Die österreichische Bürgerkarte - Standardisierte Key- und Infoboxen
Logo BKA Open Interfaces
für das E-Government
Logo A-SIT

Die österreichische Bürgerkarte

Standardisierte Key- und Infoboxen


Dokumenteninformation

Bezeichnung

Standardisierte Key- und Infoboxen der österreichischen Bürgerkarte

Kurzbezeichnung

Standardisierte Key- und Infoboxen

Version

1.2.1

Datum

01. 03. 2005

Dokumentklasse

Konvention

Dokumentstadium

Empfehlung

Kurzbeschreibung

Das vorliegende Dokument spezifiziert die jedenfalls verwendbaren Key- bzw. Infoboxen der österreichischen Bürgerkarte.

Autoren

Arno Hollosi
Gregor Karlinger

Arbeitsgruppe

Bundeskanzleramt, Stabsstelle IKT-Strategie des Bundes, Technik und Standards

©

Diese Spezifikation wird von A-SIT und dem Bundeskanzleramt zur Verfügung gestellt. Die Verwendung ohne Modifikation ist unter Bezugnahme auf diese Copyright-Notiz zulässig. Eine Erweiterung der Spezifikation ist erlaubt, jedoch muss dies eindeutig gekennzeichnet sein, und es muss die erweiterte Spezifikation frei zur Verfügung gestellt werden.


Inhalt

  1. Allgemeines
    1. Namenskonventionen
  2. Keyboxen
    1. Keybox für elektronische Signaturen
    2. Keybox für elektronische Signatur und Verschlüsselung
  3. Infoboxen
    1. Infobox für Zertifikate
    2. Infobox für die Personenbindung
    3. Infobox für Vollmachten

1 Allgemeines

1.1 Namenskonventionen

Zur besseren Lesbarkeit wurde in diesem Dokument auf geschlechtsneutrale Formulierungen verzichtet. Die verwendeten Formulierungen richten sich jedoch ausdrücklich an beide Geschlechter.

Folgende Namenraum-Präfixe werden in dieser Spezifikation zur Kennzeichnung der Namenräume von XML-Elementen verwendet:

Präfix
Namenraum
Erläuterung
sl http://www.buergerkarte.at/namespaces/securitylayer/1.2# Elemente der Schnittstellenspezifikation
pr http://reference.e-government.gv.at/namespace/persondata/20020228# Elemente aus [PersonData]

2. Keyboxen

Dieser Abschnitt spezifiziert jene Keyboxen, welche die Bürgerkarten-Umgebung über die Applikationsschnittstelle Security-Layer zur Verfügung stellen muss. Neben diesen obligaten Keyboxen darf eine Bürgerkarten-Umgebung beliebige weitere Keyboxen für Signatur und/oder Verschlüsselung zur Verfügung stellen.

2.1 Keybox für elektronische Signaturen

Die Bürgerkarten-Umgebung muss eine Keybox mit dem Namen SecureSignatureKeypair zur Verfügung stellen.

Diese Keybox muss zur Erstellung von Signaturen und darf zur Durchführung von Entschlüsselungen geeignet sein. Eine Applikation muss die tatsächlichen Eignungen von der Bürgerkarten-Umgebung mit Hilfe des Befehls GetProperties ermitteln können.

Bietet eine Bürgerkarten-Umgebung eine sichere Signatur nach [SigG] bzw. eine nach [E-GovG] damit befristet gleichgestellte Verwaltungssignatur an, so muss diese besonders qualifizierte Signatur über die Keybox SecureSignatureKeypair zur Verfügung gestellt werden.

2.2 Keybox für elektronische Signatur und Verschlüsselung

Die Bürgerkarten-Umgebung muss eine Keybox mit dem Namen CertifiedKeypair zur Verfügung stellen.

Diese Keybox muss sowohl zur Erstellung von Signaturen als auch zur Durchführung von Entschlüsselungen geeignet sein.

3 Infoboxen

Dieser Abschnitt spezifiziert jene Infoboxen, die von der Bürgerkarten-Umgebung verpflichtend zu implementieren sind. Es sind dies Infoboxen zur Speicherung von Zertifikaten, der Personenbindung sowie von Vollmachten des Bürgers.

3.1 Infobox für Zertifikate

Diese Infobox enthält Zertifikate, die mit den Signaturschlüsseln des Bürgers zusammenhängen. Jedenfalls enthalten sein müssen (entsprechende Initialisierung der Bürgerkarte vorausgesetzt) die Zertifikate zu den beiden auf der Bürgerkarte standardmässig vorhandenen Signaturschlüsseln.

Die zu verwendenen Schlüsselbegriffe für den Abruf dieser beiden Zertifikate aus der Infobox entsprechen den Keybox-Bezeichnern aus Abschnitt 2 (SecureSignatureKeypair bzw CertifiedKeypair).

Darüber hinaus können in dieser Infobox weitere Zertifikate (wie etwa Zertifikate zu weiteren Signaturschlüsseln oder Zertifikate des Zertifizierungspfades zu einem Signaturschlüssel) abgelegt werden.

3.1.1 Bezeichner der Infobox

Diese Infobox trägt den Bezeichner Certificates. Dieser Bezeichner wird von der Applikation zur Selektion der Infobox bei Lese- und Update-Zugriffen verwendet.

3.1.2 Typ der Infobox

Diese Infobox hat den Typ Assoziatives Array. Für die damit verbundenen möglichen Lese- und Update-Zugriffe siehe Applikationsschnittstelle Security-Layer, Abschnitt 7.

3.1.3 Boxspezifische Parameter

3.1.3.1 Lese-Parameter

Für diese Infobox sind keine boxspezifischen Lese-Parameter festgelegt.

3.1.3.2 Update-Parameter

Für diese Infobox sind keine boxspezifischen Update-Parameter festgelegt.

3.2 Infobox für die Personenbindung

Diese Infobox enthält die Personenbindung des Bürgers. Dies ist jener von der Stammzahlenregisterbehörde elektronisch signierte Datensatz, der die Stammzahl des Bürgers an die Zertifikate der Signaturschlüssel des Bürgers bindet.

Anmerkung: Für die Spezifikation der Personenbindung siehe [PersBin].

3.2.1 Bezeichner der Infobox

Diese Infobox trägt den Bezeichner IdentityLink. Dieser Bezeichner wird von der Applikation zur Selektion der Infobox bei Lese- und Update-Zugriffen verwendet.

3.2.2 Typ der Infobox

Diese Infobox hat den Typ Binärdatei. Für die damit verbundenen möglichen Lese- und Update-Zugriffe siehe Applikationsschnittstelle Security-Layer, Abschnitt 7.

3.2.3 Boxspezifische Parameter

3.2.3.1 Lese-Parameter

Nach den Bestimmungen des § 14 [E-GovG] darf ein Auftraggeber des privaten Bereichs zur Identifikation des Bürgers ein aus der Stammzahl abgeleitetes wirtschaftsbereichspezifische Personenkennzeichen (wbPK) verwenden. Entsprechend den Bestimmungen des § 12 (1) lit. 4 [E-GovG] darf jedoch die Berechnung dieses abgeleiteten Kennzeichens nicht durch den Auftraggeber des privaten Bereichs selbst vorgenommen werden.

Die Bürgerkarten-Umgebung stellt daher diese Berechnung implizit über einen parametrisierten Lesezugriff auf die Infobox der Personenbindung zur Verfügung: Wird die zur Ableitung des wbPK notwendige Bereichskennung als boxspezifischer Parameter in der Anfrage zum Auslesen der Personenbindung übergeben, liefert die Bürgerkarten-Umgebung eine modifizierte Personenbindung zurück: Die ursprünglich darin kodierte Stammzahl wird ersetzt durch das aus der Bereichskennung und der Stammzahl abgeleitete wbPK. Wird kein boxspezifischer Parmeter angegeben, liefert die Bürgerkarten-Umgebung die originale Personenbindung zurück.

Die Bereichskennung wird gegebenenfalls wie folgt als boxspezifischer Lese-Parameter angegeben: Im Container für boxspezifische Lese-Parameter (sl:BoxSpecificParameters) wird ein einziges Element sl:IdentityLinkDomainIdentifier übergeben. Dieses Element enthält als URI die Bereichskennung für die Bildung des aus der Stammzahl abgeleiteten wbPK. Für die genaue Spezifikation der Bereichskennung siehe [Stammzahl], Abschnitt "Ermittlung des Wirtschafts-bPK". Die formale Definition des Elements sl:IdentityLinkDomainIdentifier befindet sich im XML-Schema zur Schnittstellenspezifikation.

Die Modifikation der Personenbindung ist gegebenenfalls wie folgt durch die Bürgerkarten-Umgebung vorzunehmen: Anstatt der Stammzahl wird in die Personendaten der Personenbindung (vergleiche [PersBin], Abschnitt 2.2.1.1) das aus Stammzahl und Bereichskennung abgeleitete wbPK eingesezt: Das Element pr:Type erhält als neuen Wert den Inhalt des übergebenen boxspezifischen Leseparameters sl:IdentityLinkDomainIdentifier, das Element pr:Value erhält als neuen Wert das nach [Stammzahl], Abschnitt "Ermittlung des Wirtschafts-bPK" gebildete wbPK in base64-kodierter Form.

3.2.3.2 Update-Parameter

Für diese Infobox sind keine boxspezifischen Update-Parameter festgelegt.

3.3 Infobox für Vollmachten

Diese Infobox enthält Vollmachten des Bürgers. Eine Vollmacht ist die Delegation von Rechten des Vollmachtgebers an den/die Vollmachtnehmer. Vereinfacht dargestellt enthält die Vollmacht durch den Vollmachtgeber signierte Informationen über ihn, den Vollmachtnehmer sowie den Vollmachtszweck.

3.3.1 Bezeichner der Infobox

Diese Infobox trägt den Bezeichner Mandates. Dieser Bezeichner wird von der Applikation zur Selektion der Infobox bei Lese- und Update-Zugriffen verwendet.

3.3.2 Typ der Infobox

Diese Infobox hat den Typ Assoziatives Array. Für die damit verbundenen möglichen Lese- und Update-Zugriffe siehe Applikationsschnittstelle Security-Layer, Abschnitt 7.

3.3.3 Boxspezifische Parameter

3.3.3.1 Lese-Parameter

Aus den bereits im Abschnitt 3.2.3.1 dargelegten Gründen wird die Berechnung des wirtschaftsbereichspezifischen Personenkennzeichens (wbPK) auch im Rahmen eines Lesezugriffs auf Werte im Assoziativen Array Mandates (also auf Vollmachten) implizit zur Verfügung gestellt: Wird die zur Ableitung des wbPK notwendige Bereichskennung als boxspezifischer Parameter in der Anfrage zum Lesen von Schlüsseln und Werten bzw. zum Lesen des Werts zu einem Schlüssel (vergleiche Schnittstellenspezifikation, Abschnitt 7.1.2) übergeben, liefert die Bürgerkarten-Umgebung die Vollmachten bzw. die Vollmacht in modifizierter Form zurück: Die ursprünglich darin kodierten Stammzahlen von Machthaber und Machtnehmer werden ersetzt durch die jeweils aus der Bereichskennung und der Stammzahl abgeleitete wbPK. Wird kein boxspezifischer Parmeter angegeben, liefert die Bürgerkarten-Umgebung die Vollmachten bzw. die Vollmacht unmodifiziert zurück.

Die Bereichskennung wird gegebenenfalls wie folgt als boxspezifischer Lese-Parameter angegeben: Im Container für boxspezifische Lese-Parameter (sl:BoxSpecificParameters) wird ein einziges Element sl:IdentityLinkDomainIdentifier übergeben. Dieses Element enthält als URI die Bereichskennung für die Bildung des aus der Stammzahl abgeleiteten wbPK. Für die genaue Spezifikation der Bereichskennung siehe [Stammzahl], Abschnitt "Ermittlung des Wirtschafts-bPK". Die formale Definition des Elements sl:IdentityLinkDomainIdentifier befindet sich im XML-Schema zur Schnittstellenspezifikation.

[TBD]: Genaue Ausführungen über die exakte Modifikation der Vollmacht, Verweis auf das Spezifikationspapier zu den Vollmachten.

3.3.3.2 Update-Parameter

Für diese Infobox sind keine boxspezifischen Update-Parameter festgelegt.

4 Referenzen

E-GovG
BGBl. I Nr. 10/2004.
PersBin
Hollosi, Arno und Karlinger, Gregor: XML-Definition der Personenbindung. Konvention zum E-Government Austria erarbeitet von der Stabsstelle IKT-Strategie des Bundes, Technik und Standards. Öffentlicher Entwurf, Version 1.2.2, 14. Februar 2005. Abgerufen aus dem World Wide Web am 01. 03. 2005 unter http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/.
PersonData
Naber, Larissa: PersonData Struktur - XML Spezifikation. Konvention zum E-Government Austria erarbeitet von der Arbeitsgruppe Kommunikationsarchitekturen. Öffentlicher Entwurf, Version 2.0.0, 14. Oktober 2004. Abgerufen aus dem World Wide Web am 01. 03. 2005 unter http://reference.e-government.gv.at/XML-Strukturen_fuer_Personenda.614.0.html.
SigG
BGBl I Nr. 190/1999 idF BGBl I Nr. 152/2001.
Stammzahl
Hollosi, Arno und Hörbe, Rainer: Bildung von Stammzahl und bereichsspezifischem Personenkennzeichen (bPK). Konvention zum E-Government Austria erarbeitet von der Stabsstelle IKT-Strategie des Bundes, Technik und Standards sowie vom Bundesminsterium für Inneres. Öffentlicher Entwurf, Version 1.0, 2. Februar 2004. Abgerufen aus dem World Wide Web am 14. 05. 2004 unter http://www.cio.gv.at/it-infrastructure/sz-bpk/Stammzahl-bPK-Algorithmen-20040202.pdf.

5 Historie

Datum Version Änderungen
01. 03. 2005 1.2.1
  • Erratum #25 korrigiert.
14. 05. 2004 1.2.0
  • Erläuterungen zu den Keyboxen überarbeitet.
  • Spezifikation der boxspezifischen Parameter für die standardisierten Infoboxen eingefügt..
31. 08. 2002 1.1.0
  • Diverse editoriale Verbesserungen.