DE EN

Technische Daten

Die eID PKI Suite umfasst verschiedene Softwarebausteine, die zusammengenommen ein hochleistungsfähiges Gesamtsystem ergeben. Gleichzeitig können sie einzeln in eine bestehende Systemarchitektur integriert werden. Das Angebot umfasst Komponenten zur Anwendung im Bereich der ICAO PKI ebenso wie Komponenten, die die Anforderungen der EAC PKI erfüllen. 

Dank ihres modularen Konzepts lässt sich die eID PKI Suite kundenspezifisch sehr individuell aufsetzen - unsere Kunden erhalten eine bewährte Standardlösung, die trotzdem exakt auf ihre Bedürfnisse zugeschnitten ist.

Module im Überblick

CVCA

Die Country Verifying Certification Authority (CVCA) bildet die Grundlage der EAC-Infrastruktur. Sie stellt die CVCA-Wurzelzertifikate sowie die DV-Zertifikate für alle Instanzen zur Dokumentenprüfung aus.

Die CVCA muss in einer sicheren Umgebung betrieben werden. Das System läuft auf Standard- Servern mit Linux OS und verfügt über ein Web-Application Frontend, lässt sich also mit einem Standard-Webbrowser bedienen. Das System unterstützt die folgenden Anwendungen:

Erzeugen eines ersten (selbst-signierten) CVCA Wurzelzertifikates, inkl. Secret Key
Ausführung von Schlüsselwechsel bei Ablauf des CVCA-Zertifikates und Ausstellung von Link-Zertifikaten
Import und Verifizierung von Zertifikatsanfragen der DVCA
Ausstellung und Export von DV-Zertifikaten

Die eigentlichen kryptographischen Operationen werden mit einer HSM oder Smartcard umgesetzt. 

RSA- und ECDSA-basierte Algorithmen werden unterstützt.

SPOC

Der Single Point of Contact (SPOC) ermöglicht als zentrale Schnittstelle den Zertifikatsaustausch auf nationaler und internationaler Ebene (nach CSN 369791:2009, bzw. nach der technischen Richtlinie BSI-TR-03129). Die Lösung von secunet deckt, basierend auf der sicheren Kommunikation via TLS, beide Kommunikationswege ab. 

Als besonderes Feature stellt secunet ein SPOC-Online-Testsystem zur Verfügung.

DVCA

Die EAC-Infrastruktur verlangt mindestens eine Instanz einer Document Verifying Certification Authority (DVCA). Die DVCA stellt IS-Zertifikate für jedes Dokumentenlesesystem aus.

Die DVCA muss in einer sicheren Umgebung betrieben werden. Das System läuft auf Standard-Servern mit Linux OS und verfügt über ein Web-Application Frontend, lässt sich also mit einem Standard-Webbrowser bedienen. Das System unterstützt die folgenden Anwendungen:

  • Erzeugung der ersten DV-Zertifikatsanfrage und Beantragung des Zertifikats von der CVCA
  • Durchführung des Schlüsselwechsels bei Ablauf des DV-Zertifikats und Anfrage eines neuen Zertifikates
  • Ausstellen und Export von IS-Zertifikaten für Dokumentenlesesysteme

Die eigentlichen kryptographischen Operationen werden mit einer HSM oder Smartcard umgesetzt.

Die DVCA unterstützt sämtliche kryptographischen Algorithmen, um die uneingeschränkte Interoperabilität mit nationalen und internationalen CVCAs sicherzustellen.

TCC

Das Terminal Control Centre (TCC) implementiert eine zentralisierte Dokumenten-Verifizierungsinfrastruktur, die die Verbindung unterschiedlicher, verteilter Terminals ermöglicht. Die TCC-Lösung von secunet unterstützt verschiedene Anwendungsszenarien für BAC- und EAC-geschützte Dokumente. Ein geschützter zentralisierter Zertifikats- und Schlüsselspeicher sorgen als Teil der Lösung dafür, dass das TCC den Authentisierungsprozess für zugelassene Leser übernimmt. Für die passive Authentisierung importiert das TCC CSCA-Zertifikate von den Master-Listen und bekannte Fehler von den Defect-Listen.

CSCA

Die Country Signing Certification Authority (CSCA) dient als Vertrauensanker für die ICAO PKI. Sie stellt ein Länder-Wurzelzertifikat sowie ein Document Signer-Zertifikat für die Stellen aus, die Pässe und andere Identitätsdokumente ausgeben.

Die CSCA muss in einer sicheren Offline-Umgebung betrieben werden. Das System läuft auf Standard- Servern mit Linux OS und verfügt über ein Web-Application Frontend, lässt sich also mit einem Standard-Webbrowser bedienen. Das System unterstützt die folgenden Anwendungen:

  • Erzeugung des ersten (selbst-signierten) Länder-Wurzelzertifikats, inkl. Secret Key.
  • Durchführen des Schlüsselwechsels beim Ablauf des CSCA-Zertifikates und Ausstellung von Link-Zertifikaten.
  • Import und Verifizierung von Zertifikatsanfragen der ausgebenden Stelle
  • Ausstellung und Export von DS-Zertifikaten
  • Sperrung von DS-Zertifikaten
  • Ausstellung und Export der Zertifikats-Sperrliste

Die eigentlichen kryptographischen Operationen werden mit HSM oder einer Smartcard durchgeführt.

DS

Der Document Signer (DS) ist für die Erstellung digitaler Signaturen verantwortlich, die die Authentizität und Integrität der im Identitätsdokument gespeicherten elektronischen Daten sicherstellen.

Der DS muss in einer geschützten Umgebung betrieben werden. Das System läuft auf Standard-Servern und bietet ein Web-Service Interface für das Personalisierungssystem. Der Document Signer unterstützt folgende Anwendungen:

  • Erstellung eines DS-Schlüsselpaares und der Zertifikatsanfrage
  • Export der Zertifikatsanfrage in eine Datei
  • Import des DS-Zertifikates (ausgestellt durch die CSCA) aus einer Datei
  • Erstellung eines document security object (EF.SOD)

Die kryptographischen Operationen werden mit HSM oder einer Smartcard durchgeführt.