Bundesamt für Sicherheit in der Informationstechnik

Sicherheitsmechanismen in elektronischen Ausweisdokumenten

Country Verifying Certificate Authority (CVCA)

Die Country Verifying Certificate Authority (Nationale Zertifikats-Autorität für Verifizierung, CVCA) wird vom Bundesamt für Sicherheit in der Informationstechnik betrieben. Hier werden regelmäßig die deutschen Wurzelzertifikate erstellt, mit deren privaten Schlüsseln die Document Verifier Zertifikate (Zertifikate für die Berechtigung zur Verifizierung von Dokumenten) der DV-Instanzen (Document Verifier Instanz) signiert werden.

Die DV-Instanzen sind dafür zuständig, die Berechtigungszertifikate für das Lesen von elektronischen Ausweisdokumenten auszugeben. Dabei werden auch die individuellen Leserechte, d.h. welche Informationen aus den Ausweisdokumenten gelesen werden dürfen, festgelegt. Diese Berechtigung wird beim Leseprozess vom RF-Chip des elektronischen Ausweisdokuments bei der Terminal Authentisierung geprüft.

Für den elektronischen Reisepass erhalten nur Kontrollbehörden (z.B. Bundespolizei) und Meldebehörden (für die Kontrolle der Richtigkeit der Daten durch den Bürger) Berechtigungszertifikate. Diese werden für das Auslesen von Fingerabdrücken benötigt.

Beim elektronischen Personalausweis gibt es verschiedene Variationen von Berechtigungszertifikaten. Zum einen für die hoheitlichen Funktion, welche nur den Kontroll- und Meldebehörden zugänglich ist, zum anderen für die eID-Funktion die auch im eGovernment (elektronische Behördendienstleistungen) und eBusiness (elektronischer Handel, z.B. Online-Shopping) verwendet werden kann (näheres zu diesen Möglichkeiten unter elektronischer Personalausweis).

Die Grafik zeigt die CVCA Public Key Infrastructure für den elektronischen Personalausweis CVCA Public Key Infrastructure für den elektronischen Personalausweis

Des Weiteren müssen bei beiden elektronischen Ausweisdokumenten Berechtigungszertifikate für die Kontrollbehörden anderer Nationen ausgestellt werden, welche berechtigt sind auf die Fingerabdrücke im elektronischen Reisepass oder auf die hoheitliche Funktion im elektronischen Personalausweis zu zugreifen. Diese Berechtigung wird für jede Nation separat erteilt.

Die Grafik zeigt die CVCA Public Key Infrastructure im internationalen Kontext CVCA Public Key Infrastructure International


Bei allen Berechtigungszertifikaten werden nur für die unbedingt benötigten Daten Leseberechtigungen erteilt. So würde z.B. der Betreiber eines Forums für Personen über 18 Jahren nur Zugriff auf das Geburtsdatum (bzw. sogar nur auf die Altersverifikation siehe elektronischer Personalausweis) erhalten, da für ihn nicht die Notwendigkeit besteht, weitere Daten wie z.B. den Wohnort zu erfahren.