 |  |
Dokumenteninformationen
Bezeichnung | Serviceabhängigkeiten in E-Government-Applikationen |
Kurzbezeichnung | Serviceabhängigkeiten in E-Government-Applikationen |
Version | 1.0.0 |
Datum | 7.3.2008 |
Kurzbeschreibung | Das vorliegende Dokument beschreibt Serviceabhängigkeiten zwischen den wesentlichen Elementen österreichischer E-Govnerment-Applikationen. |
Autoren | |
© | Dieses Dokument wird von EGIZ und dem Bundeskanzleramt zur Verfügung gestellt. Die Verwendung ohne Modifikation ist unter Bezugnahme auf diese Copyright-Notiz zulässig. Eine Erweiterung ist erlaubt, jedoch muss dies eindeutig gekennzeichnet sein, und es muss das erweiterte Dokument frei zur Verfügung gestellt werden. |
Inhaltsverzeichnis
Eines der wesentlichen Merkmale service-orientierter Architekturen (SOA) ist die Möglichkeiten eine Anwendung aus bestehenden Services zusammenzusetzen und so ein neues Service zu schaffen. Von dieser Möglichkeit wird auch bei österreichischen E-Government-Applikationen stark gebrauch gemacht. Daraus ergibt sich eine Reihe von Vorteilen, es entstehen jedoch auch Abhängigkeiten zwischen den verschiedenen Services. Dieses Dokument soll die wesentlichen Abhängigkeiten zwischen Services österreichischer E-Government-Applikationen verdeutlichen.
In Abschnitt 2, „Signaturprüfung“ und Abschnitt 3, „Signaturerstellung“ werden die beiden wesentlichen Basiselemente betrachtet. Im Abschnitt 4, „MOA-ID“ werden die Service-Abhängigkeiten des darauf aufbauenden Service zur Identifikation in E-Government-Applikationen analysiert.
Bei den analysierten Anwendungen bestehen die wesentlichen Service-Abhängigkeiten zu den Diensten zum Abruf von Widerrufsinformationen der Zertifizierungsdiensteanbieter, sowie teilweise zu den Services zum Abruf der Issuer-Templates für die Transformation von Personenbindungen und zum Abruf eins Templates für die Auswahl der Bürgerkartenumgebung.
Um einen schnellen Überblick über den Status der Services zu denen die wesentlichen Service-Abhängigkeiten bestehen zu bekommen, ist ein Monitoring-Service eingerichtet. Die aktuellen Status-Informationen können über die folgenden Links abgerufen werden.
Anmerkung
Die Angaben zur Verfügbarkeit erfolgen ausschließlich aus Sicht des Monitoring-Service. Die tatsächliche Verfügbarkeit kann von den angeführten Angaben abweichen.
Zur Prüfung von elektronischen Signaturen nach [BK] benötigt das prüfende Service folgende Informationen:
Signaturdokument mit eventuell extern referenzierten Daten (z.B. XSLT-Stylesheets für Stylesheet-Transformationen)
alle Zertifikate, die benötigt werden um eine Zertifizierungskette vom Signaturzertifikat bis zu einer vertrauenswürdigen Zertifizierungsstelle zu bilden
Widerrufsinformationen zu den verwendeten Zertifikaten
Bei der Prüfung von elektronischen Signaturen über die
Applikationsschnittstelle Bürgerkarte [BK] (BKU) bzw.
über die Schnittstelle von MOA-SP/SS [MOA-SPSS] werden
diese Informationen vom prüfenden Service entweder aus der entsprechenden
Anfrage (VerifyXMLSignatureRequest bzw.
VerifyCMSSignatureRequest) entnommen, werden bereits
vorgehalten oder müssen extern bezogen werden.
Die folgende Tabelle gibt einen Überblick über die benötigten Informationen zur Prüfung von elektronischen Signaturen und die Möglichkeiten wie diese bezogen werden können.
| BKU / MOA-SPSS | aus Anfrage | lokal | extern | Anmerkungen |
|---|---|---|---|---|
| Referenzierte Dokumente | X / X | - / X1 | X / X |
1) nur über entsprechend konfigurierte Transformationsprofile 2) nur innerhalb des Signaturdokuments 3) abhängig von der jeweiligen Implementierung 4) bei entsprechender Konfiguration und entsprechenden Informationen in der Zertifikatserweiterung Authority Information Access |
| Zertifikate | X2 / X2 | X / X | X3,4 / X4 | |
| Widerrufsinformationen | - / - | - / - | X / X |
Bei den in der Spalte extern angeführten Informationen können somit Abhängigkeiten zu externen Services bestehen.
Abhängigkeiten von extern referenzierten Dokumenten können vermieden werden, indem extern referenzierte Dokumente in der Anfrage als Ergänzungsdokumente übergeben werden. Außerdem können bei MOA-SPSS entsprechende Transformationsprofile so konfiguriert werden, dass extern referenzierte Daten (z.B. XSLT-Stylesheets) durch MOA-SPSS lokal vorgehalten werden.
Zertifikate die zur Bildung einer Zertifikzierungskette vom Signaturzertifikat bis zu einer als vertrauenswürdig konfigurierten Zertifizierungsstelle benötigt werden, werden aus dem zu prüfenden Signaturdokument entnommen bzw. in der Regel durch das prüfende Service lokal vorgehalten. MOA-SPSS (und BKU je nach Implementierung) erlaubt je nach Konfiguration auch die Auswertung der Zertifikatserweiterung Authority Information Access um Zertifikate zur Bildung der Zertifizierungskette von externen Quellen zu beziehen. Eine Abhängigkeit zu externen Services besteht hier also nur bei entsprechender Konfiguration und wenn die benötigen Zertifikate (noch) nicht lokal vorgehalten werden.
Widerrufsinformationen zu den Zertifikaten müssen zum Zeitpunkt der Prüfung von den entsprechenden Diensten der Zertifizierungsdiensteanbieter bezogen werden. Zwar ist es bei MOA-SPSS (und BKU je nach Implementierung) möglich die Widerrufsprüfung zu deaktivieren, dies ist jedoch im Allgemeinen nicht empfohlen.
Somit besteht bei der Signaturprüfung im Allgemeinen zumindest eine Abhängigkeit zu den Services zur Bereitstellung von Widerrufsinformationen.
Die folgende Tabelle gibt einen Überblick über die Verteilpunkte für Widerrufsinformationen der Zertifizierungsdiensteanbieter die Zertifikate für die österreichische Bürgerkarte (qualifizierte Zertifikate und Zertifikate für die Verwaltungssignatur) ausstellen bzw. ausgestellt haben[1].
| Zertifizierungsdiensteanbieter | Wiederrufsinformationen | URL |
|---|---|---|
| A-Trust GmbH | OCSP |
|
| CRL |
ldap://ldap.a-trust.at
|
|
| Österreichische Sozialversicherung | OCSP |
http://ocsp.ecard.sozialversicherung.at
|
Beim Erstellen von elektronischen Signaturen nach [BK] bestehen im Vergleich zur Prüfung (vgl. Abschnitt 3, „Signaturerstellung“) nur Abhängigkeiten zu eventuell extern referenzierten Daten (z.B. XSLT-Stylesheets). Diese können jedoch über die Applikationsschnittstelle Bürgerkarte [BK] (BKU) bzw. über die Schnittstelle von MOA-SP/SS [MOA-SPSS] dem prüfenden Service übermittelt werden, sodass keine Abhängigkeiten zu anderen Services bestehen.
Die Anmeldung bei einer Online-Applikation (OA) mit MOA-ID [MOA-ID] erfolgt in den folgenden wesentlichen Schritten (Details siehe [MOA-ID]):
Auswahl der Bürgerkartenumgebung
Zur Auswahl der für die Anmeldung verwendeten Bürgerkartenumgebung wird von MOA-ID eine Webseite aus einem HTML-Template generiert. Die URL zum Abruf dieses HTML-Templates wird in der Konfiguration von MOA-ID angegeben. Die Verfügbarkeit der Webseite zur Auswahl der Bürgerkartenumgebung ist damit Abhängig von der Verfügbarkeit des Servers von dem das HTML-Template von MOA-ID abgerufen werden kann. Das HTML-Template wird je nach Konfiguration entweder von einem zentralen Webserver (
auswahl.buergerkarte.at) oder von einem beliebigen anderen Webserver bezogen.Auslesen der Personenbindung
Zum Auslesen der Personenbindung wird über ein Webformular eine entsprechende Anfrage an die ausgewählte Bürgerkartenumgebung geschickt. Abhängig von der Art der Speicherung der Personenbindung, benötigt die Bürgerkartenumgeung ein XSLT-Stylesheet (Issuer Template) zur Transformation der gespeicherten (komprimierten) Personenbindung. Die URL zum Abruf des Issuer Templates ist in der komprimierten Personenbindung gespeichert und zeigt üblicherweise auf einen Webserver des Zertifizierungsdiensteanbieters, der die Zertifikate für die Bürgerkarte ausgestellt hat. Das Issuer Template kann von der Bürgerkartenumgebung nach erstmaligen Abrauf auch für weitere Transformationen zwischengespeichert werden, sodass das Auslesen der Personenbindung für komprimierte Personenbindungen die das gleiche Issuer Template verwenden unabhängig von der Verfügbarkeit des Webservers des Zertifizierungsdiensteanbieters ist. Die so ausgelesene (und eventuell transformierte) Personenbindung wird von der Bürgerkartenumgebung an MOA-ID geschickt.
Signatur des AUTH-Blocks
Die Personenbindung wird von MOA-ID zum Erstellen des so genannten AUTH-Blocks verwendet, der von MOA-ID nun zum Signieren an die Bürgerkartenumgebung geschickt wird. In der Standardkonfiguration von MOA-ID enthält die Signatur-Anfrage die von MOA-ID an die Bürgerkartenumgebung geschickt wird keine externen Abhängigkeiten. Wird jedoch die Transformationskette in der Signatur-Anfrage so verändert, dass z.B. externe XSTL-Stylesheets referenziert werden, so kann auch bei der Signatur des AUTH-Blocks eine Abhängigkeit zu einem weiteren Service entstehen.
Prüfen der Signatur des AUTH-Blocks
Die von der Bürgerkartenumgebung erstellte Signatur wird zurück an MOA-ID geschickt und von MOA-ID geprüft. Für die Widerrufsprüfung der entsprechenden Zertifikate ist die Verfügbarkeit der Widerrrufsinformationen des Zertifizierungsdiensteanbieters entscheidend.
Erstellen einer SAML-Assertion und Rückgabe eines SAML-Artifacts
Bei erfolgreicher Prüfung wird von MOA-ID eine entsprechende SAML-Assertion erstellt und ein sogenanntes SAML-Artifact an die Online-Applikation übergeben.
Abholen der SAML-Assertion durch die Online-Applikation
Das SAML-Artifact kann von der Online-Applikation nun verwendet werden, um die SAML-Assertion von MOA-ID abzurufen. Dazu muss die Online-Applikation die Möglichkeit zum Zugriff auf das entsprechende Service von MOA-ID besitzen
Die folgende Grafik gibt einen Überblick über die Service-Abhängigkeiten die sich daraus für MOA-ID ergeben.
[BK] Hollosi, A., Karlinger, G.: Die österreichische Bürgerkarte , Bundeskanzleramt, Stabsstelle IKT-Strategie des Bundes, Technik und Standards, März 2005
[1] Die Widerrufsinformationen zu Zertifikaten der A1-Signatur werden hier nicht berücksichtigt, da dieser Dienst zum aktuellen Zeitpunkt bereits eingestellt war.