Amazon Werbebanner

Technische Funktionsweise der Pseudonym-Funktion

Die technische Funktionsweise der Pseudonym-Funktion bzw. Restricted Identification (rID)

Im Rahmen des Einsatzes der Pseudonym-Funktion durch einen Nutzer berechnet der Personalausweis-Chip einen sogenannten Restricted Identifier. Diesen Restricted Identifier berechnet der Chip des Personalausweises auf Basis eines öffentlichen Schlüssels, der im Berechtigungszertifikat des Online-Dienstanbieters hinterlegt ist und einem geheimen Schlüssel der auf dem Personalausweis gespeichert ist.

Der berechnete Wert (auch rID oder auch Pseudonym genannt) wird folgend an den Online-Dienstanbieter übermittelt. Mit Hilfe des Pseudonyms ist es dem Online-Diensteanbieter möglich, den jeweiligen Nutzer bei der nächsten Nutzung seines Online-Angebotes wiederzuerkennen, z. B. bei einem Login-Zugang für ein soziales Netzwerk.

Nutzung verschiedener Terminals eines Dienstanbieter mit einem Pseudonym

Da das berechnete Pseudonym an den Personalausweis-Chip sowie an einen spezifschen Sektor gebunden (aus dem Berechtigungszertifikat des Online-Dienstanbieters) ist, ist es beispielsweise möglich, alle Terminals von einem Dienstanbieter mit einem Pseudonym zu nutzen, da dieses auf Basis eines Berechtigungszertifikates des Dienstanbieters berechnet wird.

Berechnen des Restricted Identifier des Personalausweises bzw. Berechnung des Pseudonyms des Personalausweises

Die Pseudonymerzeugung, also das Berechnen des Restricted Identifier, erfolgt per Restricte-Identification-Protokoll (RI), einem kryptografischen Protokoll des BSI. Das Berechnen des Restricted Identifier (Pseudonyms) geschieht erst nach einer erfolgreichen Terminal- und Chip-Authentisierung.

Die Grundlage des Restricte-Identification-Protokolls ist ein Diffie-Hellman-Schlüsseltausch. Zum Erstellen des Pseudonyms wird der Sector Public Key (öffentlicher Schlüssel) des Diensteanbieters benötigt, der Bestandteil des Berechtigungszertifikats des Online-Dienstanbieters ist. Zur Erstellung des Pseudonyms fließen weiterhin Domainparameter des Online-Dienstanbieters und ein eindeutiger öffentlicher Schlüssel des Personalausweises-Chips ein.

Detaillierte Erläuterung der technischen Funktionsweise der Pseudonym-Funktion

Im ersten Schritt des Protokolls werden der Sector Public Key sowie die Domainparameter an den Chip durch den Terminal gesendet. Dann prüft der Personalausweis-Chip die Gültigkeit des Sector Public Key gegen das vom BSI stammende öffentliche CVCA-Zertifikat, welches auf dem Personalausweis-Chip gespeichert ist. Mit Hilfe der vom Terminal übersendeten Daten sowie dem eindeutigen öffentlichen Schlüssel des Personalausweis-Chips wird ein weiterer neuer Schlüssel erstellt und folgend über diesen ein Hashwert berechnet. Dieser errechnete Hashwert ist das Pseudonym, welches folgend an das Terminal übersendet wird. Das Pseudonym (Restricted Identifier) wird später durch das Terminal gegen eine Sperrliste geprüft. Durch das Bilden des Hashwerts erfolgt eine Anonymisierung der verwendeten Schlüsseldaten. Auf diese Weise wird sichergestellt, dass aus den Pseudonymen beispielsweise keine Bewegungsprofile erstellbar sind.

Abbildung:Schematische Darstellug der Erzeugung des dienste- und kartenspezifischen Merkmals die auch als rID, restricted identifier, Pseodinym-Funktion) bzw. Pseudonym bezeichnet wird (Quelle: eigene Darstellung)
Abbildung:Schematische Darstellug der Erzeugung des dienste- und kartenspezifischen Merkmals die auch als rID, restricted identifier, Pseodinym-Funktion) bzw. Pseudonym bezeichnet wird (Quelle: eigene Darstellung)

Abbildung:Schematische Darstellug der Erzeugung des dienste- und kartenspezifischen Merkmals die auch als rID, restricted identifier, Pseodinym-Funktion) bzw. Pseudonym bezeichnet wird (Quelle: eigene Darstellung)

Wichtig

Im Zusammenhang mit der Pseudonym-Funktion des Personalausweises werden verschiedenen Begriffe verwendet, wie z. B.

  • Pseudonym
  • dienste- und kartenspezifisches Merkmal
  • Restricted Identifier (rID) oder
  • sektorspezifische Kennung

Alle Begriffe bezeichnen das Pseudonym.