|
|
 |
|
|
 |
Standards und Zertifikate für Smartcard-Lesegeräte
Für Smartcard-Lesegeräte existieren unterschiedliche Anforderungen an Sicherheit und Funktionsumfang. Standards und Zertifikate ermöglichen es, die verschiedenen Geräte zu klassifizieren. In diesem Artikel finden Sie Hilfestellung bei der Auswahl des passenden Gerätes für Ihre Anwendung.
Einteilung in Klassen
Die Firma EUTELIS hat im Auftrag der Sparkassen HBCI-fähige Smartcard-Lesegeräte in vier Klassen eingeteilt. Dabei gilt der Grundsatz "Je höher die Klasse, desto sicherer das Gerät".
Kartenleser der Klasse 1 besitzen keine Sicherheitsfunktionen, sie stellen lediglich einen Kontakt zur Karte her.
Bei einem Gerät der Klasse 2 muss gewährleistet sein, dass die PIN nicht in den Computer gelangt. Viele Geräte besitzen ein eigenes Tastenfeld, einige schleifen die PC-Tastatur ein.
Für die Klasse 3 ist ein eigenes Display erforderlich. Dadurch wird verhindert, dass Daten nach dem Anzeigen im Computer manipuliert werden. Außerdem können Klasse-3-Leser eigene Anwendungen ausführen.
Ein Kartenleser der Klasse 4 hat eine eigene Identität. Er ist mit einem eigenen Signaturschlüssel ausgestattet und kann selbst digitale Signaturen erstellen. Auf diese Weise kann nicht nur der Urheber einer Nachricht, sondern sogar das dazu verwendete Lesegerät ermittelt werden.
ITSEC-Standards
Die Signaturverordnung fordert für Produkte, mit denen qualifizierte elektronische Signaturen erzeugt werden, das ITSEC-Zertifikat E2/hoch. E2 bedeutet, dass eine informelle Beschreibung des Feinentwurfs zur Beurteilung der Korrektheit des Mechanismus vorliegen muss. Die Stufe "hoch" erfordert, dass die Sicherheitsmechanismen nur von Angreifern überwunden werden können, die über sehr gute Fachkenntnisse, Gelegenheit und Betriebsmittel verfügen. Ein solcher erfolgreicher Angriff wird normalerweise als nicht durchführbar beurteilt.
Eine Übersicht über die für qualifizierte elektronische Signaturen zugelassenen Smartcard-Lesegeräte finden Sie auf der RegTP-Homepage.
Die MKT-Spezifikation
Die MKT (Multifunktionales Karten-Terminal)- bzw. MCT (Multifunctional Card Terminal)-Spezifikation beschreibt ein Basiskonzept für Smartcard-Lesegeräte unter besonderer Berücksichtigung der Anforderungen des Gesundheitswesens. Das Dokument wurde von der GMD (Gesellschaft für Mathematik und Datenverarbeitung) in Zusammenarbeit mit der TeleTrusT-Projektgruppe "Kartenterminal" und dem DIN-Arbeitskreis NI-17.4 erstellt. Die MKT-Spezifikation unterstützt u. a. das CT-API und das CT-BCS.
Auf der Website des Fraunhofer-Institutes finden Sie die MKT-Spezifikation 1.0.
CT-API
CT-API steht für Card Terminal Application Programming Interface. An der Entwicklung dieser Programmierschnittstelle waren die Deutsche Telekom AG, die GMD Forschungszentrum Informationstechnik GmbH, die TÜV Informationstechnik GmbH und der TeleTrusT e. V. beteiligt. Die Spezifikation beschreibt folgende Funktionen:
|
CT_init |
Öffnen einer Verbindung zum Kartenterminal |
|
CT_data |
Übertragung eines Befehls an das Terminal, Rückgabe der Antwort |
|
CT_close |
Schließen der Verbindung |
Die CT-API unterstützt Speicher- und Prozessorkarten. Sie ist unabhängig von der Bauart des Kartenlesers (z. B. extern oder intern) und vom verwendeten Anschluss. Für jede CT-API-Anwendung kann ein beliebiges Lesegerät, für das ein CT-API-Treiber verfügbar ist, verwendet werden.
CT-BCS
Das CT-BCS (Card Terminal Basic Command Set) wurde von der Arbeitsgruppe "Karten im Gesundheitswesen" zusammen mit dem TeleTrusT e. V. entwickelt. Die Spezifikation beschreibt grundlegende Befehle zur Ansteuerung von Lesegeräten über die CT-API, darunter Kommandos zur Ansteuerung des Displays und zur Abfrage der Tastatur. Dadurch wird u. a. die Nutzung des Lesegerätes als sichere PIN-Eingabe-Umgebung ermöglicht.
|
|
|
