of Contact (SPOC) ermöglicht als zentrale Schnittstelle den Zertifikatsaustausch auf nationaler und internationaler Ebene (nach CSN 369791:2009, bzw. nach der technischen Richtlinie BSI-TR-03129). Die Lösung von secunet deckt, basierend auf der sicheren Kommunikation via TLS, beide Kommunikationswege ab.
Als besonderes Feature stellt secunet ein SPOC-Online-Testsystem zur Verfügung.
Document Verifying Certification Authority (DVCA)
Die EAC-Infrastruktur verlangt mindestens eine Instanz einer Document Verifying Certification Authority (DVCA). Die DVCA stellt IS-Zertifikate für jedes Dokumentenlesesystem aus.
Die DVCA muss in einer sicheren Umgebung betrieben werden. Das System läuft auf Standard-Servern mit Linux OS und verfügt über ein Web-Application Frontend, lässt sich also mit einem Standard-Webbrowser bedienen. Das System unterstützt die folgenden Anwendungen:
- Erzeugung der ersten DV-Zertifikatsanfrage und Beantragung des Zertifikats von der CVCA
- Durchführung des Schlüsselwechsels bei Ablauf des DV-Zertifikats und Anfrage eines neuen Zertifikates
- Ausstellen und Export von IS-Zertifikaten für Dokumentenlesesysteme
Die eigentlichen kryptographischen Operationen werden mit einer HSM oder Smartcard umgesetzt.
Die DVCA unterstützt sämtliche kryptographischen Algorithmen, um die uneingeschränkte Interoperabilität mit nationalen und internationalen CVCAs sicherzustellen.
Terminal Control Centre (TCC)
Das Terminal Control Centre (TCC) implementiert eine zentralisierte Dokumenten-Verifizierungsinfrastruktur, die die Verbindung unterschiedlicher, verteilter Terminals ermöglicht. Die TCC-Lösung von secunet unterstützt verschiedene Anwendungsszenarien für BAC- und EAC-geschützte Dokumente. Ein geschützter zentralisierter Zertifikats- und Schlüsselspeicher sorgen als Teil der Lösung dafür, dass das TCC den Authentisierungsprozess für zugelassene Leser übernimmt. Für die passive Authentisierung importiert das TCC CSCA-Zertifikate von den Master-Listen und bekannte Fehler von den Defect-Listen.
Country Signing Certification Authority (CSCA)
Die Country Signing Certification Authority (CSCA) dient als Vertrauensanker für die ICAO PKI. Sie stellt ein Länder-Wurzelzertifikat sowie ein Document Signer-Zertifikat für die Stellen aus, die Pässe und andere Identitätsdokumente ausgeben.
Die CSCA muss in einer sicheren Offline-Umgebung betrieben werden. Das System läuft auf Standard- Servern mit Linux OS und verfügt über ein Web-Application Frontend, lässt sich also mit einem Standard-Webbrowser bedienen. Das System unterstützt die folgenden Anwendungen:
- Erzeugung des ersten (selbst-signierten) Länder-Wurzelzertifikats, inkl. Secret Key
- Durchführen des Schlüsselwechsels beim Ablauf des CSCA-Zertifikates und Ausstellung von Link-Zertifikaten
- Import und Verifizierung von Zertifikatsanfragen der ausgebenden Stelle
- Ausstellung und Export von DS-Zertifikaten
- Sperrung von DS-Zertifikaten
- Ausstellung und Export der Zertifikats-Sperrliste
Die eigentlichen kryptographischen Operationen werden mit HSM oder einer Smartcard durchgeführt.
N-PKD
Als nationales Pendant zum ICAO-PKD speichert das N-PKD alle vertrauenswürdigen in- und ausländischen CSCA-Zertifikate, DS-Zertifikate und entsprechende CRLs. In diesem Zusammenhang fungiert das N-PKD als Schnittstelle zur ICAO-PKD und ruft CRLs von unterschiedlichen Quellen ab und importiert manuell Zertifikate sowie Masterlisten. Das N-PKD unterstützt den Nutzer zuverlässig bei der Analyse der unterschiedlichen Qualität der importierten Daten und speichert sie getrennt nach ihrer Vertrauenswürdigkeit. Zusätzlich kann das N-PKD Master- und Fehlerlisten, die für die passive Authentifizierung in der Grenzkontrolle verwendet werden sollen, verarbeiten.
Document Signer (DS)
Der Document Signer (DS) ist für die Erstellung digitaler Signaturen verantwortlich, die die Authentizität und Integrität der im Identitätsdokument gespeicherten elektronischen Daten sicherstellen.
Der DS muss in einer geschützten Umgebung betrieben werden. Das System läuft auf Standard-Servern und bietet ein Web-Service Interface für das Personalisierungssystem. Der Document Signer unterstützt folgende Anwendungen:
- Erstellung eines DS-Schlüsselpaares und der Zertifikatsanfrage
- Export der Zertifikatsanfrage in eine Datei
- Import des DS-Zertifikates (ausgestellt durch die CSCA) aus einer Datei
- Erstellung eines document security object (EF.SOD)
Die kryptographischen Operationen werden mit HSM oder einer Smartcard durchgeführt.
DSS for Visa
Ab dem 01.05.2022 muss ein Visum für den Schengen-Raum verpflichtend ein zusätzliches digitales Siegel enthalten um die optischen Schutzmaßnahmen durch eine elektronische Komponente zu erweitern.
Der Digital Seal Signer for Visa (DSS for Visa) erstellt eine digitale Signatur sowie einen 2D-Barcode, welche die Authentizität und Integrität der im Papierdokument gedruckten Daten sicherstellt.
Der DSS for Visa umfasst
- Erzeugen von ICAO konformen Digitalen Siegeln für Visa
- Beantragen und Verwalten der zugehörigen digitalen Zertifikate (ausgestellt durch CSCA)
- Signatur- und Barcodegenerierung mit dem DSS-Zertifikat
- Webservice-Schnittstelle zur Enrolment-Anwendung SOAP- oder REST-basiert
- Schnittstelle zur Qualitätssicherung ausgestellter Zertifikate ebenfalls integriert
PKI in Kritischen Infrastrukturen
Volle Kontrolle über alle Prozess relevanten Identitäten und Datenflüsse
IT-gestützte Geschäftsprozesse sind das Rückgrat von Industrie und Wirtschaft. Die stetig steigende Vernetzung und vollständige Digitalisierung der Wertschöpfungsketten in Unternehmen, kompletten Branchen sowie zwischen verschiedenen Branchen, verlangen entsprechende Vertrauensanker. Kryptografische Verfahren sowie der Einsatz von Zertifikaten und Signaturen sorgen für Vertrauen und die Kontrolle über die digitalen Infrastrukturen.
Die Bereitstellung und Verwaltung von Zertifikaten durch die eID PKI Suite von secunet ermöglicht die Sicherstellung der Authentizität der Kommunikationspartner, stellt die Integrität der Daten sicher und ermöglicht deren Verschlüsselung, so dass sie gegen Einsichtnahme geschützt sind. So kann die Kommunikation zwischen Personen, die Kommunikationen von Nutzern und Systemen bis hin zur automatisierten Kommunikation zwischen Maschinen, machine-to-machine communication (M2M), abgesichert werden.
Die modulare Architektur der eID PKI Suite von secunet ermöglicht eine flexible Integration in nahezu jeden Anwendungsfall der die Erzeugung, Bereitstellung und Verwaltung von digitalen Identitäten für Personen oder Geräte erfordert - die automatisierte Prüfung von digitalen Identitäten selbstverständlich eingeschlossen. Diese digitalen Identitäten können in bedarfsgerechten Formaten erzeugt werden, also in Form von X.509 als auch CVC (Card verifyable certificate), so dass den Anwendungsfällen im Internet of Things in vollem Umfang Rechnung getragen wird.
Ihre Lösung – universell und flexibel
Die eID PKI Suite von secunet unterstützt bereits heute eine Vielzahl von Anwendungen und lässt sich aufgrund ihrer modularen Architektur flexibel auf individuelle Szenarien ausrichten und falls nötig erweitern:
- Universal PKI – Zertifikatsbasierte Lösungen zur Authentisierung von Nutzern, zum Signieren und zum Verschlüsseln von Daten und Nachrichten
- Industrie PKI – Kryptographische Dienste zur Absicherung der gesamten Prozesskette eines Product Life Cycles: Entwicklung, Fertigung, Anwendung und Service.
- Smart Metering PKI – Zertifikate für Smart Meter Gateways erstellen und verwalten. secunet PKI ist für den Einsatz als Sub-CA unter der vom BSI betriebenen Smart Meter Beta-Root-CA freigegeben.
Sichern Sie Ihre Prozesse und Infrastruktur
- Authentifizierung von Personen und Nutzern
- Identifikation von Geräten, Systemen und Anwendern
- Schutz vertraulicher Informationen durch Verschlüsselung
- Autorisierung und Verifikation von Steuerhandlungen
Der nach Common Criteria EAL 4+ zertifizierte CAKernel (C²K) der secunet PKI Suite ist ein Testat für die hohe Sicherheit „Made in Germany“.
Analyse
Die Anforderungen an den Einsatz kryptografischer Sicherheitsmaßnahmen resultieren häufig aus regulatorischen Vorgaben, Technischen Richtlinien und Risikoanalysen. Mit unserer 20-jährigen Erfahrung sortieren wir mit Ihnen Forderungen und nachhaltige Lösungsansätze.
Spezifikation
Sind die Ziele gesetzt, entwickeln wir mit Ihnen die technischen Anforderungen an die künftige Lösung und organisatorischen Vorgaben zum sicheren Betrieb der PKI oder der Verwendung extern beschaffter Zertifikate und Signaturen.
Umsetzung
Ist die eID PKI Suite von secunet für Sie die richtige Lösung, integrieren wir diese vollständig wie spezifiziert.
Anderenfalls unterstützen wir Sie bei der Einführung anderer PKI-Lösungen in der ordnungsgemäßen Inbetriebnahme.
eID PKI für Automotive
Secure Key Management
Mit der eID PKI for Automotive bietet secunet Automotive Security ein im produktiven Einsatz bewährtes, sehr flexibles Produkt als Fundament für kryptografische Zentralsysteme. So können PKI-Systeme für Automotive Anwendungen mit verschiedenen unterstützten Zertifikatsformaten genauso aufgebaut werden, wie Krypto-Keymanagement mit Hardware Security Modulen.
Bekannte Anwendungen der Absicherung von Elektronik im Bereich Automotive wie beispielsweise sicheres Flashen von Steuergeräten, Software-Over-the-Air, Diagnose-Absicherung und sichere Bordnetzkommunikation (SecOC), sichere Smart-Charging Kommunikation (ISO 15118) lassen sich damit genauso umsetzen wie neue und zukünftige Aufgaben im Bereich Datendienste, Mobilitätsdienste oder Car-2-Car Kommunikation. Für die Integration sind verschiedene Standard-basierte Schnittstellen verfügbar.
Produktbasierte Lösungen
secunet nimmt Kundenanforderungen als Feature Requests in den Produktplanungsprozess auf und setzt sie in einem agilen Produktentwicklungsprozess um. Kunden kommen so regelmässig in den Genuß neuer Funktionen, die in der Branche relevant werden.
Individuelle Erweiterungen können darüber hinaus mittels Workflows auf Basis des Produktes umgesetzt werden. Auf diese Weise verringert sich der typische Anteil projektspezifischer Software, was den Umsetzungszeitplan optimiert und die Aufwände verringert.
secunet erfüllt branchentypische Qualitätsanforderungen durch Security-by-Design, durch verlässlichen Support sowie Common Criteria Evaluationen relevanter Komponenten. IT- und Betriebsanforderungen werden durch Unterstützung von Rechenzentrums-Technologien im Bereich Betriebssysteme, Hochverfügbarkeit und Monitoring abgebildet.
Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.
