Zum Hauptinhalt springen

Zertifikate

Dieses Kapitel informiert darüber, welche Arten von elektronischen Signaturen bzw. Zertifikaten bei den DVDV-Verfahrensbeteiligten zum Einsatz kommen. Es soll ferner ein Verständnis für die Funktionsweise von Zertifikaten im DVDV-Kontext vermitteln. Ein gewisses Grundverständnis vom Aufbau von X.509-Zertifikaten wird an dieser Stelle vorausgesetzt. Im Rahmen des DVDV-Gesamtprozesses werden alle Informationen elektronisch übermittelt, dabei werden auch offene Netzwerke wie das Internet, genutzt. Damit die zu übertragenden Daten sicher ausgetauscht werden können, sind definierte Standards einzuhalten. Zum einen müssen die Empfänger der Daten zweifelsfrei feststellen können, wer der Absender ist (Authentizität), zum anderen muss eine unbemerkte Manipulation oder Verfälschung der Daten durch die Beteiligten oder durch Dritte ausgeschlossen werden können (Integrität). Aus diesem Grund werden alle Nachrichten, die die im DVDV verzeichneten Organisationen untereinander austauschen, mit Hilfe von verfahrensspezifischen Zertifikaten signiert und verschlüsselt. In den nachfolgenden Abschnitten wird erläutert, wie die Kommunikation im Rahmen des DVDV abläuft, welche Sicherheitsmechanismen eingesetzt werden und welche Zertifikate an welcher Stelle benötigt werden.

Verfahrensbeteiligte

Im DVDV-Kontext werden verschiedene Verfahrensbeteiligte unterschieden:

  • „Organisationen“ bzw. ihre Stellvertreter oder auch „DVDV-Nutzer“ sind alle Kommunikationspartner, die an einem elektronischen Datenaustausch teilnehmen, also Daten rechtssicher senden und empfangen.
  • „Provider“ im Sinne von DVDV sind Institutionen, die zur Realisierung von Onlinediensten die notwendigen Infrastruktursysteme betreiben. 1 Bei einem Provider kann es sich handeln um…
    • den Betreiber einer oder mehrerer Clearingstellen,
    • ein kommunales Rechenzentrum, das die Infrastruktur für einen Teil der Organisationen bzw. ihrer Stellvertreter bereitstellt,
    • den Betreiber eines Intermediärs oder einer anderen Transport-Infrastrukturkomponente.
  • „Pflegende Stelle“ sind für jedes Bundesland vorgesehen. Sie sind berechtigt, die Daten für das jeweilige Bundesland im Auftrag zu verändern (siehe Kapitel Pflegende Stellen).
  • „Abfrageberechtigte“ bzw. „Data Consumer“ sind bspw. die Fachverfahren der DVDV-Nutzer, die mittels eines DVDV-Clients, ggf. unter Nutzung der DVDV-Bibliothek, Daten aus dem DVDV abfragen. Zu den Abfrageberechtigten zählen auch Personen, die über den Auskunfts-Client Daten abfragen können (siehe Kapitel Auskunfts-Client).

Verwendete Zertifikatstypen im DVDV

Folgende Zertifikatstypen werden im Kontext des DVDV-Gesamtsystems eingesetzt:

  • Software-Zertifikate: Für den Nachrichtenaustausch werden spezielle Software-Zertifikate benötigt. Bei diesen Zertifikaten handelt es sich um fortgeschrittene Signaturen im Sinne der eIDAS-Verordnung, die zum Signieren und Verschlüsseln verwendet werden können. Der Verwendungszweck ist also vielfältig. Hierbei wird unterschieden in:
    • Personenbezogene Zertifikate und
    • Gruppen-/Funktions-Zertifikate.
  • TLS-Server-Zertifikate Haupteinsatzgebiet von TLS (Transport Layer Security) ist das Internet, wenn beispielsweise eine verschlüsselte Verbindung zu einem Server aufgebaut werden soll. TLS-Serverzertifikate kommen vorrangig bei den Hauptkomponenten DVDV-Bundesmaster und DVDV-Server für die Absicherung der Verbindung zwischen Client und Server zum Einsatz. Eine tiefergehende Erläuterung zur Funktionsweise ist an dieser Stelle nicht vorgesehen. Für beide Typen gilt der nachfolgende Zyklus eines Zertifikats: Zertifikatszyklus

Abbildung 11: Zertifikatszyklus

Im Folgenden werden die einzelnen Phasen kurz beschrieben:

PhaseBeschreibung
ZertifikatsbeantragungDer Antragsteller beantragt einen der beiden Zertifikatstypen bei einem Trustcenter. Hierzu gehört auch die Identifikation des Antragstellers gegenüber einer Registrierungsstelle im Auftrag des Trustcenters.
ZertifikatsausstellungDas Trustcenter stellt nach erfolgreich Beantragung das Softwarezertifikat aus. Der Schlüsselverantwortliche kann sich das Schlüsselpaar (privater + öffentlicher Schlüssel) herunterladen.
ZertifikatsnutzungZur Zertifikatsnutzung gehört unter anderem das Signieren und Verschlüsseln von Nachrichten im DVDV-Kontext.
ZertifikatssperrungIm Falle von Kompromittierung oder Diebstahl des privaten Schlüssels muss das Zer-tifikat vom Schlüsselverantwortlichen gesperrt werden.

Tabelle 2: Phasen des Zertifikatszyklus

Bei den Verfahrensbeteiligten kommen folgende Typen von Softwarezertifikaten zum Einsatz:

Verfahrensbeteiligtepersonenbezogene ZertifikateGruppen- /Funktions-Zertifikate
Organisationen bzw. Stellvertreterx
Providerx
Pflegende Stellenx
Abfrageberechtigtex

Tabelle 3: Verwendete Typen von Softwarezertifikaten

Wie der Tabelle zu entnehmen ist, werden im DVDV hauptsächlich Gruppen- bzw. Funktionszertifikate verwendet. Eingesetzt werden diese Zertifikate vor allem in Fachverfahren zum Ver- und Entschlüsseln von Fachnachrichten. Zum einen werden die Zertifikate nicht nur von einer (natürlichen) Person verwendet, und zum anderen dient das Zertifikat einer speziellen Funktion (z.B. Transport von Gewerbemitteilungen im OSCI-Kontext). Pflegende Stellen nutzen im Gegensatz dazu immer personenbezogene Zertifikate, u.a. um die Nachweisbarkeit der von ihnen im DVDV durchgeführten Änderungen gewährleisten zu können.

Einsatz von Softwarezertifikaten im DVDV-Kontext

Im DVDV werden Softwarezertifikate entweder bei Dienstelementen oder bei Organisationen und deren Stellvertretern durch die Pflegenden Stellen hinterlegt.

Einsatz in Dienstelementen

Bei den in Kapitel Dienstelemente aufgelisteten Dienstelementen kommen stellenweise ebenfalls Gruppen- bzw. Funktions-Softwarezertifikate zum Einsatz. Die relevanten Dienstelemente werden im Folgenden näher beschrieben:

DienstelementBeschreibung
OSCI-EmpfängerDas Zertifikat dient im Rahmen von OSCI-Transport zur Verschlüsselung der Auftragsdaten (sog. „innerer Umschlag“ bzw. ContentContainer). Hier wird unter anderem der öffentliche Schlüssel der Organisation bzw. des Organisationsstellvertreters im DVDV hinterlegt.
OSCI-IntermediärBei diesem Dienstelement dient das Zertifikat zur Verschlüsselung der OSCI-Transport-Daten („äußerer Umschlag“). Die Entschlüsselung der Transport-Daten findet auf dem OSCI-Intermediär statt.
VerschlüsselungszertifikatDieses Zertifikat dient der Verschlüsselung der OSCI-Inhaltsdaten auf der Ebene XML Encryption und dient als zusätzliches Sicherheitsmerkmal.
SignaturzertifikatDieses Zertifikat wird benötigt, um die Authentizität von signierten Antworten eines fachlichen Dienstes verifizieren zu können. Die zusätzliche Signatur der Inhaltsdaten wird nicht für alle Kommunikationsszenarien benötigt. Ob sie im jeweiligen Dienst obligatorisch ist, legt der Dienstprovider im Eintragungskonzept fest.

Tabelle 4: Einsatz von Software-Zertifikaten in Dienstelementen

Einsatz bei den Organisationen bzw. Organisations-Stellvertretern

Ein weiterer Einsatzbereich von Softwarezertifikaten im DVDV ist ihre Verwendung als sogenannte Client-Zertifikate zur Authentifizierung von Organisationen und Organisationsstellvertretern. In Kapitel Organisationen finden Sie dazu eine detaillierte Beschreibung.

Relevante DVDV-Prozesse

In diesem Abschnitt sollen die DVDV-Prozesse hinsichtlich ihrer Zertifikatsverwendung näher beleuchtet werden. Allgemein unterscheidet man folgende Teil-Prozesse:

  • Pflege der Daten
  • Replikation von Daten
  • Anfrage an den DVDV-Server
  • Übermittlung von Nachrichten

Prozess „Pflege der Daten“

Dieser Prozess stellt über Pflege- und -Admin-Client einen schreibenden Zugang auf den DVDV-Bundesmaster zur Verfügung.

Datenpflege

Abbildung 12: Prozess „Pflege der Daten“

Eine Pflegende Stelle ruft über einen Webbrowser die URL des Pflege-Clients auf und wird aufgefordert, sich mit ihrem personenbezogenen Softwarezertifikat zu authentifizieren. Dies funktioniert jedoch nur, sofern (u.a.) der öffentliche Teil dieses Zertifikats auf dem DVDV-IAM beim DVDV-Bundesmaster hinterlegt ist. Der private Schlüssel muss außerdem auf der Client-Seite (also bei der Pflegenden Stelle) korrekt im Zertifikatsspeicher konfiguriert sein. Nach erfolgreicher Authentifizierung und Anmeldung am Pflege-Client können Daten am Kernsystem des DVDV-Bundesmasters verändert werden.

Prozess „Replikation von Daten“

Änderungen am DVDV-Bundesmaster (Pflege der Daten) werden mittels MySQL-Replikation auf die angebundenen DVDV-Server repliziert (siehe Kapitel Anfrage der Daten im DVDV ). Die Replikation erfolgt über einen mittels TLS-Zertifikat abgesicherten Tunnel.

Replikation

Abbildung 13: Prozess „Replikation von Daten“

Prozess „Anfrage an den DVDV-Server“

In diesem Prozess geht es um die Anfrage einer Organisation bzw. eines Organisationsstellvertreters an den jeweils zuständigen DVDV-Server. Die anfragende Organisation erhält von dem DVDV-Server die aktuellen Transport-Parameter der gesuchten Empfänger-Organisation.

Datenanfrage

Abbildung 14: Prozess „Anfrage an den DVDV-Server“

Das Fachverfahren der anfragenden Organisation bzw. des Organisationsstellvertreters kommuniziert mit dem Kernsystem des DVDV-Servers über eine abgesicherte TLS-Verbindung. Außerdem wird jede Anfrage mittels OAuth abgesichert. Nähere Details finden Sie in Kapitel Anfrage an den DVDV-Server

Prozess „Übermittlung von Nachrichten“

Nach erfolgreicher Anfrage erfolgt der abgesicherte Transport von Nachrichten an einen Empfänger.

Nachricht

Abbildung 15: Prozess „Übermittlung von Nachrichten“

Mit den notwendigen Parametern aus der Anfrage an den DVDV-Server erfolgt in diesem Prozess die Übermittlung der verschlüsselten Nachrichten an die jeweilige Transportinfrastrukturkomponente des Empfängers. Derzeit handelt es sich dabei i.d.R. um Kommunikation mittels OSCI-Transport, das DVDV ist aber nicht auf diese allein festgelegt.

Detaillierter Blick auf den Prozess „Anfrage an den DVDV-Server“

Ergänzend zu den technischen Ausführungen in Kap. Directory-Schnittstelle soll an dieser Stelle der Ablauf zur Anfrage eines Fachverfahrens an den DVDV-Server noch einmal Schritt für Schritt beschrieben werden. Folgendes Szenario soll als Beispiel dienen: Das Standesamt von Musterstadt A übermittelt Todesfallbescheinigungen an eine Gesundheitsbehörde von Musterstadt B.

  1. Das Fachverfahren des Standesamtes der Musterstadt A verwendet den lokal hinterlegten privaten Schlüssel, um sich mit Hilfe der DVDV-Bibliothek an der Token-Schnittstelle des zuständigen DVDV-Servers anzumelden.
  2. Das Kernsystem des zuständigen DVDV-Servers sucht ein passendes Client-Zertifikat (öffentlicher Schlüssel) im replizierten Datenbestand.
  3. Das Kernsystem findet ein passendes Client-Zertifikat des Standesamts der Musterstadt A. Aus Sicht des Kernsystems ist es an dieser Stelle unerheblich, bei welcher Organisation dieses Client-Zertifikat durch die DVDV-Pflegende Stelle hinterlegt wurde. Entscheidend ist, dass es zum Fingerprint passt und noch nicht abgelaufen ist.
  4. Das Kernsystem stellt einen Zugriffstoken aus und liefert diesen über die DVDV-Bibliothek an das Fachverfahren des Standesamtes der Musterstadt A zurück. Die Authentifizierung war erfolgreich.
  5. Mit Hilfe des Tokens darf das Fachverfahren nun Abfragen stellen und die benötigten technischen Parameter der Gesundheitsbehörde der Musterstadt B abrufen.
  6. Mit den von der DVDV-Bibliothek zur Verfügung gestellten Methoden erhält das Fachverfahren die notwendigen Parameter und kann die Nachricht anschließend an den Empfänger versenden.

Footnotes

  1. Bitte nicht verwechseln mit den „Dienstprovidern“, die für die Erstellung von Eintragungskonzepten verantwortlich sind und als Dienstbetreiber der jeweiligen Fachstandards fungieren (siehe Kapitel Organisation ).