Navigation und Service


BSI TR-03112 Das eCard-API-Framework

Das Bundeskabinett hat am 9. März 2005 die Eckpunkte für eine gemeinsame eCard-Strategie beschlossen. Wesentliche Stützpfeiler dieser Strategie sind die elektronische Authentisierung und die qualifizierte elektronische Signatur, die auf Chipkarten unterschiedlicher Ausprägung zum Einsatz kommen.

Für die eCard-Strategie sind insbesondere die folgenden Projekte von Bedeutung:

  • Die elektronische Gesundheitskarte (eGK)
  • Der elektronische Personalausweis (ePA)
  • Der elektronische Reisepass (ePass)
  • Die elektronische Steuererklärung (ELSTER)
  • Der elektronische Einkommensnachweis (ELENA)

Durch das eCard-API-Framework, das eine Reihe von einfachen und plattformunabhängigen Schnittstellen umfasst, soll die Kommunikation zwischen den jeweiligen Anwendungen und den eingesetzten Chipkarten vereinheitlicht werden.

Das Ziel des eCard-API-Frameworks ist das Bereitstellen einer einfachen und homogenen Schnittstelle, um in den verschiedenen Anwendungen eine einheitliche Nutzung der unterschiedlichen Chipkarten (eCards) zu ermöglichen.
Der Aufbau des eCard-API-Frameworks ist in Abbildung 1 dargestellt. Hieraus wird ersichtlich, dass sich das eCard-API-Framework in die folgenden Ebenen untergliedert:

  • Application-Layer
  • Identity-Layer
  • Service-Access-Layer
  • Terminal-Layer

Die Architektur des eCard-API-Frameworks

Application-Layer

Im Application-Layer befinden sich die verschiedenen Anwendungen, die das eCard-API-Framework für den Zugriff auf die eCards und damit verbundene Funktionen nutzen wollen. In dieser Schicht können auch weitere anwendungsspezifische "Convenience-Schnittstellen" existieren, in denen wiederkehrende Aufruffolgen in applikationsnahen Aufrufen gekapselt werden. Diese Schnittstellen sind jedoch derzeit nicht Gegenstand des eCard-API-Frameworks.

Identity-Layer

Der Identity-Layer umfasst das eCard-Interface und das Management-Interface und somit Funktionen für die Verwaltung und Nutzung elektronischer Identitäten sowie für das Management des eCard-API-Frameworks.
Das eCard-Interface ermöglicht den Bezug von Zertifikaten sowie die Verschlüsselung, Signatur und Zeitstempelung von Dokumenten.
Im Management-Interface existieren Funktionen für das Update des Frameworks und die Verwaltung von vertrauenswürdigen Identitäten, Chipkarten, Kartenterminals sowie des Default-Verhaltens.

Service-Access-Layer

Der Service-Access-Layer bietet insbesondere Funktionen für kryptographische Primitive und biometrische Mechanismen in Verbindung mit kryptographischen Token und umfasst das ISO24727-3-Interface und das Support-Interface.
Das ISO24727-3-Interface ist eine Webservice-basierte Umsetzung des gleichnamigen Standards. Diese Schnittstelle enthält Funktionen, um (kryptographisch geschützte) Verbindungen zu Chipkarten herzustellen, Chipkartenapplikationen zu verwalten, Daten zu lesen oder zu schreiben, kryptographische Operationen auszuführen sowie das entsprechende Schlüsselmaterial (in Form von so genannten "Differential-Identities") zu verwalten. Hierbei sind alle Funktionen, die "Differential-Identities" nutzen oder verwalten, über protokollspezifische Object Identifier parametrisiert, so dass die unterschiedlichen in Teil 7 dieser Spezifikation definierten Protokolle über eine einheitliche Schnittstelle genutzt werden können.
Das Support-Interface enthält eine Reihe von unterstützenden Funktionen.

Terminal-Layer

Der Terminal-Layer enthält im Wesentlichen das IFD-Interface. Dieses übernimmt die Generalisierung von konkreten Lesertypen und verschiedenen Schnittstellen sowie die Kommunikation mit der Chipkarte. Für den Anwender ist es nicht von Bedeutung, ob die eCard via PC/SC, einem SICCT-Leser oder einem herstellerspezifischen Interface angesprochen wird, ob sie kontaktbehaftet oder kontaktlos ist.

Überblick

Einen grundlegenden Überblick über das eCard-API-Framework erhalten Sie in Teil 1 der Spezifikation.

Alle Dokumente im Überblick


© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved