DE102015101014A1 - Zertifikats-Token zum Bereitstellen eines digitalen Zertifikats eines Nutzers - Google Patents

Zertifikats-Token zum Bereitstellen eines digitalen Zertifikats eines Nutzers Download PDF

Info

Publication number
DE102015101014A1
DE102015101014A1 DE102015101014.3A DE102015101014A DE102015101014A1 DE 102015101014 A1 DE102015101014 A1 DE 102015101014A1 DE 102015101014 A DE102015101014 A DE 102015101014A DE 102015101014 A1 DE102015101014 A1 DE 102015101014A1
Authority
DE
Germany
Prior art keywords
certificate
user
key
signed
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102015101014.3A
Other languages
English (en)
Inventor
Robert Möser
Niklas Weiß
Frank Morgner
Jürgen Drebes
Denis Holinski
Alexa Bartocha
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bundesdruckerei GmbH
Original Assignee
Bundesdruckerei GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bundesdruckerei GmbH filed Critical Bundesdruckerei GmbH
Priority to DE102015101014.3A priority Critical patent/DE102015101014A1/de
Priority to PCT/EP2016/050873 priority patent/WO2016116392A1/de
Priority to EP16701105.5A priority patent/EP3248357B1/de
Publication of DE102015101014A1 publication Critical patent/DE102015101014A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Die Erfindung betrifft ein Zertifikats-Token (100) zum Bereitstellen eines digitalen Zertifikats eines Nutzers, mit einem Speicher (101), welcher ausgebildet ist, ein signiertes Personendatum des Nutzers und das digitale Zertifikat des Nutzers zu speichern, einem Prozessor (103), welcher ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, und einer Kommunikationsschnittstelle (105), welche ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk an einen elektronischen Zertifizierungsdienst bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst zu empfangen, um das digitale Zertifikat bereitzustellen.

Description

  • Die vorliegende Erfindung betrifft das Gebiet der Bereitstellung digitaler Zertifikate.
  • Digitale Zertifikate werden im Bereich asymmetrischer kryptographischer Systeme eingesetzt, um einen öffentlichen kryptographischen Schlüssel einem Nutzer zuzuordnen. Der Nutzer kann unter Verwendung eines zugehörigen privaten kryptographischen Schlüssels eine Vielzahl verschiedener kryptographischer Funktionen, wie beispielsweise eine digitale Datenverschlüsselung oder eine digitale Datensignierung, nutzen.
  • Die Zuordnung zwischen dem öffentlichen kryptographischen Schlüssel und dem Nutzer kann durch einen Zertifizierungsdiensteanbieter (ZDA) beglaubigt werden. Dadurch kann die Authentizität der Zuordnung gegenüber weiteren Nutzern des asymmetrischen kryptographischen Systems bestätigt werden. Die digitalen Zertifikate sowie die zugehörigen kryptographischen Schlüssel können auf einem Zertifikats-Token des Nutzers, beispielsweise einer Smartcard, gespeichert werden.
  • Zur Bereitstellung eines digitalen Zertifikats wird zunächst eine Identifizierung des Nutzers durchgeführt. Die Identifizierung des Nutzers kann dabei durch den Zertifizierungsdiensteanbieter durchgeführt werden. Nach erfolgreicher Identifizierung des Nutzers wird das digitale Zertifikat unmittelbar erzeugt und auf das Zertifikats-Token des Nutzers aufgebracht. Bei einer Erneuerung des digitalen Zertifikats, beispielsweise aufgrund eines Wechsels des Zertifizierungsdiensteanbieters oder aufgrund eines zeitlichen Ablaufs der Gültigkeit des digitalen Zertifikats, wird jeweils ein neues digitales Zertifikat erzeugt. Dabei ist eine erneute Identifizierung des Nutzers erforderlich.
  • Die erneute Identifizierung des Nutzers ist jedoch mit hohem Aufwand für den Nutzer und den Zertifizierungsdiensteanbieter verbunden und schränkt den Nutzer in seiner Wahlfreiheit bezüglich des Zertifizierungsdiensteanbieters ein.
  • Es ist daher die Aufgabe der vorliegenden Erfindung, ein effizientes Konzept zum Bereitstellen eines digitalen Zertifikats eines Nutzers zu schaffen.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Figuren.
  • Die Erfindung basiert auf der Erkenntnis, dass die obige Aufgabe durch ein Zertifikats-Token eines Nutzers gelöst werden kann, welches ein signiertes Personendatum zur Erzeugung des digitalen Zertifikats umfasst, und welches ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen. Das Zertifikats-Token ist ausgebildet, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel an einen elektronischen Zertifizierungsdienst zur Erzeugung des digitalen Zertifikats über ein Kommunikationsnetzwerk zu übertragen, und das digitale Zertifikat von dem elektronischen Zertifizierungsdienst zu empfangen. Der elektronische Zertifizierungsdienst kann beispielweise ein Zertifizierungsdiensteanbieter (ZDA) oder eine Zertifizierungsstelle (Certification Authority, CA) sein.
  • Das signierte Personendatum kann durch einen Identifizierungsdienst zur Identifizierung des Nutzers signiert sein, wobei der Identifizierungsdienst beispielsweise eine Registrierungsstelle (Registration Authority, RA) sein kann. Der elektronische Zertifizierungsdienst kann die Signatur des signierten Personendatums verifizieren.
  • Das Zertifikats-Token kann ferner ein Wurzelzertifikat, beispielsweise ein CVCA-Zertifikat, umfassen, wodurch eine Authentizität des elektronischen Zertifizierungsdienstes durch das Zertifikats-Token verifiziert werden kann. Das Wurzelzertifikat, beispielsweise das CVCA-Zertifikat, kann durch ein Produktionssystem, mit welchem das Zertifikats-Token hergestellt wird, auf das Zertifikats-Token aufgebracht werden. Zwischen dem Zertifikats-Token und dem elektronischen Zertifizierungsdienst kann eine authentifizierte und/oder verschlüsselte Kommunikationsverbindung unter Verwendung eines Password Authenticated Connection Establishment (PACE) Protokolls, eines Terminal Authentication (TA) Protokolls, und/oder eines Chip Authentication (CA) Protokolls aufgebaut werden.
  • Zur erneuten Bereitstellung eines digitalen Zertifikats kann auf eine erneute Identifizierung des Nutzers und ein Vorhalten des Personendatums durch den elektronischen Zertifizierungsdienst verzichtet werden. Die Bereitstellung des digitalen Zertifikats kann auf Basis des im Zertifikats-Token gespeicherten signierten Personendatums unter Verwendung eines beliebigen elektronischen Zertifizierungsdienstes durchgeführt werden.
  • Gemäß einem ersten Aspekt betrifft die Erfindung ein Zertifikats-Token zum Bereitstellen eines digitalen Zertifikats eines Nutzers, mit einem Speicher, welcher ausgebildet ist, ein signiertes Personendatum des Nutzers und das digitale Zertifikat des Nutzers zu speichern, einem Prozessor, welcher ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, und einer Kommunikationsschnittstelle, welche ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk an einen elektronischen Zertifizierungsdienst bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst zu empfangen, um das digitale Zertifikat bereitzustellen. Dadurch wird der Vorteil erreicht, dass ein effizientes Konzept zum Bereitstellen eines digitalen Zertifikats eines Nutzers realisiert werden kann.
  • Das Zertifikats-Token kann aktiv oder passiv sein. Das Zertifikats-Token kann beispielsweise eine Smartcard oder ein USB-Token sein. Das Zertifikats-Token kann einen elektronisch auslesbaren Schaltkreis umfassen. Das Zertifikats-Token kann in Hardware oder Software realisiert sein.
  • Das Zertifikats-Token kann ferner ein Identifikationsdokument des Nutzers sein. Das Identifikationsdokument kann eines der folgenden Identifikationsdokumente sein: Identitätsdokument, wie Personalausweis, Reisepass, Zugangskontrollausweis, Berechtigungsausweis, Unternehmensausweis, Steuerzeichen oder Ticket, Geburtsurkunde, Führerschein oder Kraftfahrzeugausweis, Zahlungsmittel, beispielsweise eine Bankkarte oder Kreditkarte. Das Identifikationsdokument kann ein- oder mehrlagig bzw. papier- und/oder kunststoffbasiert sein. Das Identifikationsdokument kann aus kunststoffbasierten Folien aufgebaut sein, welche zu einem Kartenkörper mittels Verkleben und/oder Laminieren zusammengefügt werden, wobei die Folien bevorzugt ähnliche stoffliche Eigenschaften aufweisen.
  • Der Speicher kann durch eine elektronische Speicherbaugruppe gebildet sein. Der Prozessor kann ein Mikroprozessor sein. Die Kommunikationsschnittstelle kann drahtlos oder drahtgebunden kommunizieren. Der Speicher, der Prozessor und die Kommunikationsschnittstelle sind gegenseitig miteinander verbunden.
  • Das digitale Zertifikat kann ein Public-Key-Zertifikat sein. Das digitale Zertifikat kann das signierte Personendatum dem öffentlichen Zertifikatsschlüssel eindeutig zuordnen. Der öffentliche Zertifikatsschlüssel kann dem digitalen Zertifikat zugeordnet sein. Das digitale Zertifikat kann beispielsweise gemäß dem X.509 Standard formatiert sein. Das signierte Personendatum kann beispielsweise einen Namen des Nutzers, eine Anschrift des Nutzers, und/oder eine Organisationszugehörigkeit des Nutzers umfassen.
  • Das Kommunikationsnetzwerk kann durch eine Mehrzahl von Servern gebildet sein. Das Kommunikationsnetzwerk kann beispielsweise das Internet sein. Der elektronische Zertifizierungsdienst kann beispielsweise ein Zertifizierungsdiensteanbieter (ZDA) oder eine Zertifizierungsstelle (Certification Authority, CA) sein. Der elektronische Zertifizierungsdienst kann auf Basis des signierten Personendatums des Nutzers und des öffentlichen Zertifikatsschlüssels das digitale Zertifikat des Nutzers erzeugen.
  • Gemäß einer Ausführungsform ist der Speicher des Zertifikats-Tokens nur bzw. ausschließlich mittels des Prozessors auslesbar. Dadurch kann eine noch höhere Sicherheit gegen Fälschungen erreicht werden.
  • Gemäß einer Ausführungsform ist das signierte Personendatum des Nutzers mit einem privaten Signaturschlüssel eines Identifizierungsdienstes zum Identifizieren des Nutzers signiert. Dadurch wird der Vorteil erreicht, dass die Authentizität des Personendatums verifiziert werden kann.
  • Der Identifizierungsdienst kann beispielsweise eine Registrierungsstelle (Registration Authority, RA) sein. Der private Signaturschlüssel des Identifizierungsdienstes kann mit einem öffentlichen Signaturprüfschlüssel des Identifizierungsdienstes ein kryptographisches Schlüsselpaar bilden. Das signierte Personendatum kann mittels des öffentlichen Signaturprüfschlüssels des Identifizierungsdienstes verifiziert werden.
  • Gemäß einer Ausführungsform umfasst das signierte Personendatum einen Zeitstempel, wobei der Zeitstempel einen Zeitpunkt einer Erzeugung des signierten Personendatums anzeigt. Dadurch wird der Vorteil erreicht, dass eine Aktualität des signierten Personendatums verifiziert werden kann.
  • Der Zeitstempel kann den Zeitpunkt der Erzeugung des signierten Personendatums in Form eines Datums und/oder einer Uhrzeit anzeigen. Der Zeitstempel kann durch den Identifizierungsdienst bei der Identifizierung des Nutzers in das signierte Personendatum eingebettet werden.
  • Gemäß einer Ausführungsform ist der Speicher ausgebildet, ein Wurzelzertifikat, insbesondere ein CVCA-Zertifikat, zu speichern, wobei der Prozessor ausgebildet ist, eine Authentizität des elektronischen Zertifizierungsdienstes unter Verwendung des Wurzelzertifikats, insbesondere des CVCA-Zertifikats, zu verifizieren. Dadurch wird der Vorteil erreicht, dass die Authentizität des elektronischen Zertifizierungsdienstes vor der Übermittlung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels durch das Zertifikats-Token verifiziert werden kann.
  • Das Wurzelzertifikat kann ein selbst-signiertes Zertifikat sein. Das Wurzelzertifikat kann einen Vertrauensanker bilden. Das Wurzelzertifikat kann durch ein Produktionssystem auf das Zertifikats-Token aufgebracht werden. Das CVCA-Zertifikat (Country Verifying Certificate Authority Zertifikat) kann einer hoheitlichen Zertifizierungsstelle zugeordnet sein.
  • Gemäß einer Ausführungsform ist der Prozessor ausgebildet, einen privaten Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, wobei der private Zertifikatsschlüssel und der öffentliche Zertifikatsschlüssel ein kryptographisches Schlüsselpaar bilden. Dadurch wird der Vorteil erreicht, dass kryptographische Funktionen unter Verwendung des Zertifikats-Tokens realisiert werden können.
  • Der private Zertifikatsschlüssel kann zur Verschlüsselung und/oder Signierung von Daten des Nutzers eingesetzt werden. Der private Zertifikatsschlüssel kann dem digitalen Zertifikat zugeordnet sein.
  • Gemäß einer Ausführungsform ist das digitale Zertifikat ein Signaturzertifikat zur Signierung von Daten des Nutzers, oder ein Authentifizierungszertifikat zur Authentifizierung des Nutzers. Dadurch wird der Vorteil erreicht, dass kryptographische Funktionen unter Verwendung des Zertifikats-Tokens realisiert werden können.
  • Das digitale Zertifikat kann ferner ein Verschlüsselungszertifikat zur Verschlüsselung von Daten des Nutzers sein. Der öffentliche Zertifikatsschlüssel kann hierfür durch den elektronischen Zertifizierungsdienst erzeugt werden. Ferner kann ein zugehöriger privater Zertifikatsschlüssel durch den elektronischen Zertifizierungsdienst erzeugt werden, wobei der öffentliche Zertifikatsschlüssel und der private Zertifikatsschlüssel ein kryptographisches Schlüsselpaar bilden.
  • Gemäß einem zweiten Aspekt betrifft die Erfindung ein Verfahren zum Bereitstellen eines digitalen Zertifikats eines Nutzers unter Verwendung eines Zertifikats-Tokens und eines elektronischen Zertifizierungsdienstes, wobei das Zertifikats-Token einen Speicher, einen Prozessor und eine Kommunikationsschnittstelle umfasst, wobei der Speicher ausgebildet ist, ein signiertes Personendatum des Nutzers und das digitale Zertifikat des Nutzers zu speichern, wobei der Prozessor ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, wobei die Kommunikationsschnittstelle ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk an den elektronischen Zertifizierungsdienst bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst zu empfangen, um das digitale Zertifikat bereitzustellen, und wobei das Verfahren die folgenden Schritte umfasst: Bereitstellen des signierten Personendatums und des öffentlichen Zertifikatsschlüssels durch die Kommunikationsschnittstelle des Zertifikats-Tokens, Übertragen des signierten Personendatums und des öffentlichen Zertifikatsschlüssels zu dem elektronischen Zertifizierungsdienst über das Kommunikationsnetzwerk, Verifizieren des signierten Personendatums durch den elektronischen Zertifizierungsdienst, Erzeugen des digitalen Zertifikats des Nutzers durch den elektronischen Zertifizierungsdienst auf Basis des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, Aussenden des digitalen Zertifikats des Nutzers durch den elektronischen Zertifizierungsdienst an das Zertifikats-Token, und Speichern des digitalen Zertifikats des Nutzers in dem Speicher des Zertifikats-Tokens. Dadurch wird der Vorteil erreicht, dass ein effizientes Konzept zum Bereitstellen eines digitalen Zertifikats eines Nutzers realisiert werden kann.
  • Gemäß einer Ausführungsform wird der Speicher des Zertifikats-Tokens nur bzw. ausschließlich mittels des Prozessors ausgelesen. Dadurch kann eine noch höhere Sicherheit gegen Fälschungen erreicht werden.
  • Das Verfahren zum Bereitstellen eines digitalen Zertifikats eines Nutzers kann mittels des Zertifikats-Tokens zum Bereitstellen eines digitalen Zertifikats eines Nutzers durchgeführt werden. Weitere Merkmale des Verfahrens zum Bereitstellen eines digitalen Zertifikats eines Nutzers ergeben sich unmittelbar aus der Funktionalität des Zertifikats-Tokens zum Bereitstellen eines digitalen Zertifikats eines Nutzers.
  • Gemäß einer Ausführungsform werden das signierte Personendatum und der öffentliche Zertifikatsschlüssel im Schritt des Bereitstellens an den elektronischen Zertifizierungsdienst über das Kommunikationsnetzwerk durch die Kommunikationsschnittstelle ausgesendet, oder werden das signierte Personendatum und der öffentliche Zertifikatsschlüssel im Schritt des Bereitstellens durch den elektronischen Zertifizierungsdienst über das Kommunikationsnetzwerk über die Kommunikationsschnittstelle ausgelesen. Dadurch wird der Vorteil erreicht, dass das signierte Personendatum und der öffentliche Zertifikatsschlüssel unter Verwendung aktiver oder passiver Zertifikats-Token an den elektronischen Zertifizierungsdienst übertragen werden können.
  • Gemäß einer Ausführungsform ist das signierte Personendatum des Nutzers mit einem privaten Signaturschlüssel eines Identifizierungsdienstes zum Identifizieren des Nutzers signiert, wobei das Verifizieren des signierten Personendatums durch den elektronischen Zertifizierungsdienst mittels eines öffentlichen Signaturprüfschlüssels des Identifizierungsdienstes durchgeführt wird, und wobei der private Signaturschlüssel des Identifizierungsdienstes und der öffentliche Signaturprüfschlüssel des Identifizierungsdienstes ein kryptographisches Schlüsselpaar bilden. Dadurch wird der Vorteil erreicht, dass die Authentizität des Personendatums durch den elektronischen Zertifizierungsdienst verifiziert werden kann.
  • Gemäß einer Ausführungsform umfasst das Verifizieren des signierten Personendatums durch den elektronischen Zertifizierungsdienst ein Extrahieren eines Personendatums des Nutzers aus dem signierten Personendatum des Nutzers und ein Vergleichen des extrahierten Personendatums des Nutzers mit einer Sperrliste durch den elektronischen Zertifizierungsdienst, wobei die Sperrliste eine Mehrzahl gesperrter Personendaten umfasst, und wobei das signierte Personendatum nicht verifiziert ist falls die Sperrliste das Personendatum des Nutzers umfasst. Dadurch wird der Vorteil erreicht, dass das digitale Zertifikat nur dann erzeugt wird falls die Sperrliste das Personendatum des Nutzers nicht umfasst.
  • Die Sperrliste kann in einer Datenbank des elektronischen Zertifizierungsdienstes gespeichert sein. Die Sperrliste kann eine Zertifikatssperrliste (Certificate Revocation List, CRL) bilden.
  • Gemäß einer Ausführungsform umfasst das signierte Personendatum einen Zeitstempel, wobei der Zeitstempel einen Zeitpunkt einer Erzeugung des signierten Personendatums anzeigt, wobei das Verifizieren des signierten Personendatums durch den elektronischen Zertifizierungsdienst ein Bestimmen des Zeitpunkts der Erzeugung des signierten Personendatums auf Basis des Zeitstempels und ein Vergleichen des bestimmten Zeitpunktes mit einem Referenzzeitpunkt umfasst, und wobei das signierte Personendatum nicht verifiziert ist falls eine Zeitdifferenz zwischen dem bestimmten Zeitpunkt und dem Referenzzeitpunkt eine vorbestimmte Zeitdifferenz überschreitet. Dadurch wird der Vorteil erreicht, dass eine Aktualität des signierten Personendatums verifiziert werden kann.
  • Die vorbestimmte Zeitdifferenz kann beispielsweise 1 Stunde, 2 Stunden, 5 Stunden, 10 Stunden, 1 Tag, 2 Tage, 5 Tage, 10 Tage, 1 Monat, 2 Monate, 5 Monate, 10 Monate, 1 Jahr, 2 Jahre, 5 Jahre oder 10 Jahre betragen.
  • Gemäß einer Ausführungsform ist der Speicher ausgebildet, ein Wurzelzertifikat, insbesondere ein CVCA-Zertifikat, zu speichern, wobei das Übertragen des signierten Personendatums und des öffentlichen Zertifikatsschlüssels zu dem elektronischen Zertifizierungsdienst ein Verifizieren einer Authentizität des elektronischen Zertifizierungsdienstes unter Verwendung des Wurzelzertifikats, insbesondere des CVCA-Zertifikats, durch den Prozessor des Zertifikats-Tokens umfasst. Dadurch wird der Vorteil erreicht, dass die Authentizität des elektronischen Zertifizierungsdienstes vor der Übermittlung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels durch das Zertifikats-Token verifiziert werden kann.
  • Das Zertifikats-Token kann hierfür eine Mehrzahl von Prüfzertifikaten von dem elektronischen Zertifizierungsdienst empfangen. Die Mehrzahl von Prüfzertifikaten kann eine kryptographische Zertifikatskette bilden. Die Mehrzahl von Prüfzertifikaten kann das Wurzelzertifikat, insbesondere das CVCA-Zertifikat, umfassen.
  • Der Prozessor des Zertifikats-Tokens kann das gespeicherte Wurzelzertifikat, insbesondere das gespeicherte CVCA-Zertifikat, mit der Mehrzahl von Prüfzertifikaten verknüpfen und/oder vergleichen, um die Authentizität des elektronischen Zertifizierungsdienstes zu verifizieren. Das Verifizieren der Authentizität des elektronischen Zertifizierungsdienstes kann unter Verwendung eines Terminal Authentication (TA) Protokolls durchgeführt werden.
  • Gemäß einer Ausführungsform wird zwischen dem Zertifikats-Token und dem elektronischen Zertifizierungsdienst eine authentifizierte und/oder verschlüsselte Kommunikationsverbindung unter Verwendung eines Password Authenticated Connection Establishment (PACE) Protokolls, eines Terminal Authentication (TA) Protokolls, und/oder eines Chip Authentication (CA) Protokolls aufgebaut. Dadurch wird der Vorteil erreicht, dass das signierte Personendatum und der öffentliche Zertifikatsschlüssel über die authentifizierte und/oder verschlüsselte Kommunikationsverbindung von dem Zertifikats-Token zu dem elektronischen Zertifizierungsdienst übertragen werden können. Ferner kann das digitale Zertifikat über die authentifizierte und/oder verschlüsselte Kommunikationsverbindung von dem elektronischen Zertifizierungsdienst zu dem Zertifikats-Token übertragen werden.
  • Das Password Authenticated Connection Establishment (PACE) Protokoll, das Terminal Authentication (TA) Protokoll, und/oder das Chip Authentication (CA) Protokoll kann beispielsweise auf Basis des technischen Standards BSI TR-03110 implementiert werden.
  • Gemäß einem dritten Aspekt betrifft die Erfindung ein Verfahren zum Herstellen eines Zertifikats-Tokens eines Nutzers unter Verwendung eines Identifizierungsdienstes und eines Produktionssystems, wobei das Zertifikats-Token einen Speicher, einen Prozessor und eine Kommunikationsschnittstelle umfasst, wobei der Speicher ausgebildet ist, ein signiertes Personendatum des Nutzers und ein digitales Zertifikat des Nutzers zu speichern, wobei der Prozessor ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, wobei die Kommunikationsschnittstelle ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk an einen elektronischen Zertifizierungsdienst bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst zu empfangen, um das digitale Zertifikat bereitzustellen, wobei dem Nutzer ein Personendatum zugeordnet ist, und wobei das Verfahren die folgenden Schritte umfasst: Signieren des Personendatums des Nutzers durch den Identifizierungsdienst mit einem privaten Signaturschlüssel des Identifizierungsdienstes, um das signierte Personendatum des Nutzers zu erhalten, und Speichern des signierten Personendatums des Nutzers in dem Speicher des Zertifikats-Tokens durch das Produktionssystem, um das Zertifikats-Token herzustellen. Dadurch wird der Vorteil erreicht, dass ein effizientes Konzept zum Bereitstellen eines digitalen Zertifikats eines Nutzers realisiert werden kann.
  • Der Identifizierungsdienst kann beispielsweise eine Registrierungsstelle (Registration Authority, RA) sein. Das Produktionssystem kann zur erstmaligen Personalisierung des Zertifikats-Tokens des Nutzers vorgesehen sein.
  • Das Zertifikats-Token zum Bereitstellen eines digitalen Zertifikats eines Nutzers kann mittels des Verfahrens zum Herstellen eines Zertifikats-Tokens eines Nutzers effizient hergestellt werden. Weitere Merkmale des Verfahrens zum Herstellen eines Zertifikats-Tokens eines Nutzers ergeben sich unmittelbar aus der Funktionalität des Zertifikats-Tokens zum Bereitstellen eines digitalen Zertifikats eines Nutzers, und/oder der Funktionalität des Verfahrens zum Bereitstellen eines digitalen Zertifikats eines Nutzers.
  • Gemäß einer Ausführungsform umfasst das Verfahren ferner: Bereitstellen eines Wurzelzertifikats, insbesondere eines CVCA-Zertifikats, durch das Produktionssystem, und Speichern des Wurzelzertifikats, insbesondere des CVCA-Zertifikats, in dem Speicher des Zertifikats-Tokens durch das Produktionssystem. Dadurch wird der Vorteil erreicht, dass eine Authentizität des elektronischen Zertifizierungsdienstes durch das Zertifikats-Token verifiziert werden kann.
  • Das Wurzelzertifikat, insbesondere das CVCA-Zertifikat, kann in einer Datenbank des Produktionssystems gespeichert sein.
  • Gemäß einem vierten Aspekt betrifft die Erfindung ein Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens zum Bereitstellen eines digitalen Zertifikats eines Nutzers, wenn der Programmcode auf einem Computer ausgeführt wird. Dadurch wird der Vorteil erreicht, dass das Verfahren automatisiert ausgeführt werden kann.
  • Der Programmcode kann eine Folge von Befehlen für einen Prozessor des Computers umfassen. Der Programmcode kann in maschinen-lesbarer Form vorliegen.
  • Die Erfindung kann in Hardware und/oder Software realisiert werden.
  • Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Figuren näher erläutert. Es zeigen:
  • 1 ein schematisches Diagramm eines Zertifikats-Tokens zum Bereitstellen eines digitalen Zertifikats eines Nutzers;
  • 2 ein schematisches Diagramm eines Systems zum Bereitstellen eines digitalen Zertifikats eines Nutzers;
  • 3 ein schematisches Diagramm eines Systems zum Herstellen eines Zertifikats-Tokens eines Nutzers;
  • 4 ein schematisches Diagramm eines Verfahrens zum Bereitstellen eines digitalen Zertifikats eines Nutzers;
  • 5 ein schematisches Diagramm eines Verfahrens zum Herstellen eines Zertifikats-Tokens eines Nutzers;
  • 6 ein schematisches Diagramm eines Verfahrens zum Herstellen eines Zertifikats-Tokens eines Nutzers; und
  • 7 ein schematisches Diagramm eines Verfahrens zum Bereitstellen eines digitalen Zertifikats eines Nutzers.
  • 1 zeigt ein schematisches Diagramm eines Zertifikats-Tokens 100 zum Bereitstellen eines digitalen Zertifikats eines Nutzers. Das Zertifikats-Token 100 umfasst einen Speicher 101, welcher ausgebildet ist, ein signiertes Personendatum des Nutzers und das digitale Zertifikat des Nutzers zu speichern, einen Prozessor 103, welcher ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, und eine Kommunikationsschnittstelle 105, welche ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk an einen elektronischen Zertifizierungsdienst bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst zu empfangen, um das digitale Zertifikat bereitzustellen.
  • Das Zertifikats-Token 100 kann aktiv oder passiv sein. Das Zertifikats-Token 100 kann beispielsweise eine Smartcard oder ein USB-Token sein. Das Zertifikats-Token 100 kann einen elektronisch auslesbaren Schaltkreis umfassen. Das Zertifikats-Token 100 kann in Hardware oder Software realisiert sein.
  • Gemäß einer Ausführungsform ist der Speicher 101 des Zertifikats-Tokens 100 nur bzw. ausschließlich mittels des Prozessors 103 auslesbar. Dadurch kann eine noch höhere Sicherheit gegen Fälschungen erreicht werden.
  • Das Zertifikats-Token 100 kann ferner ein Identifikationsdokument des Nutzers sein. Das Identifikationsdokument kann eines der folgenden Identifikationsdokumente sein: Identitätsdokument, wie Personalausweis, Reisepass, Zugangskontrollausweis, Berechtigungsausweis, Unternehmensausweis, Steuerzeichen oder Ticket, Geburtsurkunde, Führerschein oder Kraftfahrzeugausweis, Zahlungsmittel, beispielsweise eine Bankkarte oder Kreditkarte. Das Identifikationsdokument kann ein- oder mehrlagig bzw. papier- und/oder kunststoffbasiert sein. Das Identifikationsdokument kann aus kunststoffbasierten Folien aufgebaut sein, welche zu einem Kartenkörper mittels Verkleben und/oder Laminieren zusammengefügt werden, wobei die Folien bevorzugt ähnliche stoffliche Eigenschaften aufweisen.
  • Der Speicher 101 kann durch eine elektronische Speicherbaugruppe gebildet sein. Der Prozessor 103 kann ein Mikroprozessor sein. Die Kommunikationsschnittstelle 105 kann drahtlos oder drahtgebunden kommunizieren. Der Speicher 101, der Prozessor 103 und die Kommunikationsschnittstelle 105 sind gegenseitig miteinander verbunden.
  • Das digitale Zertifikat kann ein Public-Key-Zertifikat sein. Das digitale Zertifikat kann das signierte Personendatum dem öffentlichen Zertifikatsschlüssel eindeutig zuordnen. Der öffentliche Zertifikatsschlüssel kann dem digitalen Zertifikat zugeordnet sein. Das digitale Zertifikat kann beispielsweise gemäß dem X.509 Standard formatiert sein. Das signierte Personendatum kann beispielsweise einen Namen des Nutzers, eine Anschrift des Nutzers, und/oder eine Organisationszugehörigkeit des Nutzers umfassen.
  • Das Kommunikationsnetzwerk kann durch eine Mehrzahl von Servern gebildet sein. Das Kommunikationsnetzwerk kann beispielsweise das Internet sein. Der elektronische Zertifizierungsdienst kann beispielsweise ein Zertifizierungsdiensteanbieter (ZDA) oder eine Zertifizierungsstelle (Certification Authority, CA) sein. Der elektronische Zertifizierungsdienst kann auf Basis des signierten Personendatums des Nutzers und des öffentlichen Zertifikatsschlüssels das digitale Zertifikat des Nutzers erzeugen.
  • 2 zeigt ein schematisches Diagramm eines Systems 200 zum Bereitstellen eines digitalen Zertifikats eines Nutzers. Das System 200 umfasst ein Zertifikats-Token 100, einen elektronischen Zertifizierungsdienst 201, und ein Kommunikationsnetzwerk 203. Das Zertifikats-Token 100 umfasst einen Speicher 101, welcher ausgebildet ist, ein signiertes Personendatum des Nutzers und das digitale Zertifikat des Nutzers zu speichern, einen Prozessor 103, welcher ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, und eine Kommunikationsschnittstelle 105, welche ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über das Kommunikationsnetzwerk 203 an den elektronischen Zertifizierungsdienst 201 bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst 201 zu empfangen, um das digitale Zertifikat bereitzustellen.
  • Der elektronische Zertifizierungsdienst 201 kann beispielsweise ein Zertifizierungsdiensteanbieter (ZDA) oder eine Zertifizierungsstelle (Certification Authority, CA) sein. Der elektronische Zertifizierungsdienst 201 kann auf Basis des signierten Personendatums des Nutzers und des öffentlichen Zertifikatsschlüssels das digitale Zertifikat des Nutzers erzeugen. Das Kommunikationsnetzwerk 203 kann durch eine Mehrzahl von Servern gebildet sein. Das Kommunikationsnetzwerk 203 kann beispielsweise das Internet sein.
  • Das Bereitstellen des digitalen Zertifikats des Nutzers kann folgendermaßen realisiert werden. Das signierte Personendatum und der öffentliche Zertifikatsschlüssel können durch die Kommunikationsschnittstelle 105 des Zertifikats-Tokens 100 bereitgestellt werden. Das signierte Personendatum und der öffentliche Zertifikatsschlüssel können an den elektronischen Zertifizierungsdienst 201 über das Kommunikationsnetzwerk 203 durch die Kommunikationsschnittstelle 105 ausgesendet werden, oder durch den elektronischen Zertifizierungsdienst 201 über das Kommunikationsnetzwerk 203 über die Kommunikationsschnittstelle 105 ausgelesen werden.
  • Der Speicher 101 des Zertifikats-Tokens 100 kann ausgebildet sein, ein Wurzelzertifikat, insbesondere ein CVCA-Zertifikat, zu speichern, wobei das Übertragen des signierten Personendatums und des öffentlichen Zertifikatsschlüssels zu dem elektronischen Zertifizierungsdienst 201 ein Verifizieren einer Authentizität des elektronischen Zertifizierungsdienstes 201 unter Verwendung des Wurzelzertifikats, insbesondere des CVCA-Zertifikats, durch den Prozessor 103 des Zertifikats-Tokens 100 umfasst. Das signierte Personendatum und der öffentliche Zertifikatsschlüssel können zu dem elektronischen Zertifizierungsdienst 201 über das Kommunikationsnetzwerk 203 übertragen werden.
  • Das signierte Personendatum des Nutzers kann mit einem privaten Signaturschlüssel eines Identifizierungsdienstes zum Identifizieren des Nutzers signiert sein, wobei das signierte Personendatum durch den elektronischen Zertifizierungsdienst 201 mittels eines öffentlichen Signaturprüfschlüssels des Identifizierungsdienstes verifiziert werden kann. Der private Signaturschlüssel des Identifizierungsdienstes und der öffentliche Signaturprüfschlüssel des Identifizierungsdienstes können dabei ein kryptographisches Schlüsselpaar bilden. Das digitale Zertifikat des Nutzers kann bei erfolgreicher Verifizierung des signierten Personendatums durch den elektronischen Zertifizierungsdienst 201 auf Basis des signierten Personendatums und des öffentlichen Zertifikatsschlüssels erzeugt werden.
  • Das digitale Zertifikat des Nutzers kann anschließend durch den elektronischen Zertifizierungsdienst 201 an das Zertifikats-Token 100 über das Kommunikationsnetzwerk 203 ausgesendet werden. Das digitale Zertifikat des Nutzers kann in dem Speicher 101 des Zertifikats-Tokens 100 gespeichert werden.
  • 3 zeigt ein schematisches Diagramm eines Systems 300 zum Herstellen eines Zertifikats-Tokens 100 eines Nutzers. Das System 300 umfasst das Zertifikats-Token 100, einen Identifizierungsdienst 301, und ein Produktionssystem 303. Das Zertifikats-Token 100 umfasst einen Speicher 101, einen Prozessor 103 und eine Kommunikationsschnittstelle 105.
  • Der Identifizierungsdienst 301 kann beispielsweise eine Registrierungsstelle (Registration Authority, RA) sein. Das Produktionssystem 303 kann zur erstmaligen Personalisierung des Zertifikats-Tokens 100 des Nutzers vorgesehen sein.
  • Das Zertifikats-Token 100 des Nutzers kann unter Verwendung des Identifizierungsdienstes 301 und des Produktionssystems 303 hergestellt werden, wobei dem Nutzer ein Personendatum zugeordnet sein kann. Das Herstellen des Zertifikats-Tokens 100 des Nutzers kann folgendermaßen realisiert werden.
  • Der Nutzer kann durch den Identifizierungsdienst 301 identifiziert werden, um das Personendatum zu erfassen und dem Nutzer zuzuordnen. Das Personendatum des Nutzers kann durch den Identifizierungsdienst 301 mit einem privaten Signaturschlüssel des Identifizierungsdienstes 301 signiert werden, um ein signiertes Personendatum des Nutzers zu erhalten.
  • Das signierte Personendatum des Nutzers kann schließlich in dem Speicher 101 des Zertifikats-Tokens 100 durch das Produktionssystem 303 gespeichert werden, um das Zertifikats-Token 100 herzustellen. Ferner kann durch das Produktionssystem 303 ein Wurzelzertifikat, insbesondere ein CVCA-Zertifikat, bereitgestellt werden, und in dem Speicher 101 des Zertifikats-Tokens 100 gespeichert werden.
  • 4 zeigt ein schematisches Diagramm eines Verfahrens 400 zum Bereitstellen eines digitalen Zertifikats eines Nutzers. Das Verfahren 400 wird unter Verwendung eines Zertifikats-Tokens und eines elektronischen Zertifizierungsdienstes durchgeführt, wobei das Zertifikats-Token einen Speicher, einen Prozessor und eine Kommunikationsschnittstelle umfasst, wobei der Speicher ausgebildet ist, ein signiertes Personendatum des Nutzers und das digitale Zertifikat des Nutzers zu speichern, wobei der Prozessor ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, wobei die Kommunikationsschnittstelle ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk an den elektronischen Zertifizierungsdienst bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst zu empfangen, um das digitale Zertifikat bereitzustellen.
  • Das Verfahren 400 umfasst die folgenden Schritte eines Bereitstellens 401 des signierten Personendatums und des öffentlichen Zertifikatsschlüssels durch die Kommunikationsschnittstelle des Zertifikats-Tokens, eines Übertragens 403 des signierten Personendatums und des öffentlichen Zertifikatsschlüssels zu dem elektronischen Zertifizierungsdienst über das Kommunikationsnetzwerk, eines Verifizierens 405 des signierten Personendatums durch den elektronischen Zertifizierungsdienst, eines Erzeugens 407 des digitalen Zertifikats des Nutzers durch den elektronischen Zertifizierungsdienst auf Basis des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, eines Aussendens 409 des digitalen Zertifikats des Nutzers durch den elektronischen Zertifizierungsdienst an das Zertifikats-Token, und eines Speicherns 411 des digitalen Zertifikats des Nutzers in dem Speicher des Zertifikats-Tokens.
  • 5 zeigt ein schematisches Diagramm eines Verfahrens 500 zum Herstellen eines Zertifikats-Tokens eines Nutzers. Das Verfahren 500 wird unter Verwendung eines Identifizierungsdienstes und eines Produktionssystems durchgeführt, wobei dem Nutzer ein Personendatum zugeordnet ist. Das Zertifikats-Token umfasst einen Speicher, einen Prozessor und eine Kommunikationsschnittstelle, wobei der Speicher ausgebildet ist, ein signiertes Personendatum des Nutzers und ein digitales Zertifikat des Nutzers zu speichern, wobei der Prozessor ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, wobei die Kommunikationsschnittstelle ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk an einen elektronischen Zertifizierungsdienst bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst zu empfangen, um das digitale Zertifikat bereitzustellen.
  • Das Verfahren 500 umfasst die folgenden Schritte eines Signierens 501 des Personendatums des Nutzers durch den Identifizierungsdienst mit einem privaten Signaturschlüssel des Identifizierungsdienstes, um das signierte Personendatum des Nutzers zu erhalten, und eines Speicherns 503 des signierten Personendatums des Nutzers in dem Speicher des Zertifikats-Tokens durch das Produktionssystem, um das Zertifikats-Token herzustellen.
  • 6 zeigt ein schematisches Diagramm eines Verfahrens 500 zum Herstellen eines Zertifikats-Tokens eines Nutzers. Das Diagramm umfasst eine Erfassungseinrichtung 601, welche eine Erfassungssoftware sein kann, einen RA-Client 603, eine Personalisierungsmanagementeinrichtung 605, eine Personalisierungseinrichtung 607, welche eine Personalisierungsmaschine oder eine Personalisierungssoftware sein kann, ein Zertifikats-Token 609, welches nicht ausgegeben sein kann, und Verfahrensschritte 611651.
  • Die Erfassungseinrichtung 601 und der RA-Client 603 bilden den Identifizierungsdienst 301. Die Personalisierungsmanagementeinrichtung 605 und die Personalisierungseinrichtung 607 bilden das Produktionssystem 303. Das Zertifikats-Token 609 bildet eine Realisierung des Zertifikats-Tokens 100.
  • Die Verfahrensschritte 611651 bilden das Verfahren 500 zum Herstellen eines Zertifikats-Tokens eines Nutzers. In Verfahrensschritt 611 werden Personendaten erfasst, in Verfahrensschritt 613 werden die Personendaten signiert, in Verfahrensschritt 615 wird ein authentischer Zeitstempel eingebracht, in Verfahrensschritt 617 wird eine Signatur mittels einer Karte eines RA-Bediensteten erstellt, und in Verfahrensschritt 619 wird der Antrag abgeschlossen. In Verfahrensschritt 621 werden die signierten Personendaten erhalten, in Verfahrensschritt 623 wird ein Produktionsauftrag erzeugt und gesendet, und in Verfahrensschritt 625 wird ein PIN/PUK Druck durchgeführt.
  • In Verfahrensschritt 626 wird der Produktionsauftrag erhalten, in Verfahrensschritt 627 wird das Zertifikats-Token personalisiert, in Verfahrensschritt 629 werden die signierten Personendaten geschrieben, und in Verfahrensschritt 631 werden die signierten Personendaten gespeichert. In Verfahrensschritt 633 wird ein Wurzelzertifikat, beispielsweise ein CVCA-Zertifikat, geschrieben, und in Verfahrensschritt 635 wird das Wurzelzertifikat, beispielsweise das CVCA-Zertifikat, gespeichert. In Verfahrensschritt 637 wird ein CA-Schlüssel erzeugt, in Verfahrensschritt 639 wird ein CA-Schlüssel generiert, in Verfahrensschritt 641 wird der CA-Schlüssel unterschrieben, und in Verfahrensschritt 643 wird ein EF.CardSecurity-Datensatz gespeichert. In Verfahrensschritt 645 wird ein Ausgangsdatenartefakt mit einer Transport-PIN/-PUK erzeugt, in Verfahrensschritt 647 wird die PIN/PUK in einem deaktivierten Zustand gespeichert, und in Verfahrensschritt 649 wird der Ausgangsdatenartefakt zurückgegeben. In Verfahrensschritt 651 erhält der Nutzer das Zertifikats-Token und einen PIN-Brief.
  • 7 zeigt ein schematisches Diagramm eines Verfahrens 400 zum Bereitstellen eines digitalen Zertifikats eines Nutzers. Das Diagramm setzt das Diagramm aus 6 unmittelbar fort. Das Diagramm umfasst eine Middleware 701 zum Aktivieren der PIN, ein Zertifikats-Token 703, welches ausgegeben und deaktiviert sein kann, eine Middleware 705 zum Nachladen eines digitalen Zertifikats, eine Sign-Me Einrichtung 707, eine eID-Service Einrichtung 709, ein Trustcenter 711, welches eine Certificate Authority (CA) sein kann, eine RA-Authority 712, ein Zertifikats-Token 713, welches ausgegeben und aktiviert sein kann, und Verfahrensschritte 715787.
  • Die Sign-Me Einrichtung 707, die eID-Service Einrichtung 709, das Trustcenter 711 und die RA-Authority 712 bilden den elektronischen Zertifizierungsdienst 201. Die Middleware 701 und die Middleware 705 sind dem elektronischen Zertifizierungsdienst 201 und/oder dem Zertifikats-Token 100 zugeordnet. Das Zertifikats-Token 703 und das Zertifikats-Token 713 bilden Realisierungen des Zertifikats-Tokens 100.
  • Die Verfahrensschritte 715787 bilden das Verfahren 400 zum Bereitstellen eines digitalen Zertifikats eines Nutzers. In Verfahrensschritt 715 wird die PIN aktiviert, in Verfahrensschritt 717 wird ein PACE Protokoll mit der Transport-PIN durchgeführt, in Verfahrensschritt 719 wird das PACE Protokoll mit der Transport-PIN durchgeführt, in Verfahrensschritt 721 wird eine Aktivierung der PIN durchgeführt, in Verfahrensschritt 723 wird die PIN in einem aktivierten Zustand gespeichert, und in Verfahrensschritt 725 wird die PIN aktiviert. In Verfahrensschritt 727 werden digitale Zertifikate und/oder Schlüssel nachgeladen, in Verfahrensschritt 729 wird ein Nachlade-Client aktiviert, in Verfahrensschritt 731 wird ein Nachlade-Prozess initiiert, in Verfahrensschritt 733 wird ein PACE Protokoll mit der PIN durchgeführt, und in Verfahrensschritt 735 wird das PACE Protokoll mit der PIN durchgeführt.
  • In Verfahrensschritt 737 wird ein Terminal Authentication (TA) Protokoll durchgeführt, in Verfahrensschritt 739 wird das Terminal Authentication (TA) Protokoll durchgeführt, in Verfahrensschritt 741 wird ein Passive Authentication Protokoll durchgeführt, in Verfahrensschritt 743 wird ein EF.CardSecurity Datensatz ausgelesen, in Verfahrensschritt 745 wird ein Chip Authentication (CA) Protokoll durchgeführt, und in Verfahrensschritt 747 wird das Chip Authentication (CA) Protokoll durchgeführt.
  • In Verfahrensschritt 749 wird eine Signatur und Rolle eines RA-Bediensteten geprüft, in Verfahrensschritt 751 werden die signierten Personendaten ausgelesen, in Verfahrensschritt 753 wird der Zeitstemple der signierten Personendaten mittels einer RA-Sperrliste geprüft, und in Verfahrensschritt 755 erfolgt ein Abgleich mit der RA-Sperrliste. In Verfahrensschritt 757 wird ein öffentlicher Signaturschlüssel erhalten, welcher in Verfahrensschritt 759 generiert wird. In Verfahrensschritt 761 wird ein öffentlicher Authentisierungsschlüssel erhalten, welcher in Verfahrensschritt 763 generiert wird.
  • In Verfahrensschritt 765 werden digitale Zertifikate und Verschlüsselungsschlüssel angefordert. In Verfahrensschritt 766 werden die Zertifikatsanfragen erhalten, in Verfahrensschritt 767 wird ein Signaturzertifikat erzeugt, in Verfahrensschritt 769 wird ein Authentifizierungszertifikat erzeugt, in Verfahrensschritt 771 wird ein Verschlüsselungsschlüsselpaar erzeugt, in Verfahrensschritt 773 wird ein Verschlüsselungszertifikat erzeugt, und in Verfahrensschritt 775 erfolgt ein Einbringen der digitalen Zertifikate.
  • In Verfahrensschritt 777 werden die digitalen Zertifikate und Verschlüsselungsschlüssel erhalten, in Verfahrensschritt 779 werden die Verschlüsselungsschlüssel geschrieben, in Verfahrensschritt 781 werden die Verschlüsselungsschlüssel gespeichert, in Verfahrensschritt 783 werden die digitalen Zertifikate für Signatur und Authentisierung gesendet, in Verfahrensschritt 785 werden die digitalen Zertifikate für Signatur und Authentisierung gespeichert, und in Verfahrensschritt 787 wird eine Bestätigung über den Erfolg des Nachladeprozesses bereitgestellt.
  • Im Folgenden werden weitere Ausführungsbeispiele des Zertifikats-Tokens 100, des Verfahrens 400 zum Bereitstellen eines digitalen Zertifikats eines Nutzers, und des Verfahrens 500 zum Herstellen eines Zertifikats-Tokens eines Nutzers erläutert.
  • Die Erfindung kann zur dezentralen Beantragung von fortgeschrittenen und/oder qualifizierten digitalen Zertifikaten eingesetzt werden. Für die Bereitstellung oder Ausstellung von digitalen Zertifikaten kann der Nutzer oder Antragsteller mit seinen Personendaten identifiziert werden. Dieser Prozess, welcher auch als Registrierung bezeichnet wird, kann anhand papiergebundener Antragsunterlagen mit persönlicher Identifizierung des Nutzers bei einem Zertifizierungsdienst oder Zertifizierungsdiensteanbieter (ZDA), oder durch einen anderen Berechtigten erfolgen, beispielsweise mittels eines Post-basierten Identifikationsverfahrens, oder unter Verwendung einer eID-Funktion eines Identifikationsdokumentes, beispielsweise eines neuen Personalausweises (nPA), womit eine persönliche Identifizierung ersetzt werden kann. Dabei können die Personendaten oder Daten zur Verarbeitung durch den Zertifizierungsdienst oder Zertifizierungsdiensteanbieter elektronisch aufgenommen und gespeichert werden.
  • Werden die Personendaten nicht durch den Zertifizierungsdienst oder Zertifizierungsdiensteanbieter erfasst, sondern durch eine berechtigte dritte Stelle, so können die Personendaten zur Produktionsvorbereitung an den Zertifizierungsdienst oder Zertifizierungsdiensteanbieter übermittelt werden. Bei der Übermittlung der Personendaten kann gewährleistet werden, dass die Personendaten nicht verfälscht oder manipuliert werden.
  • Zum Zeitpunkt der Produktion der digitalen Zertifikate für den Nutzer oder Antragsteller durch den elektronischen Zertifizierungsdienst oder Zertifizierungsdiensteanbieter können die Personendaten beim elektronischen Zertifizierungsdienst oder Zertifizierungsdiensteanbieter vorliegen und/oder als Teil einer Zertifikatsanfrage übermittelt werden. Dabei können die Personendaten bereits zum Zeitpunkt der elektronischen Personalisierung auf das Zertifikats-Token oder die Karte aufgebracht werden. Für ein Nachladen von digitalen Zertifikaten zu einem späteren Zeitpunkt können Verfahren eingesetzt werden, um die Personendaten zur Zertifikatsproduktion dann bereitzustellen, wenn das digitale Zertifikat produziert wird.
  • Zur Identifikation des Nutzers für ein Nachladeverfahren kann eine eID-Funktion eines Identifikationsdokumentes, beispielsweise eines neuen Personalausweises (nPA), verwendet werden. Ferner können Verfahren eingesetzt werden, um digitale Zertifikate auf Zertifikats-Token oder Chipkarten nachzuladen. Die Authentizität eines Zertifikats-Tokens oder der Karte kann beispielsweise unter Verwendung von Transportzertifikaten oder Gütesiegeln, oder unter Verwendung von Public-Key-Infrastruktur (PKI) basierter Authentisierung, beispielsweise mittels Secure Messaging oder mittels eines Einbringens von Vertrauensankern, geprüft werden.
  • Die zur Produktion von digitalen Zertifikaten verwendeten Personendaten und/oder kryptographischen Schlüssel brauchen bis zum Produktionszeitpunkt auch nicht an den elektronischen Zertifizierungsdienst oder Zertifizierungsdiensteanbieter weitergeleitet werden. Das bedeutet, dass die Personendaten und/oder kryptographischen Schlüssel manipulationsgeschützt aufbewahrt und erst zum Zeitpunkt der Zertifikatsproduktion an den elektronischen Zertifizierungsdienst oder Zertifizierungsdiensteanbieter gesendet werden. Das Speichern oder Aufbringen der digitalen Zertifikate auf das Zertifikats-Token kann durch den Nutzer selbst im Feld erfolgen. Dazu kann der Nutzer oder Anwender in die Lage versetzt werden, dem elektronischen Zertifizierungsdienst oder Zertifizierungsdiensteanbieter die Personendaten und/oder kryptographischen Schlüssel weiterzuleiten.
  • Dazu kann eine Vorgehensweise eingesetzt werden, die es ermöglicht, bereits erfasste Personendaten oder Identifikationsdaten derart aufzubereiten und zu speichern, dass die Personendaten oder Identifikationsdaten erst zum Produktionszeitpunkt an den elektronischen Zertifizierungsdienst oder Zertifizierungsdiensteanbieter geleitet werden und trotzdem eine Zuordnung von Nutzer oder Antragsteller zum verwendeten Zertifikats-Token möglich ist. Gemäß einer Ausführungsform werden die Personendaten nicht in einem digitalen Zertifikat gespeichert. Gemäß einer Ausführungsform werden die Personendaten von einer vertrauenswürdigen Instanz, beispielsweise einem Identifizierungsdienst, signiert.
  • Die Vorgehensweise, wie das Zertifikats-Token in den Besitz des Nutzers oder Antragstellers gelangt und später mit digitalen Zertifikaten versehen wird, ist wie folgt. Der Nutzer oder Antragsteller wird beispielsweise von Identifikationsmitarbeitern eines Identifizierungsdienstes oder einer Registrierungsstelle identifiziert, beispielsweise durch Vorlage eines Identifikationsdokumentes oder Ausweises, durch die Verwendung einer eID-Funktion eines Identifikationsdokumentes, beispielsweise eines elektronischen neuen Personalausweises (nPA), durch die Verwendung eines Post-basierten Identifikationsverfahrens, oder eines gleichartigen Verfahrens.
  • Die dabei erhobenen Personendaten oder Identifikationsdaten können gegen Manipulation geschützt werden. Dieses kann in elektronisch signierter Form erfolgen. Es können eine oder mehrere Signaturen verwendet werden. Die Signatur kann von Mitarbeitern, beispielsweise von Identifizierungsmitarbeitern, geleistet werden oder von technischen Komponenten, beispielsweise Maschinen- oder Stapelsignaturen. Die Personendaten können optional mit einem Zeitstempel versehen werden. Mögliche Datenformate sind beispielsweise signierte XML-Dateien oder Dateien im CMS Format (Cryptographic Message Syntax) oder im PKCS#7 Format.
  • Diese signierten Personendaten werden zum Zeitpunkt, zu dem das Zertifikats-Token produziert wird, vom Produktionssystem in das Zertifikats-Token selbst eingebracht. Optional kann, im Falle von Hardware-Zertifikats-Token, eine eindeutige Identifikationskennung des Hardware-Zertifikats-Tokens, beispielsweise eine Chipseriennummer oder ICCSN, zugeordnet werden. Weitere produktionsrelevante Daten können ebenfalls aufgenommen werden. Die manipulationsgeschützte Zuordnung erfolgt durch kryptographische Verfahren, beispielsweise eine elektronische Signatur.
  • Dem Nutzer oder Besitzer kann das Zertifikats-Token ausgehändigt werden. Dabei kann mindestens ein digitales End-Entity-Zertifikat noch nicht auf dem Zertifikats-Token enthalten sein. Dieses kann durch den Nutzer oder Besitzer zu einem späteren Zeitpunkt auf das Zertifikats-Token nachgeladen werden.
  • Der Nutzer oder Besitzer möchte nun ein digitales Zertifikat zu einem auf dem Zertifikats-Token befindlichen kryptographischen Schlüssel erstellen. Dazu werden die signierten Personendaten, der kryptographische Schlüssel, und gegebenenfalls alle dort referenzierten Daten aus dem Zertifikats-Token ausgelesen und an den elektronischen Zertifizierungsdienst oder Zertifizierungsdiensteanbieter übermittelt. Der Nutzer oder Anwender kann bei diesem Vorgang durch entsprechende Computerprogramme unterstützt werden.
  • Der elektronische Zertifizierungsdienst oder Zertifizierungsdiensteanbieter erstellt das digitale Zertifikat oder die digitalen Zertifikate und übermittelt diese zurück an den Nutzer oder Anwender. Die digitalen Zertifikate werden in das Zertifikats-Token eingebracht.
  • Das Verfahren kann für ein oder mehrere digitale Zertifikate genutzt werden. Im Falle mehrerer digitaler Zertifikate kann auch die erfolgte Zuordnung von Personendaten oder Identifikationsdaten zum Zertifikats-Token und/oder zum öffentlichen Schlüssel referenziert werden, um die Personendaten oder Identifikationsdaten nicht komplett erneut zuzuordnen. Die Kommunikation mit dem Zertifikats-Token kann durch kryptographische Verfahren, wie beispielsweise einem Password Authenticated Connection Establishment (PACE) Protokoll, einem Terminal Authentication (TA) Protokoll, einem Chip Authentication (CA) Protokoll oder einem Secure Messaging (SM) Protokoll, geschützt erfolgen.
  • Dadurch können mehrere Vorteile erreicht werden. Fortgeschrittene und qualifizierte digitale Zertifikate können dezentral bereitgestellt oder beantragt werden ohne einen erneuten Identitätsnachweis des Nutzers durchzuführen, da der elektronische Zertifizierungsdienst oder das Trustcenter die Signatur der Personendaten oder RA-Daten, und/oder der Produktionsdaten, mit gegebenenfalls dort referenzierten Daten, überprüfen kann und somit die Zugehörigkeit der Personendaten zu dem Zertifikats-Token und zu dem digitalen Zertifikat gewährleistet werden kann.
  • Zudem erhält der elektronische Zertifizierungsdienst oder Zertifizierungsdiensteanbieter erst zum Zeitpunkt der Produktion des digitalen Zertifikats von den Personendaten oder Identifikationsdaten Kenntnis. Die Personendaten oder Identifikationsdaten verbleiben bis dahin unter Kontrolle des Identifizierungsdienstes, der identifizierenden Stelle, und/oder des Nutzers oder Inhabers des Zertifikats-Tokens.
  • Darüber hinaus transportiert der Identifizierungsdienst oder die identifizierende Stelle keine weiteren Daten zum elektronischen Zertifizierungsdienst oder Zertifizierungsdiensteanbieter und hält auch keine Personendaten oder Identifikationsdaten über längere Zeit vor. Der Identifizierungsdienst oder die identifizierende Stelle speichert somit keine Personendaten oder Identifikationsdaten.
  • Zudem können einmal erhobene Personendaten, Identifikationsdaten oder Registrierungsdaten je nach Nachlade-Dienstleister von verschiedenen elektronischen Zertifizierungsdiensten oder Zertifizierungsdiensteanbietern genutzt werden. Dem Nutzer oder Antragsteller steht es dabei frei, sich zum Nachladezeitpunkt an einen elektronischen Zertifizierungsdienst oder Zertifizierungsdiensteanbieter seiner Wahl zu wenden.
  • Bezugszeichenliste
    • 100
    Zertifikats-Token zum Bereitstellen eines digitalen Zertifikats eines Nutzers
    101
    Speicher
    103
    Prozessor
    105
    Kommunikationsschnittstelle
    200
    System zum Bereitstellen eines digitalen Zertifikats eines Nutzers
    201
    Elektronischer Zertifizierungsdienst
    203
    Kommunikationsnetzwerk
    300
    System zum Herstellen eines Zertifikats-Tokens eines Nutzers
    301
    Identifizierungsdienst
    303
    Produktionssystem
    400
    Verfahren zum Bereitstellen eines digitalen Zertifikats eines Nutzers
    401
    Bereitstellen des signierten Personendatums und des öffentlichen Zertifikatsschlüssels
    403
    Übertragen des signierten Personendatums und des öffentlichen Zertifikatsschlüssels
    405
    Verifizieren des signierten Personendatums
    407
    Erzeugen des digitalen Zertifikats des Nutzers
    409
    Aussenden des digitalen Zertifikats des Nutzers
    411
    Speichern des digitalen Zertifikats des Nutzers
    500
    Verfahren zum Herstellen eines Zertifikats-Tokens eines Nutzers
    501
    Signieren des Personendatums des Nutzers
    503
    Speichern des signierten Personendatums des Nutzers
    601
    Erfassungseinrichtung
    603
    RA-Client
    605
    Personalisierungsmanagementeinrichtung
    607
    Personalisierungseinrichtung
    609
    Zertifikats-Token
    611–651
    Verfahrensschritte
    701
    Middleware
    703
    Zertifikats-Token
    705
    Middleware
    707
    Sign-Me Einrichtung
    709
    eID-Service Einrichtung
    711
    Trustcenter
    712
    RA-Authority
    713
    Zertifikats-Token
    715–787
    Verfahrensschritte
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • X.509 Standard [0016]
    • Standards BSI TR-03110 [0042]
    • X.509 Standard [0064]

Claims (15)

  1. Zertifikats-Token (100) zum Bereitstellen eines digitalen Zertifikats eines Nutzers, mit: einem Speicher (101), welcher ausgebildet ist, ein signiertes Personendatum des Nutzers und das digitale Zertifikat des Nutzers zu speichern; einem Prozessor (103), welcher ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen; und einer Kommunikationsschnittstelle (105), welche ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk (203) an einen elektronischen Zertifizierungsdienst (201) bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst (201) zu empfangen, um das digitale Zertifikat bereitzustellen.
  2. Zertifikats-Token (100) nach Anspruch 1, wobei das signierte Personendatum des Nutzers mit einem privaten Signaturschlüssel eines Identifizierungsdienstes (301) zum Identifizieren des Nutzers signiert ist.
  3. Zertifikats-Token (100) nach einem der vorstehenden Ansprüche, wobei das signierte Personendatum einen Zeitstempel umfasst, und wobei der Zeitstempel einen Zeitpunkt einer Erzeugung des signierten Personendatums anzeigt.
  4. Zertifikats-Token (100) nach einem der vorstehenden Ansprüche, wobei der Speicher (101) ausgebildet ist, ein Wurzelzertifikat, insbesondere ein CVCA-Zertifikat, zu speichern, und wobei der Prozessor (103) ausgebildet ist, eine Authentizität des elektronischen Zertifizierungsdienstes (201) unter Verwendung des Wurzelzertifikats, insbesondere des CVCA-Zertifikats, zu verifizieren.
  5. Zertifikats-Token (100) nach einem der vorstehenden Ansprüche, wobei der Prozessor (103) ausgebildet ist, einen privaten Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, und wobei der private Zertifikatsschlüssel und der öffentliche Zertifikatsschlüssel ein kryptographisches Schlüsselpaar bilden.
  6. Zertifikats-Token (100) nach einem der vorstehenden Ansprüche, wobei das digitale Zertifikat ein Signaturzertifikat zur Signierung von Daten des Nutzers, oder ein Authentifizierungszertifikat zur Authentifizierung des Nutzers ist.
  7. Verfahren (400) zum Bereitstellen eines digitalen Zertifikats eines Nutzers unter Verwendung eines Zertifikats-Tokens (100) und eines elektronischen Zertifizierungsdienstes (201), wobei das Zertifikats-Token (100) einen Speicher (101), einen Prozessor (103) und eine Kommunikationsschnittstelle (105) umfasst, wobei der Speicher (101) ausgebildet ist, ein signiertes Personendatum des Nutzers und das digitale Zertifikat des Nutzers zu speichern, wobei der Prozessor (103) ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, wobei die Kommunikationsschnittstelle (105) ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk (203) an den elektronischen Zertifizierungsdienst (201) bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst (201) zu empfangen, um das digitale Zertifikat bereitzustellen, und wobei das Verfahren (400) die folgenden Schritte umfasst: Bereitstellen (401) des signierten Personendatums und des öffentlichen Zertifikatsschlüssels durch die Kommunikationsschnittstelle (105) des Zertifikats-Tokens (100); Übertragen (403) des signierten Personendatums und des öffentlichen Zertifikatsschlüssels zu dem elektronischen Zertifizierungsdienst (201) über das Kommunikationsnetzwerk (203); Verifizieren (405) des signierten Personendatums durch den elektronischen Zertifizierungsdienst (201); Erzeugen (407) des digitalen Zertifikats des Nutzers durch den elektronischen Zertifizierungsdienst (201) auf Basis des signierten Personendatums und des öffentlichen Zertifikatsschlüssels; Aussenden (409) des digitalen Zertifikats des Nutzers durch den elektronischen Zertifizierungsdienst (201) an das Zertifikats-Token (100); und Speichern (411) des digitalen Zertifikats des Nutzers in dem Speicher (101) des Zertifikats-Tokens (100).
  8. Verfahren (400) nach Anspruch 7, wobei das signierte Personendatum und der öffentliche Zertifikatsschlüssel im Schritt des Bereitstellens (401) an den elektronischen Zertifizierungsdienst (201) über das Kommunikationsnetzwerk (203) durch die Kommunikationsschnittstelle (105) ausgesendet werden, oder wobei das signierte Personendatum und der öffentliche Zertifikatsschlüssel im Schritt des Bereitstellens (401) durch den elektronischen Zertifizierungsdienst (201) über das Kommunikationsnetzwerk (203) über die Kommunikationsschnittstelle (105) ausgelesen werden.
  9. Verfahren (400) nach Anspruch 7 oder 8, wobei das signierte Personendatum des Nutzers mit einem privaten Signaturschlüssel eines Identifizierungsdienstes (301) zum Identifizieren des Nutzers signiert ist, wobei das Verifizieren (405) des signierten Personendatums durch den elektronischen Zertifizierungsdienst (201) mittels eines öffentlichen Signaturprüfschlüssels des Identifizierungsdienstes (301) durchgeführt wird, und wobei der private Signaturschlüssel des Identifizierungsdienstes (301) und der öffentliche Signaturprüfschlüssel des Identifizierungsdienstes (301) ein kryptographisches Schlüsselpaar bilden.
  10. Verfahren (400) nach Anspruch 7 bis 9, wobei das Verifizieren (405) des signierten Personendatums durch den elektronischen Zertifizierungsdienst (201) ein Extrahieren eines Personendatums des Nutzers aus dem signierten Personendatum des Nutzers und ein Vergleichen des extrahierten Personendatums des Nutzers mit einer Sperrliste durch den elektronischen Zertifizierungsdienst (201) umfasst, wobei die Sperrliste eine Mehrzahl gesperrter Personendaten umfasst, und wobei das signierte Personendatum nicht verifiziert ist falls die Sperrliste das Personendatum des Nutzers umfasst.
  11. Verfahren (400) nach Anspruch 7 bis 10, wobei das signierte Personendatum einen Zeitstempel umfasst, wobei der Zeitstempel einen Zeitpunkt einer Erzeugung des signierten Personendatums anzeigt, wobei das Verifizieren (405) des signierten Personendatums durch den elektronischen Zertifizierungsdienst (201) ein Bestimmen des Zeitpunkts der Erzeugung des signierten Personendatums auf Basis des Zeitstempels und ein Vergleichen des bestimmten Zeitpunktes mit einem Referenzzeitpunkt umfasst, und wobei das signierte Personendatum nicht verifiziert ist falls eine Zeitdifferenz zwischen dem bestimmten Zeitpunkt und dem Referenzzeitpunkt eine vorbestimmte Zeitdifferenz überschreitet.
  12. Verfahren (400) nach Anspruch 7 bis 11, wobei der Speicher (101) ausgebildet ist, ein Wurzelzertifikat, insbesondere ein CVCA-Zertifikat, zu speichern, wobei das Übertragen (403) des signierten Personendatums und des öffentlichen Zertifikatsschlüssels zu dem elektronischen Zertifizierungsdienst (201) ein Verifizieren einer Authentizität des elektronischen Zertifizierungsdienstes (201) unter Verwendung des Wurzelzertifikats, insbesondere des CVCA-Zertifikats, durch den Prozessor (103) des Zertifikats-Tokens (100) umfasst.
  13. Verfahren (500) zum Herstellen eines Zertifikats-Tokens (100) eines Nutzers unter Verwendung eines Identifizierungsdienstes (301) und eines Produktionssystems (303), wobei das Zertifikats-Token (100) einen Speicher (101), einen Prozessor (103) und eine Kommunikationsschnittstelle (105) umfasst, wobei der Speicher (101) ausgebildet ist, ein signiertes Personendatum des Nutzers und ein digitales Zertifikat des Nutzers zu speichern, wobei der Prozessor (103) ausgebildet ist, einen öffentlichen Zertifikatsschlüssel des digitalen Zertifikats zu erzeugen, wobei die Kommunikationsschnittstelle (105) ausgebildet ist, das signierte Personendatum und den öffentlichen Zertifikatsschlüssel für eine Übermittlung über ein Kommunikationsnetzwerk (203) an einen elektronischen Zertifizierungsdienst (201) bereitzustellen, und, ansprechend auf die Bereitstellung des signierten Personendatums und des öffentlichen Zertifikatsschlüssels, das digitale Zertifikat des Nutzers von dem elektronischen Zertifizierungsdienst (201) zu empfangen, um das digitale Zertifikat bereitzustellen, wobei dem Nutzer ein Personendatum zugeordnet ist, und wobei das Verfahren (500) die folgenden Schritte umfasst: Signieren (501) des Personendatums des Nutzers durch den Identifizierungsdienst (301) mit einem privaten Signaturschlüssel des Identifizierungsdienstes (301), um das signierte Personendatum des Nutzers zu erhalten; und Speichern (503) des signierten Personendatums des Nutzers in dem Speicher (101) des Zertifikats-Tokens (100) durch das Produktionssystem (303), um das Zertifikats-Token (100) herzustellen.
  14. Verfahren (500) nach Anspruch 13, wobei das Verfahren (500) ferner umfasst: Bereitstellen eines Wurzelzertifikats, insbesondere eines CVCA-Zertifikats, durch das Produktionssystem (303); und Speichern des Wurzelzertifikats, insbesondere des CVCA-Zertifikats, in dem Speicher (101) des Zertifikats-Tokens (100) durch das Produktionssystem (303).
  15. Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens (400) zum Bereitstellen eines digitalen Zertifikats eines Nutzers nach Anspruch 7 bis 12, wenn der Programmcode auf einem Computer ausgeführt wird.
DE102015101014.3A 2015-01-23 2015-01-23 Zertifikats-Token zum Bereitstellen eines digitalen Zertifikats eines Nutzers Withdrawn DE102015101014A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102015101014.3A DE102015101014A1 (de) 2015-01-23 2015-01-23 Zertifikats-Token zum Bereitstellen eines digitalen Zertifikats eines Nutzers
PCT/EP2016/050873 WO2016116392A1 (de) 2015-01-23 2016-01-18 Zertifikats-token zum bereitstellen eines digitalen zertifikats eines nutzers
EP16701105.5A EP3248357B1 (de) 2015-01-23 2016-01-18 Zertifikats-token zum bereitstellen eines digitalen zertifikats eines nutzers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015101014.3A DE102015101014A1 (de) 2015-01-23 2015-01-23 Zertifikats-Token zum Bereitstellen eines digitalen Zertifikats eines Nutzers

Publications (1)

Publication Number Publication Date
DE102015101014A1 true DE102015101014A1 (de) 2016-07-28

Family

ID=55182305

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015101014.3A Withdrawn DE102015101014A1 (de) 2015-01-23 2015-01-23 Zertifikats-Token zum Bereitstellen eines digitalen Zertifikats eines Nutzers

Country Status (3)

Country Link
EP (1) EP3248357B1 (de)
DE (1) DE102015101014A1 (de)
WO (1) WO2016116392A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3720082A1 (de) * 2019-04-05 2020-10-07 Siemens Aktiengesellschaft Verfahren zum ausstellen einer kryptographisch geschützten authentizitätsbescheinigung für einen benutzer

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370202B2 (en) * 2004-11-02 2008-05-06 Voltage Security, Inc. Security device for cryptographic communications

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020176583A1 (en) * 2001-05-23 2002-11-28 Daniel Buttiker Method and token for registering users of a public-key infrastructure and registration system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370202B2 (en) * 2004-11-02 2008-05-06 Voltage Security, Inc. Security device for cryptographic communications

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Bundesamt für Sicherheit in der Informationstechnik, Technische Richtlinie TR-03127. Architektur elektronischer Personalausweis und elektronischer Aufenthaltstitel. Version 1.15, 01. August 2012, Seiten 1-42. *
Standards BSI TR-03110

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3720082A1 (de) * 2019-04-05 2020-10-07 Siemens Aktiengesellschaft Verfahren zum ausstellen einer kryptographisch geschützten authentizitätsbescheinigung für einen benutzer
WO2020200766A1 (de) * 2019-04-05 2020-10-08 Siemens Aktiengesellschaft Verfahren zum ausstellen einer kryptographisch geschützten authentizitätsbescheinigung für einen benutzer

Also Published As

Publication number Publication date
EP3248357B1 (de) 2020-06-10
WO2016116392A1 (de) 2016-07-28
EP3248357A1 (de) 2017-11-29

Similar Documents

Publication Publication Date Title
EP3108610B1 (de) Verfarhen und system zum erstellen und zur gültigkeitsprüfung von gerätezertifikaten
EP3731119B1 (de) Computerimplementiertes verfahren zur zugriffskontrolle
EP3319006B1 (de) Verfahren zur offline-echtheitsprüfung eines virtuellen dokuments
EP3318999B1 (de) Verfahren zum ausstellen einer virtuellen version eines dokuments
EP3261011B1 (de) Verfahren zum lesen von attributen aus einem id-token
WO2018073071A1 (de) Bereitstellung und prüfung der gültigkeit eines virtuellen dokuments
DE102009027682A1 (de) Verfahren zur Erzeugung eines Soft-Tokens
DE102009027723A1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
EP3417395B1 (de) Nachweisen einer authentizität eines gerätes mithilfe eines berechtigungsnachweises
EP3814970A1 (de) Manipulationssicheres ausstellen und speichern von elektronischen urkunden
EP2136528A1 (de) Verfahren und System zum Erzeugen einer abgeleiteten elektronischen Identität aus einer elektronischen Hauptidentität
EP4224786A1 (de) Verfahren und vorrichtung zur erstellung elektronischer signaturen
EP3422274A1 (de) Verfahren zur konfiguration oder änderung einer konfiguration eines bezahlterminals und/oder zur zuordnung eines bezahlterminals zu einem betreiber
EP3248357B1 (de) Zertifikats-token zum bereitstellen eines digitalen zertifikats eines nutzers
EP3125464B1 (de) Sperrdienst für ein durch einen id-token erzeugtes zertifikat
DE102015208098B4 (de) Verfahren zur Erzeugung einer elektronischen Signatur
EP3271855B1 (de) Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken
EP3248356B1 (de) Zertifikats-token zum bereitstellen eines digitalen zertifikats eines nutzers
EP3134840B1 (de) Verfahren zum versehen eines identifikationsausweises einer person mit einem kryptographischen zertifikat
EP3289507B1 (de) Id-token, system und verfahren zur erzeugung einer elektronischen signatur
DE102021112754A1 (de) Ausstellen eines digitalen verifizierbaren Credentials
DE102021124640A1 (de) Verfahren zum digitalen Austauschen von Informationen
DE102013103531A1 (de) Datenverarbeitungsvorrichtung zum Authentifizieren einer Ausführung einer elektronischen Anwendung
WO2018146133A1 (de) Verfahren zum erkennen von unberechtigten kopien digitaler sicherheits-token

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: PATENTSHIP PATENTANWALTSGESELLSCHAFT MBH, DE

R120 Application withdrawn or ip right abandoned