Produkt
eID PKI suite

Der Schlüssel für sichere digitale Prozesse

Digitale Zertifikate sorgen bei Online-Banking und Steuererklärung für Vertraulichkeit und Integrität der Datenübertragung. Sie kommen aber genauso bei intelligenten Stromzählern, beim Auslesen von Reisepässen oder in vernetzten Automobilen zum Einsatz. Für die Erzeugung, Nutzung und Verwaltung dieser digitalen Zertifikate haben wir die secunet eID PKI Suite entwickelt und damit eine wesentliche Grundlage für sichere digitale Prozesse und Automation geschaffen.

Die Vorteile der secunet eID PKI Suite

Zuverlässig

Die eID PKI Suite ist das gebündelte Know-how aus mehr als 350 PKI-Projekten: Sie ist sowohl für den Einsatz im Bereich der hoheitlichen Dokumente als auch für Anwendungen im industriellen Umfeld konzipiert und unterstützt alle relevanten Standards und Protokolle.

Premiumsicher

Für Einsatzgebiete mit besonderen Sicherheitsanforderungen ist die eID PKI Suite auch in einer nach Common Critera EAL4+ zertifizieren Variante verfügbar.

Langlebig

Die eID PKI Suite ist standardkonform, was sie äußerst langlebig macht und Investitionen schützt: Unsere PKI passt sich problemlos an geänderte Sicherheitsanforderungen und sich weiterentwickelnde Infrastrukturen an.

Modular

Die verschiedenen Softwarebausteine der eID PKI Suite ergeben zusammengenommen ein hochleistungsfähiges Gesamtsystem, können aber genauso gut einzeln in eine bestehende Systemarchitektur integriert werden.

Passgenau

Die eID PKI Suite lässt sich kundenspezifisch sehr individuell aufsetzen - Kunden erhalten eine skalierbare Standardlösung, die trotzdem exakt auf ihre Bedürfnisse zugeschnitten ist.

Ackerbau und IT-Sicherheit

CLAAS investiert in die Zukunft: Landmaschinen haben ein Entwicklungsniveau erreicht, das sich auf traditionellem Wege kaum mehr steigern lässt. Um sich weiterhin führend am Markt zu positionieren, fokussiert der Landmaschinenhersteller CLAAS daher auf neue und zukunftsweisende Geschäftsfelder.

Einsatzgebiete
der eID PKI Suite:

Die auf dem Chip gespeicherten Daten in hoheitlichen Dokumenten müssen gegen Manipulation und Verfälschung geschützt werden. Außerdem muss durch Einsatz geeigneter Sicherheitsmechanismen sichergestellt werden, dass nur solche Personen Zugriff auf die Daten erhalten, die dazu nachweislich berechtigt sind. Rückgrat des Sicherheitsgerüstes für hoheitliche Dokumente sind zwei umfassende Public-Key-Infrastrukturen (PKIs). Während die ICAO-PKI die Authentizität und Integrität der Dokumente sicherstellt, wird eine zweite PKI, die EAC-PKI für den erweiterten Zugriffsschutz benötigt. Die secunet eID PKI Suite erfüllt alle Anforderungen an eine PKI im Bereich eID und Grenzkontrolle. Durch ihren modularen Ansatz profitieren unsere Kunden von einer reibungslosen Integration in ihre Systeme.

Die Vorteile der secunet eID PKI Suite für hoheitliche Dokumente

Flexibel

Flexibel im Hinblick auf die einzusetzenden Signaturkomponenten und das damit verbundene Zertifikatsmanagement. Unterschiedliche HSMs werden unterstützt.

Individuell

Mit einem Produkt werden alle Anforderungen an eine PKI, die im Kontext hoheitlicher Dokumente eingesetzt werden soll, erfüllt.

Zukunftssicher

Die eID PKI Suite ist modular, skalierbar und standardkonform. Darüber hinaus unterstützt sie alle EAC Versionen.

Effizient

Der nationale und internationale Zertifikatsaustausch über den SPOC wird vereinfacht und über das Terminal Control Center wird die Infrastruktur der Dokumentenverifizierung, einschließlich der Zertifikatsverwaltung zentralisiert.

Die eID PKI Suite bzw. deren Komponenten kommen immer dann zum Einsatz, wenn es um die Realisierung einer sicheren Infrastruktur für die moderne Ausgabe und Prüfung (issuance and verification) von elektronischen Identitätsdokumenten geht:

  • Passausgebende Behörden nutzen die eID PKI Suite zur Realisierung einer sicheren Personalisierungsinfrastruktur
  • Grenzkontrollbehörden nutzen die eID PKI Suite zur Realisierung einer sicheren Grenzkontrollinfrastruktur
  • Sicherheitsbehörden nutzen die eID PKI Suite zur Realisierung eines sicheren, internationalen Zertifikatsaustausch
  • Trustcenter können mithilfe der eID PKI Suite Berechtigungszertifikate für Dienstanbieter rund um nationale Identitätsdokumente erstellen
  • Der Digital Seal Signer for Visa (DSS for Visa) erstellt eine digitale Signatur sowie einen 2D-Barcode, welche die Authentizität und Integrität der im Papierdokument gedruckten Daten sicherstellt

 

Die eID PKI Suite umfasst verschiedene Softwarebausteine

Unser Angebot umfasst Komponenten zur Anwendung im Bereich der ICAO PKI ebenso wie Komponenten, die die Anforderungen der EAC PKI erfüllen. Sie ergeben zusammengenommen ein hochleistungsfähiges Gesamtsystem oder können auch einzeln in eine bestehende Systemarchitektur integriert werden – je nach Bedarf.
 

Die Country Verifying Certification Authority (CVCA) bildet die Grundlage der EAC-Infrastruktur. Sie stellt die CVCA-Wurzelzertifikate sowie die DV-Zertifikate für alle Instanzen zur Dokumentenprüfung aus.

Die CVCA muss in einer sicheren Umgebung betrieben werden. Das System läuft auf Standard- Servern mit Linux OS und verfügt über ein Web-Application Frontend, lässt sich also mit einem Standard-Webbrowser bedienen. Das System unterstützt die folgenden Anwendungen:
Erzeugen eines ersten (selbst-signierten) CVCA Wurzelzertifikates, inkl. Secret Key Ausführung von Schlüsselwechsel bei Ablauf des CVCA-Zertifikates und Ausstellung von Link-Zertifikaten Import und Verifizierung von Zertifikatsanfragen der DVCA Ausstellung und Export von DV-Zertifikaten. Die eigentlichen kryptographischen Operationen werden mit einer HSM oder Smartcard umgesetzt.  RSA- und ECDSA-basierte Algorithmen werden unterstützt.


Der Single Point of Contact (SPOC) ermöglicht als zentrale Schnittstelle den Zertifikatsaustausch auf nationaler und internationaler Ebene (nach CSN 369791:2009, bzw. nach der technischen Richtlinie BSI-TR-03129). Die Lösung von secunet deckt, basierend auf der sicheren Kommunikation via TLS, beide Kommunikationswege ab. 

Als besonderes Feature stellt secunet ein SPOC-Online-Testsystem zur Verfügung.


Die EAC-Infrastruktur verlangt mindestens eine Instanz einer Document Verifying Certification Authority (DVCA). Die DVCA stellt IS-Zertifikate für jedes Dokumentenlesesystem aus.

Die DVCA muss in einer sicheren Umgebung betrieben werden. Das System läuft auf Standard-Servern mit Linux OS und verfügt über ein Web-Application Frontend, lässt sich also mit einem Standard-Webbrowser bedienen. Das System unterstützt die folgenden Anwendungen:

  • Erzeugung der ersten DV-Zertifikatsanfrage und Beantragung des Zertifikats von der CVCA
  • Durchführung des Schlüsselwechsels bei Ablauf des DV-Zertifikats und Anfrage eines neuen Zertifikates
  • Ausstellen und Export von IS-Zertifikaten für Dokumentenlesesysteme

Die eigentlichen kryptographischen Operationen werden mit einer HSM oder Smartcard umgesetzt.

Die DVCA unterstützt sämtliche kryptographischen Algorithmen, um die uneingeschränkte Interoperabilität mit nationalen und internationalen CVCAs sicherzustellen.


Das Terminal Control Centre (TCC) implementiert eine zentralisierte Dokumenten-Verifizierungsinfrastruktur, die die Verbindung unterschiedlicher, verteilter Terminals ermöglicht. Die TCC-Lösung von secunet unterstützt verschiedene Anwendungsszenarien für BAC- und EAC-geschützte Dokumente. Ein geschützter zentralisierter Zertifikats- und Schlüsselspeicher sorgen als Teil der Lösung dafür, dass das TCC den Authentisierungsprozess für zugelassene Leser übernimmt. Für die passive Authentisierung importiert das TCC CSCA-Zertifikate von den Master-Listen und bekannte Fehler von den Defect-Listen.


Die Country Signing Certification Authority (CSCA) dient als Vertrauensanker für die ICAO PKI. Sie stellt ein Länder-Wurzelzertifikat sowie ein Document Signer-Zertifikat für die Stellen aus, die Pässe und andere Identitätsdokumente ausgeben.

Die CSCA muss in einer sicheren Offline-Umgebung betrieben werden. Das System läuft auf Standard- Servern mit Linux OS und verfügt über ein Web-Application Frontend, lässt sich also mit einem Standard-Webbrowser bedienen. Das System unterstützt die folgenden Anwendungen:

  • Erzeugung des ersten (selbst-signierten) Länder-Wurzelzertifikats, inkl. Secret Key
  • Durchführen des Schlüsselwechsels beim Ablauf des CSCA-Zertifikates und Ausstellung von Link-Zertifikaten
  • Import und Verifizierung von Zertifikatsanfragen der ausgebenden Stelle
  • Ausstellung und Export von DS-Zertifikaten
  • Sperrung von DS-Zertifikaten
  • Ausstellung und Export der Zertifikats-Sperrliste

Die eigentlichen kryptographischen Operationen werden mit HSM oder einer Smartcard durchgeführt.


Als nationales Pendant zum ICAO-PKD speichert das N-PKD alle vertrauenswürdigen in- und ausländischen CSCA-Zertifikate, DS-Zertifikate und entsprechende CRLs. In diesem Zusammenhang fungiert das N-PKD als Schnittstelle zur ICAO-PKD und ruft CRLs von unterschiedlichen Quellen ab und importiert manuell Zertifikate sowie Masterlisten. Das N-PKD unterstützt den Nutzer zuverlässig bei der Analyse der unterschiedlichen Qualität der importierten Daten und speichert sie getrennt nach ihrer Vertrauenswürdigkeit. Zusätzlich kann das N-PKD Master- und Fehlerlisten, die für die passive Authentifizierung in der Grenzkontrolle verwendet werden sollen, verarbeiten.


Der Document Signer (DS) ist für die Erstellung digitaler Signaturen verantwortlich, die die Authentizität und Integrität der im Identitätsdokument gespeicherten elektronischen Daten sicherstellen.

Der DS muss in einer geschützten Umgebung betrieben werden. Das System läuft auf Standard-Servern und bietet ein Web-Service Interface für das Personalisierungssystem. Der Document Signer unterstützt folgende Anwendungen:

  • Erstellung eines DS-Schlüsselpaares und der Zertifikatsanfrage
  • Export der Zertifikatsanfrage in eine Datei
  • Import des DS-Zertifikates (ausgestellt durch die CSCA) aus einer Datei
  • Erstellung eines document security object (EF.SOD)

Die kryptographischen Operationen werden mit HSM oder einer Smartcard durchgeführt.


Ab dem 01.05.2022 muss ein Visum für den Schengen-Raum verpflichtend ein zusätzliches digitales Siegel enthalten um die optischen Schutzmaßnahmen durch eine elektronische Komponente zu erweitern.

Der Digital Seal Signer for Visa (DSS for Visa) erstellt eine digitale Signatur sowie einen 2D-Barcode, welche die Authentizität und Integrität der im Papierdokument gedruckten Daten sicherstellt.

Der DSS for Visa umfasst

  • Erzeugen von ICAO konformen Digitalen Siegeln für Visa
  • Beantragen und Verwalten der zugehörigen digitalen Zertifikate (ausgestellt durch CSCA)
  • Signatur- und Barcodegenerierung mit dem DSS-Zertifikat
  • Webservice-Schnittstelle zur Enrolment-Anwendung SOAP- oder REST-basiert
  • Schnittstelle zur Qualitätssicherung ausgestellter Zertifikate ebenfalls integriert

Volle Kontrolle über alle Prozess relevanten Identitäten und Datenflüsse

IT-gestützte Geschäftsprozesse sind heute das Rückgrat von Industrie und Wirtschaft. Die stetig steigende Vernetzung und damit die vollständige Digitalisierung der Wertschöpfungsketten in Unternehmen, kompletten Branchen sowie zwischen verschiedenen Branchen, verlangen entsprechende Vertrauensanker. Kryptografische Verfahren sowie der Einsatz von Zertifikaten und Signaturen sorgen für Vertrauen in Akteure und die Kontrolle über die digitalen Infrastrukturen.

Die Bereitstellung und Verwaltung von Zertifikaten durch die eID PKI Suite von secunet ermöglicht die Sicherstellung der Authentizität der Kommunikationspartner, stellt die Integrität der Daten sicher und ermöglicht zudem deren Verschlüsselung, so dass sie gegen Einsichtnahme geschützt sind. So kann die Kommunikation zwischen Personen, die Kommunikationen von Nutzern und Systemen bis hin zur automatisierten Kommunikation zwischen Maschinen, machine-to-machine communication (M2M), abgesichert werden.

Die modulare Architektur der eID PKI Suite von secunet ermöglicht eine flexible Integration in nahezu jeden Anwendungsfall der die Erzeugung, Bereitstellung und Verwaltung von digitalen Identitäten für Personen oder Geräte erfordert - die automatisierte  Prüfung von digitalen Identitäten selbstverständlich eingeschlossen. Diese digitalen Identitäten können in bedarfsgerechten Formaten erzeugt werden, also in Form von X.509 als auch CVC (Card verifyable certificate), so dass den Anwendungsfällen im Internet of Things in vollem Umfang Rechnung getragen wird.

Ihre Lösung – universell und flexibel

Die eID PKI Suite von secunet unterstützt bereits heute eine Vielzahl von Anwendungen und lässt sich aufgrund ihrer modularen Architektur flexibel auf individuelle Szenarien ausrichten und falls nötig erweitern:

  • Universal PKI – Zertifikatsbasierte Lösungen zur Authentisierung von Nutzern, zum Signieren und zum Verschlüsseln von Daten und Nachrichten
  • Industrie PKI – Kryptographische Dienste zur Absicherung der gesamten Prozesskette eines Product Life Cycles: Entwicklung, Fertigung, Anwendung und Service.
  • Smart Metering PKI – Zertifikate für Smart Meter Gateways erstellen und verwalten. secunet PKI ist für den Einsatz als Sub-CA unter der vom BSI betriebenen Smart Meter Beta-Root-CA freigegeben.

Sichern Sie Ihre Prozesse und Infrastruktur

  • Authentifizierung von Personen und Nutzern
  • Identifikation von Geräten, Systemen und Anwendern
  • Schutz vertraulicher Informationen durch Verschlüsselung
  • Autorisierung und Verifikation von Steuerhandlungen

Der nach Common Criteria EAL 4+ zertifizierte CAKernel (C²K) der secunet PKI Suite ist ein Testat für die hohe Sicherheit „Made in Germany“.

Ihr Erfolg – wir unterstützen von der Analyse bis zur Realisierung

Die Anforderungen an den Einsatz kryptografischer Sicherheitsmaßnahmen resultieren häufig aus regulatorischen Vorgaben, Technischen Richtlinien und Risikoanalysen. Mit unserer 20-jährigen Erfahrung sortieren wir mit Ihnen Forderungen und nachhaltige Lösungsansätze.


Sind die Ziele gesetzt, entwickeln wir mit Ihnen die technischen Anforderungen an die künftige Lösung und organisatorischen Vorgaben zum sicheren Betrieb der PKI oder der Verwendung extern beschaffter Zertifikate und Signaturen.


Ist die eID PKI Suite von secunet für Sie die richtige Lösung, integrieren wir diese vollständig wie spezifiziert.

Anderenfalls unterstützen wir Sie bei der Einführung anderer PKI-Lösungen in der ordnungsgemäßen Inbetriebnahme.


Secure Key Management

Mit der eID PKI for Automotive bietet secunet Automotive Security ein im produktiven Einsatz bewährtes, sehr flexibles Produkt als Fundament für kryptografische Zentralsysteme. So können PKI-Systeme für Automotive Anwendungen mit verschiedenen unterstützten Zertifikatsformaten genauso aufgebaut werden, wie Krypto-Keymanagement mit Hardware Security Modulen.

Bekannte Anwendungen der Absicherung von Elektronik im Bereich Automotive wie beispielsweise  sicheres Flashen von Steuergeräten, Software-Over-the-Air, Diagnose-Absicherung und sichere Bordnetzkommunikation (SecOC), sichere Smart-Charging Kommunikation (ISO 15118) lassen sich damit genauso umsetzen ganauso wie neue und zukünftige Aufgaben im Bereich Datendienste, Mobilitätsdienste oder Car-2-Car Kommunikation. Für die Integration sind verschiedene Standard-basierte Schnittstellen verfügbar.

Produktbasierte Lösungen

secunet nimmt Kundenanforderungen als Feature Requests in den Produktplanungsprozess auf und setzt sie in einem agilen Produktentwicklungsprozess um. Kunden kommen so regelmässig in den Genuß neuer Funktionen, die in der Branche relevant werden.

Individuelle Erweiterungen können darüber hinaus mittels Workflows auf Basis des Produktes umgesetzt werden. Auf diese Weise verringert sich der typische Anteil projektspezifischer Software, was den Umsetzungszeitplan optimiert und die Aufwände verringert.

secunet erfüllt branchentypische Qualitätsanforderungen durch Security-by-Design, durch verlässlichen Support sowie Common Criteria Evaluationen relevanter Komponenten. IT- und Betriebsanforderungen werden durch Unterstützung von Rechenzentrums-Technologien im Bereich Betriebssysteme, Hochverfügbarkeit und Monitoring abgebildet.

Projekte und Referenzen
Als Partner von Behörden, Organisationen und Industrie treiben wir digitale Souveränität in Deutschland und der EU voran. Für eine sichere, unabhängige und durchgehend vernetzte Zukunft.
Downloads
Sie wollen mehr über die eID PKI Suite erfahren?
Broschüren
Success Story PKI

Zentrales Nervensystem für Grenzkontrollen: Bundespolizei prüft elektronische Identitätsdokumente an deutschen Grenzen mit der secunet eID PKI Suite

Technische Info (nur in Englisch verfügbar)
Factsheet eID PKI Suite

Public Key Infrastructure for modern identity documents

Factsheet eID PKI Suite NKPD

More than just a mirror of the ICAO-PKD

Kontaktanfrage
Sie haben Fragen zur secunet eID PKI Suite?
Sie haben Fragen zur secunet eID PKI Suite?

Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.

Seite 1

secunet Security Networks AG
Kurfürstenstraße 58
45138 Essen

Phone: +49 (0) 201 5454-0
E-Mail: info(at)secunet.com

Twitter | LinkedIn | Xing

© 2021 secunet Security Networks AG