Berechtigungszertifikate

Jeder Online-Dienst, der den neuen Personalausweis nutzt, wird vom Bundesverwaltungsamt per Zulassungsverfahren geprüft. Dabei legt das Amt auch fest, welche Daten der Online-Dienst aus dem Ausweis abfragen darf. Nach erfolgreichem Abschluss der Zulassung erhält der Dienstanbieter eine Berechtigung und ein dazugehöriges digitales, zeitlich begrenzt gültiges Berechtigungszertifikat. Nur mit diesem Zertifikat kann der Online-Anbieter auf die Daten im Ausweis zugreifen. Damit weist sich nicht nur der Personalausweisinhaber gegenüber einem Diensteanbieter, sondern auch der Diensteanbieter gegenüber dem Personalausweisinhaber aus (im Fachjargon gegenseitige Authentisierung genannt).

Das Berechtigungszertifikat enthält Angaben zum Inhaber und zur Gültigkeit des Zertifikates, sowie die Kategorien der Daten, die der Diensteanbieter vom Chip des Personalausweises lesen darf.

Dem Personalausweisinhaber werden gemäß Personalausweisgesetz die folgenden Angaben aus dem Berechtigungszertifikat von der AusweisApp angezeigt:

  • Name, Anschrift und E-Mail-Adresse des Diensteanbieters,
  • Kategorien der zu übermittelnden Daten
  • Zweck der Übermittlung,
  • Hinweis auf die für den Diensteanbieter zuständigen Stellen, die die Einhaltung der Vorschriften zum Datenschutz kontrollieren,
  • letzter Tag der Gültigkeitsdauer des Berechtigungszertifikats.

Für die hoheitlichen Daten im Chip, wie die biometrischen Informationen, erhalten nur staatliche Stellen (Polizei, Bundespolizei, Ausweisbehörden) Berechtigungszertifikate. Die hoheitliche Funktion (»Reisepassfunktionalität«) kann zudem nur verwendet werden, wenn der Personalausweis physisch vorliegt, es werden also keine biometrischen Daten über das Internet übertragen.

Prüfung des Berechtigungszertifikats durch den Ausweischip

Nach erfolgreicher Durchführung des PACE-Protokolls (siehe Sicherheitsprotokolle) besteht eine sichere Verbindung zwischen Personalausweis und Lesegerät. Anschließend muss sich der Diensteanbieter mit seinem Berechtigungszertifikat gegenüber dem Ausweischip identifizieren. Dazu prüft der Chip mit einem Signaturprüfschlüssel des BSI die Echtheit und Unversehrtheit des Berechtigungszertifikats. Dieser Schlüssel wurde im Herstellungsprozess unter strengen Sicherheitsvorkehrungen im Chip gespeichert und kann nicht kopiert oder manipuliert werden. Ist das Berechtigungszertifikat echt und gültig, prüft der Chip, welche Daten der Diensteanbieter auslesen darf.

Die überprüften Berechtigungen gelten zu diesem Zeitpunkt jedoch noch nicht. Denn der Ausweischip stellt erst während der folgenden, eigentlichen Terminal-Authentisierung sicher, dass das Berechtigungszertifikat wirklich für den online anwesenden Diensteanbieter ausgestellt wurde. Der Ausweischip prüft dazu die Authentisierungsdaten des Diensteanbieters mit einem Signaturprüfschlüssel aus dem Berechtigungszertifikat. Bei Erfolg ist eindeutig nachgewiesen, dass der Diensteanbieter der rechtmäßige Zertifikatsinhaber ist und zum kontrollierten Zugriff auf die Online-Ausweisfunktion des Ausweises berechtigt ist.

Bevor allerdings die Online-Ausweisfunktion genutzt werden kann, muss sich umgekehrt auch der Ausweischip gegenüber dem Dienstanbieters authentisieren (Chip-Authentisierung). Der zugehörige Schlüssel ist in einem besonders geschützten Chipbereich gespeichert und kann niemals ausgelesen oder kopiert werden. Der Diensteanbieter sendet eine Zufallszahl, die der Chip mit dem geheimen Schlüssel signiert und zurücksendet. Der Diensteanbieter erkennt, dass es sich um einen echten Ausweischip handeln muss. Anschließend berechnen der Ausweischip und der Diensteanbieter jeweils aus den mitgeteilten Daten dieselben geheimen Kommunikationsschlüssel. Diese sorgen in der weiteren Kommunikation für starke Verschlüsselung und Integritätsschutz der zu übertragenden eID-Daten.