Ich gestehe. Ich hab es gewagt. Nach jahrelangem Hinauszögern, hab ich mich nun doch hindurch gerungen meine e-Card als „Bürgerkarte“ aufzurüsten. Vollmundig wirbt dort – ja wer eigentlich? – von über 100 Anwendungen. Da muss doch auch was für mich dabei sein. Und tatsächlich, angefangen hat nämlich alles ganz anders…
Da wird doch von der Regierung per 1. Jänner 2011 im Zuge der jährlichen Reform unseres Pensionssystems schlicht die Gebühr zur Nachzahlung der Schul- und Studienzeiten nahezu angehoben. Glaubt man den Medien, sollte es reichen den Antrag zu stelle, was gemäß PVA mit der Bürgerkarte am einfachsten möglich sein soll.
Der Weg ist das Ziel
Soweit so gut. War früher die Erstellung einer Bürgerkarte kostenpflichtig, so ist durch Einführung der e-Card nicht mehr der Fall. Diese kann schnell, einfach und kostenlos als Bürgerkarte sozusagen aufgerüstet werden. Die oben genannte Internetseite informiert recht ausführlich über die Voraussetzungen:
- Österreichische e-Card
- Kartenlesegerät
- Software (Bürgerkartenumgebung BKU)
- Aktivierung
Punkt 1 sollte jedermann mittlerweile zu Hause haben. Wie ich im Laufe meiner Recherchen feststellte, gibt es bereits die dritte Generation der e-Card (erkennbar an der Braille Stanzung des SV Logos) welche nicht mehr mit jeder noch benötigter BKU zusammenarbeitet. Dafür kann man damit auch private Emails signieren.
Ebenso gibt es verschiedene Kartenlesegeräte, einige davon sogar mitfinanziert von der PVA und daher besonders günstig. Je nach Ausstattung und Klassifikation gibt es verschiedene Modelle. Um den Nagel auf den Kopf zu treffen entschied ich mich für ein Modell mit Tastatur und Display von Gemalto.
Ein Lesegerät mit Tastatur und Display sollte eigentlich ohne Software fähig sein, eine SmartCard mittels PIN Eingabe zu öffnen. Damit wären klassischen Keyboard Loggern der Zugriff auf die Karten PINs unmöglich, ein eventueller Firmware Hack wäre von Nöten um die Kommunikation zwischen Karte und Leser abzuhören.
Übrigens gibt es eine ähnliche Debatte über Phishing Attacken auch in Deutschland mit dem ePerso.
Wie sich später herausstellte, sollte man sehr bedächtig wählen, denn auch hier gilt: nicht jede BKU arbeitet mit jedem Modell zusammen.
Zuguterletzt gilt es noch die BKU Software auszuwählen und zu installieren. Ich entschied mich gleich mal für „MOCCA“, da dies auch auf der Bürgerkarten Internetseite vorgeschlagen wird und vollkommen kostenlos sein soll.
Installation Kartenleser
Nachdem ich meinen Leser wie empfohlen über cryptoshop.com bestellt und per Post zugestellt bekam war ich doch etwas verwundert über die spartanische Ausstattung: kein Handbuch, keine CD nur eine Schachtel mit aufgedruckter Kurzbeschreibung und dem Terminal samt USB Kabel.
Die Hardware wird von Windows anstandslos erkannt, trotzdem ist es ratsam von der Gemalto Homepage das aktuelle Treiberpaket – auch als 64 Bit Variante vorhanden – zu installieren.
Beim Einstecken der e-Card dann die Überraschung: Windows versucht einen Treiber für die Smartcard zu installieren und schlägt fehl. Nach langer Forensucherei ist des Rätsel’s Lösung gefunden: Windows beinhaltet ab Vista einen Smartcard Plug&Play Dienst der beim Einlegen einer SC in den Leser versucht diese zu installieren. Für die Bürgerkarte ist das aber nicht notwendig und auch nicht möglich. Um sich das nervige Prozedere zu ersparen kann man den SC P&P Dienst deaktivieren.
Zum Deaktivieren des Smartcard Plug&Play Dienstes muss der Gruppenrichtlinieneditor verwendet werden. Dieser kann durch Eingabe von
gpedit.mscin der Konsole gestartet werden. Den zu deaktivierenden Dienst findet man unterComputerkonfiguration > Amdinistrative Vorlagen > Windows Komponenten > Smartcard. Den PunktSmartcard-Plug & Play-Dienst aktivierenanwählen und deaktivieren. Nach einem Systemneustart sollte der Dienst nicht mehr laufen und das Einfügen einer SC in de Leser keine Treiberinstallation mehr bewirken.
Als letzter Punkt ist noch der CT-API Treiber zu installieren, welcher sich auf der Gemalto Tools Seite befindet. Dieser ermöglicht der BKU Software den Zugriff auf Tastatur und Display des Kartenlesers.
Installation der BKU
Um die Bürgerkarte als solche zu benutzen ist noch die Installation der sogenannten „Bürgerkartenumgebung“, kurz BKU, notwendig. Die BKU stellt die softwareseitige Implementierung des Standards (und Gesetzes) für die sichere Signatur dar und ist daher obligatorisch.
Es gibt (leider) verschiedenste Hersteller von BKU Software, einen Überblick gibt der Downloadbereich der Bürgerkarten Infoseite. Je nach Hersteller bieten die einzelnen BKU Umsetzungen unterschiedliche Funktionen, allen gemeinsam sind sehr vage Produktspezifikationen, weshalb letztendlich oft nur das Ausprobieren weiter hilft.
Unterschiede ergeben sich vor allem in der Betriebssystemanforderung, der Unterstützung der Kartenlesermodelle sowie dem Preismodell.
MOCCA
Diese Software wird vom „E-Government Innovationszentrum“ (BKA / TU Graz) kostenlos zur Verfügung gestellt. Aufgrund der Java Implementierung ist sie auf allen gängigen Plattformen lauffähig, auch eine webseitige Applet Version ist verfügbar.
Tipp:
Wenn man MOCCA lokal installiert erhält man beim Start vielleicht die Fehlermeldung „Eingangsbildschirm: Fehler recv“. Dieser Fehler hat nichts mit MOCCA selbst zu tun. Vielmehr wird durch eine lokale Firewall (z.B. Commodo) das Java Webservice daran gehindert, einen Receiver Thread zu starten. Abhilfe schafft, wenn man die Dateijavaws.exeim Windows Stammverzeichnis (z.B.C:\Windows\SysWOW64für die 64 Bit Version) als vertrauenswürdige Datei deklariert. Für Commodo funktioniert das wie hier beschrieben – allerdings war dies bei mir erst nach Systemreboot wirksam.
Aktivierung der e-Card
Bevor man die e-Card als Bürgerkarte verwenden kann, steht noch der Aktivierungsprozess bevor. Dieser ist notwendig um das personalisierte Zertifikat bei a-Trust am Server zu erzeugen und auf die e-Card zu übertragen. Mehr zu dem Thema findet sich auf der Infoseite.
Da meine Steuererklärungen schon länger über Finanzonline abgewickelt werden, wählte ich diesen Prozess aus um die Aktivierung durchzuführen.
Dabei ergibt sich ein interessantes Paradoxon: Um zur sicheren Signatur zu gelangen, werde ich einen als unsicher definierten Prozess verwenden, die Authentifizierung mittels Username und Passwort – wobei letzteres bei Finanzonline aus welchem Grund auch immer zweifach vorhanden ist.
Tja die Standard Unix Login Methode (Un/Pw) wird auch noch im 21. Jhdt. auf allen großen Systemen verwendet, warum wohl…
Gleich nach dem Login gibt es dazu einen großen Button zum Aktivieren der Bürgerkarte. Dazu wird ein verlang, ein alphanumerisches Wiederrufspasswort zu definieren (Sonderzeichen sind nicht erlaubt). Zur Wahl von sicheren Passwörtern empfehle ich diesen Artikel. Spätestens jetzt sollte man sich einen Passwortsafe anlegen…
Danach wird ein temporärer Hash erzeugt, der nach einem weiteren Klick an a-Trust übermittelt wird. Auf deren Seite darf man das zuvor angegeben Passwort, eine Emailadresse sowie seine PLZ nochmals eintippen. Erst danach sollte die Aktivierung durchgeführt werden. Dabei kam es bei mir leider immer wieder zu Problemen, weil die Seite endlos geladen wurde (was übrigens nicht an den Cookies lag).
Sobald man per Redirect auf der a-Trust Seite landet wird sich der Browser über einen unsicheren Zugriff beschweren. Dies liegt daran, dass a-Trust als ausgebende Stelle für das SSL Zertifikat – welches für den verschlüsselten Webzugriff notwendig ist – nicht anerkannt ist. Peinlich genug, durch manuelle Akzeptanz wird auch das Problem gelöst und die a-Trust Seite angezeigt.
Zum Glück kann die Aktivierung der e-Card beliebig oft durchgeführt werden, wenn der Vorgang nicht klappt.
Aufgrund zahlreicher Fehlschläge bei der Aktivierung der Karte mit MOCCA, entschloss ich mich eine andere BKU Software zu verwenden.
a.sign
Als a.sign bezeichnet a-Trust seine BKU Implementierung. Offiziell unterstützt diese Software den Gemalto Kartenleser nicht, über die PC/SC Schnittstelle wurde der Leser dennoch erkannt. Tastatur und Display werden aber nicht angesteuert.
Wie auch immer, der Aktivierungsvorgang mit dieser BKU gelang gleich recht flott – kein Wunder muss hier die a-Trust Seite mit der a-Trust eigenen BKU zusammenarbeiten. Nachdem die notwendige Information auf der Karte gespeichert wurde, muss noch ein Geheimhaltungs- sowie ein Sigantur PIN festgelegt werden.
Dies klappte online leider nicht, so wurde die lokale BKU bemüßigt. Interessanter Weise verlangte diese die alten Werte bevor man neue PINs setzen konnte. Erst durch Studium des Forums wird man erleuchtet: Wenn noch kein PIN gesetzt wurde, muss im Feld für den alten Wert 1234 im Falle des Geheimhaltungs PINs bzw. 123456 für die Signatur PIN eingegeben werden. Kein Wort davon im Handbuch…
Das war’s. Die Bürgerkarte kann nun benutzt werden! War doch einfach, oder…
trust Desk basic
Der dritte im Bunde. Unterstützt derzeit keine G3 e-Cards, dafür aber mittels CT-API die Tastatur und das Display des Kartenlesers. Dazu muss im Konfigurationsmenü der Pfad zur Datei CTGmplus.dll angegeben werden, welche sich im Windows Stammverzeichnis befindet.
Ansonsten lief das Programm einwandfrei und ist in dieser Version auch kostenlos.
Fazit
Es gibt noch viel zu tun. Man merkt sehr schnell, dass es sich um einen kleinen Kreis von Institutionen und Firmen rund um die Bürgerkarte und den staatlichen CIO handelt. Angesichts des mageren Verbreitungsgrades auch kein Wunder, so vermitteln viele Softwarepakete einen sehr unausgereiften Eindruck, als wäre deren Entwicklung vor einigen Jahren ins Stocken geraten. Offenbar hat sich der Businesscase nicht realisiert, was wiederum auf eine kolportierte Aktivierungsanzahl im niedrigen fünfstelligen Bereich zurückzuführen sei.
Dennoch, der Amtsschimmel verlangt bei vielen Onlineservices leider die Bürgerkarte, oder ein persönliches Erscheinen ihm Rahmen des Parteienverkehrs. Es obliegt jedem selbst zu entscheiden, was die geringer Hürde darstellt.