Ich habe ihn, meinen neuen Personalausweis (zumindest Test-…)
meine neue Identität
Ich habe die Ehre (?) zu einer der ersten Testern des neuen Personalausweises (nPA) zu gehören. Die Testphase endet am 31. Oktober 2010 und am 1. November 2010 gehen dann die ersten echten Ausweise raus. Es werden insgesamt 30 Firmen entsprechende Testanwendungen zur Verfügung stellen
Letzten Samstag habe ich ihn in meinem Briefkasten gefunden. Mit dabei war auch ein Kartenlesegerät. Und da war dann auch gleich die erste Enttäuschung. Soll doch der nPA auch zum qualifizierten Signieren genutzt werden. Aber das mitgelieferte Kartenlesegerät hat keine eigene, gesicherte Tastatur und ist damit nicht geeignet für das beweissicherste Signieren nach Signaturgesetz. Ein weiteres Manko: ich bin ja schon Besitzer einer Siganturkarte. Diese besitzt einen Kontaktchip. Der nPA kommt aber kontaktlos, was auch mein neues Kartenlesegerät beherrscht, aber auch nur das. Ich kann damit meine bisherige Signaturkarte nicht verwenden.
Das Bild wurde mit dem innovativen Scanner sceye von silvercreations software AG aufgenommen.
Bürgerclient
Am Montag bekam ich noch ein Einschreiben von der Bundesdruckerei. Darin enthalten waren meine PIN und PUK. Die PIN habe ich auch schon ändern können. Die PUK dient zum wieder Freischalten, wenn ich die PIN drei Mal hintereinander vertippt habe. Geht aber auch nur 10 Mal. Dann ist der nPA wohl dahin und muss neu bestellt werden?
Das Installieren der Bürgerclients, mit dem der nPA am eigenen Rechner zum Authentifizieren und zum Signieren genutzt werden kann, lief auf nicht ganz glatt. Einerseits war nur etwas zum Download in den Begleitschreiben enthalten. Das Suchen nach weiteren Informationen war etwas Forschungsarbeit. Auf meinem Home-PC unter Windows 7 konnte der Client nach einem erneuten Booten das Lesegerät ansprechend und auch das Ändern der PIN war möglich. Dagegen will es auf meinem Firmenlaptop unter Windows XP gar nicht. Das Gerät wird zwar erkannt, die Treiber werden aber nicht “akzeptiert”. Also werde ich hier die Hotline für 3,9 Cent die Minute bemühen müssen.
Dann wollte ich heute mit weiteren Tests starten. Aber da muss ich dann doch noch auf weitere Informationen meines “Providers” warten. Es gibt vom Fraunhofer Institut eine Plattform mit Zugangsdaten, auf denen die 30 Anwendungen gelistet sind, die die Probanden wie ich testen sollen und zu denen wir unsere Testergebnisse eintragen sollen.
Auf meinem Test-nPA ist auch kein “qualifiziertes” Zertifikat aufgespielt, d.h. es ist nur die eID für die elektronische Identifikation mit dabei. Somit ist das Testen des elektronischen Signierens wohl auch nicht vorgesehen :-(
Ich konnte beim Antrag beliebige Daten angeben, u.a. auch ein Comic-Bild als mein Konterfei. Auch eine Unterschrift wurde nicht abgefordert, genauso wenige wie eine Identifikation a la PostIdent-Verfahren.
Weitere Ergebnisse, was denn mit dem nPA nun alles angestellt werden kann, melde ich, sobald ich weiter bin.
Ergänzung vom 12.08.2010:
Auf der Web-Site des Bundesministerium des Innern (BMI) ist zwar noch immer nichts zu den Preisen und Prozessen rund um die Beschaffung eines Zertifikats für das qualifizierte Signieren publiziert, aber eine Seite mit Antworten auf die am Häufigsten gestellten Fragen ist inzwischen da: FAQ zum neuen Personalausweis
Etwas mehr Auskunft zum Signieren bietet hier das Portal zum neuen Personalausweis. Hier wird darauf hingewiesen, dass man sich bei den Anbietern (ein Link auf die Liste von Anbietern ist gegeben) von Zertifikaten informieren solle, wie ihr Verfahren aussehe. Es soll auch Verfahren geben, wo das Zertifikat mit Hilfe der Identitätsfunktion auch über das Internet nachgeladen werden kann.
Hinweise auf konkrete Hersteller verwendbarer Kartenlesegeräte sind auch hier noch nicht vorhanden. Diese findet man dann auf der Seite des Kompetenzzentrums neuer Personalausweis. Was hier aber wieder nicht klar ist, welches der Lesegeräte auch zum Signieren geeignet ist. Denn hierzu braucht es eine extra Tastatur und ich nehme an, auch ein Display. Nach Anfrage habe ich folgende Auskunft verhalten: “Für die Nutzung der qualifizierten elektronischen Signatur ist ein Kartenlesegerät der Klassifizierung Komfort zwingend notwendig.”
Zum Anschub der Nutzung des Personalausweises durch den Bürger spendet der Staat 24 Millionen Euro an die Kartenlesergerätehersteller. Diese sollen dann ihre Geräte kostenfrei oder entsprechend mittels so genannter IT-Sicherheitskits abgeben. Aber nur in der Zeit vom 1.11. bis 31.12.2010. Also ran an den Speck? Na ja. Ich habe gerade von ReinerSCT erfahren, dass das notwendige Komfort-Lesegerät, das zumSignieren notwendig ist, zwischen 100 und 120 € liegen wird. Das Standardgerät für die Authentifizierung wird allerdings mit 20-30 € deutlich niedriger liegen. Dass das Komfort-Lesegerät so teuer ist, liegt an den hohen Sicherheitanforderungen und dem teuren Zertifizierungsprozess. Das hierzu zuständige BSI hat die Trauben wieder sehr hoch gehängt, zum Leid der Bürger :-(
Ergänzung vom 25.08.2010:
Ich komme gerade von der Bundesdruckerei und habe nun ein Test-Zertifikat zum Signieren. Und mein erstes Dokument habe ich auch schon mit dem Bürger-Client signiert und verifiziert. Über den Prozess des Aufspielens des Zertifikats aud den Ausweis werde ich noch gesondert berichten. Nur so viel noch zur Sicherheit:
Ich habe mit einem Komfort-Kartenlesegerät (geht nur hiermit) gearbeitet. D.h. es war eine gesicherte Verbindung zwischen Bürger-Client und Kartenlesegerät. Auch habe ich auf dem Bildschirm keine meiner privaten Daten, die für die Erstellung des Zertifikats ausgestellt wurden, gesehen.
Die schlechte Nachricht: das Kartenlesegerät wird im nicht-subventionierten Kauf etwa 150 € kosten. Das Zertifikat für 3 Jahre wird im oberen zweistelligen Eurobetrag liegen. Also für privat müsste es schon viele Anwendungen geben, dass ich mir das Zertifikat kaufe.
Die gute Nachricht: Banken, Versicherungen und Kommnen denken darüber nach, das Zertifikat als auch die Geräte zu subventionieren. Als schaun wir mal.
14 Comments »
RSS feed for comments on this post. TrackBack URL
Das ist irgendwie schon ernüchternd. Ich bin die Liste der Anwendungstests durchgegangen und habe mir als nächste das eTicket-System des Verkehrsverbund Rhein-Ruhr vorgenommen, denn auch hier bin ich potentieller Kunde, wohne ich doch im Bereich des Verbundes.
Auch hier finde ich nach Langer Suche keine Hinweise auf der Web-Site, was genau zu tun ist, um hier etwas zu testen. Ich warte nun auf Antwort von Testanbieter :-(
Nachtrag vom 30.03.2010.: Ich habe gestern nun die Info des Testanbieters VRR erhalten. Getestet werden kann erst einmal nur an den Terminals in den Centern des VRR, wenn ein Abo-Ticket gekauft wird. Eine Anwendung per Internet wird dann ev. später erfolgen.
VRR-Info neuer ePA
Ich hatte Mal wieder etwas Zeit zu schauen, welche Testanwendung mir denn für den neuen Personalausweis zur Verfügung steht. Das ist dann doch etwas dürftig. Keine De-Mail dabei, auch kein Deutsche Post Onlinebrief.
Na gut, aber immerhin findet man auf der Liste die Rentenversicherung. Und da ich dort Kunde bin, bin ich schnell mal auf die Web-Site. Dabei habe ich mich dunkel erinnert, dass ich es dort vor über 2 Jahren mal mit meiner alten Signaturkarte (1024er Schlüssel) versucht hatte und gescheitert war, da entweder die Karte oder das Kartenlesegerät nicht erkannt wurde.
Aber auch hier war ich nur zur Hälfte erfolgreich. Auf der Web-Site habe ich keinen Hinweis zur Teilnahme an dem Test gefunden :-( Aber immerhin habe ich nun einen Zugang mit meiner neuen Signaturkarte und meinem neuen Kartenlesegerät gleich im ersten Durchgang hinlegen können. Auch wenn ich etwas irritiert darüber war, dass ich irgendeine SsecCommerce ID, die nicht die Signatur-ID sei, zuerst eingeben müsse, es dann aber doch irgendwie nicht musste. Na ja, der eService der Rentenversicherung ist ja auch erst ein paar Jahre online.
Eigentlich hätte ich auch mit meinem Windows 7 auf meinem privaten PC nicht teilnehmen dürfen. Jedenfalls kennt man dort erst das Windows Vista. Aber meine Rentenaufstellung konnte ich nun online bekommen :-)
Ich habe dann mal angefragt, wie das mit der Testanwendung für den neuen Personalausweis aussieht. Wenn ich Neues weiß, melde ich mich dazu wieder.
Ganz so sicher scheint der neue Persnalausweis dann doch nicht zu sein:
http://www.welt.de/die-welt/wirtschaft/webwelt/article9164855/Plusminus-entdeckt-Maengel-im-Sicherheitssystem-des-neuen-Perso.html
Oder ist das eher Panikmache?
Hier wurde zum Glück gar nichts geknackt, schon gar nicht der neue Personalausweis!!
Allem Anschein nach wurden lediglich die bekannten Schwachstellen eines Klasse 1-Lesers “ausgenutzt”. Nichts anderes ist nämlich der Basisleser. So kann man damit die über die Computertastatur eingegebene PIN abfangen und das System ist nicht trojanersicher, weil ein sicheres Display fehlt. Deshalb bieten wir Banken und Sparkassen ja auch nur unsere Standard- und Komfortleser an und nicht die Basisleser. Die für diese Angriffe vorbereitet sind.
Das war und ist allen Beteiligten bekannt, sogar dem Bundesdatenschützer, der auf einer Konferenz den Einsatz von sicheren Kartenlesern angemahnt hat. Nun ist es so, dass das Bundesinnenministerium und das BSI die Basisleser für verschiedene einfache Anwendungen als ausreichend ansehen und dieser Gerätetyp auch in die Förderung aufgenommen wurden. Dem sind wir mit einem entsprechenden Angebot gefolgt und sind nun gespannt wie sich das Thema nun weiter entwickeln wird. REINER SCT ist das einzige Unternehmen, das mit sicheren Kartenlesern in die Förderung aufgenommen wurde. Somit sind wir bestens gerüstet.
ich würde gern wissen, was das für ein kartenleser ist und was dann 0815 volk für ein preisaufwand hat mit dem neuen perso. ich meine die karte wird ja was kosten, das lesegerät, wenn es so ein rfid lesegerät ist kostet ja auch so 50 euro…
Hallo Kerim,
es wird 3 Sorten von Kartenlesegeräten geben: Basis, Standard und Komfort (siehe aktuelle Herstellerliste). Das Basisgerät ist das “einfache” Gerät, das selbst keine Tastatur besitzt und das ich mit meinem Testausweis zusammen erhalten habe. Dieses wird vermutlich für einen sehr kleinen Preis (~ 10-20 €) zu haben sein und reicht für die privaten Authentisierungen voraussichtlich völlig aus. Wenn ich Firewall und aktuelle Viren-Software installiert habe, sollte der von Herrn Rauchbar erwähnte Trojaner abgewehrt werden können.
Das Standardgerät besitzt eine Tastatur, so dass meine Pin-Eingabe definitiv nicht mehr über den Torjaner abgefangen werden kann. Solche Geräte werden vermutlich um die 40 € kosten.
Das von Herr Rauchbach genannte Gerät der Komfort-Klasse besitzt zusätzlich zur Tastatur noch ein Display und ist in der Lage, auch die qualifizierte elektronische Unterschrift (QES) zu unterstützen. Da hierzu eine Zertifizierung notwendig ist, die den Nachweis der Sicherheit bestätigt, wird das Gerät als IT-Sicherheitskit trotz Vergünstigung voraussichtlich um die 100 € liegen. Basis und Standardgeräte werden nur den Karten kontaktlosen lesen können. Die Basisgeräte werden vermtulich von einigen Banken auch kostenfrei ausgegeben.
Ich habe gestern ein Testgerät der Firma Reiner-SCT in meinem Postfach gefunden, das sogar neben dem kontaktlosen Lesen auch die Kontaktkarten kann. Morgen hole ich mir bei der Bundesdruckerei noch ein Testzertifikat und kann dann auch das elektronische unterschreiben testen.
Viele Grüße, Martin Bartonitz
vielen lieben dank für die antwort =)
also die liste hatte ich heute auch gefunden und mich mal informiert und die geräte die oben stehen (Firma SCM) und die haben so knapp 60 euro gekostet. sollte das wirklich der fall sein und die basis geräte shcon so teuer sein ist das wirklich frech. auf ebay findet man RFID-Lesegeräte die per USB an pc angeschlossenw erden können auch für ca 11 euro, zwar aus fernost aber 4-5 mal billiger.
Die Krux ist, dass nur Geräte verwendet werden können, die auch mit dem Bürger-Client, der immerhin kostenfrei ist, zusammenarbeiten kann.
Hinzu kommt noch, dass die Anbieter von Anwendungen, die eine Authentifizierung mit dem Personalausweis ermöglichen, sich und ihre bei der Bundesdruckerei bekannt machen müssen. Der Bürger-Client forder nämlich von der Anwendung ein Zertifikat an, das täglich neu von der Bundesdruckerei für die Anwendung ausgestellt wird.
Es ist also zu vermuten, dass Plattformen, die im Ausland gehostet sind, relativ spät an diesem Verfahren teilnehmen …
dann wird es wohl oder übel bei der tatsache bleiben, dass die bürger, die verfahren wie eID verwenden wollen, erstmal tief in die tasche greifen müssen und teure hardware kaufen sollen :( auch eine möglichkeit, verkaufszahlen hochzutreiben. das gerät SCL011 (ich gehe mal davon aus, dass es das basis gerät mit minimal-anforderungen ist und dadurch auch das günstigste sein sollte) liegt bei etwa 40 Euro. in flyern und seiten, auf denen der neue perso angeworben wird, sowie auch in unserem rathaus, wo ich mal heute nachgefragt habe, wird ein preis von etwas 10 euro erwähnt. das deckt sich ja wohl so garnicht!
Hallo Kerim,
ich gehe davon aus, dass die günstigen Basis-Lesegeräte für ein kleines Geld (~10 €) oder sogar kostenfrei für die ersten Besteller des neuen Personalausweises auf Grund der 24 Mio. € Förderung des IT-Sicherheitskits im November und Dezember erhältlich sein werden.
Und dass das mit der Sicherheit des Verfahrens auch nicht so problematischist, wie von Plus-Minus gestern Abend via Chaos Computer Club gezeigt wurde, habe ich noch in diesem Post kommentiert: Neuer Personalausweis: Soll ich nun oder doch nicht?
Viele Grüße, Martin Bartonitz
Welchen Nutzen habe ich als Bürger oder Firma vom neuen elektronischen Personalausweis?
Web-Talk zum neuen elektronischen Personalausweis mit Dr. Martin Bartonitz
Freitag, 10.09.2010 um 15:00 Uhr
Anmeldung hier
danke für die tollen links.
und sollen diese lesegeräte dann von einer zentrale vertrieben werden?
Nein. Es gibt eine Reihe von unterschiedlichen Maßnahmen zur Ausgabe der unterschiedlichen Geräte. Es sind 5 Hersteller von Kartenlesegeräten beteiligt sowie eine Reihe von Plattformanbietern, hier die Übersicht..
Hoffen wir mal, dass nicht zu hohe Kosten für ein Lesegerät auf uns zu kommen!