Die monatlich erscheinende Blogserie „das kleine 1×1 der sicheren digitalen Identitäten“ präsentiert Themenschwerpunkte rund um die Erzeugung, Verwaltung und den Einsatz digitaler Identitäten. Im Fokus diesen Monat: Trusted Service Management Systems (TSMS), wie sie funktionieren und wie sie im Umfeld digitaler Identitäten zum Einsatz kommen könnten.
- Um dem Koordinierungsproblem und den Interessenkonflikten der Marktakteure, die auch im Bereich digitaler Identitäten auftreten, zu begegnen (vgl. Punkt 30) wird in der Industrie und auch vom BSI die Einrichtung eines Trusted Service Management Systems (TSMS) diskutiert.
- In diesem System dienen ein oder mehrere Trusted Service Manager (TSMs) als zentrale Anlaufstelle für Service ProviderService Provider Kurzdefinition: Ein Service Provider (SP) i… More und Herausgeber von SEs.
- Als vertrauenswürdiger Geschäftspartner eines Herausgebers eines SE handelt ein TSM den Zugriff auf das SE aus und verwaltet die notwendigen Zugriffsrechte, die mit dem Herausgeber des SE vertraglich vereinbart wurden. Als vertrauenswürdiger Geschäftspartner der Service ProviderService Provider Kurzdefinition: Ein Service Provider (SP) i… More ist der TSM andererseits für die Bereitstellung der sicheren Anwendung des SP auf dem SE auf den mobilen Geräten der Kunden des Service Providers (SP) verantwortlich. Der TSM kann einem SP eine einheitliche Schnittstelle anbieten, unabhängig davon, welches Formformat eines SE im Mobilgerät zum Einsatz kommt.
- Damit TSMS für das Umfeld der sicheren digitalen Identitäten genutzt werden kann, müsste dieses und seine entsprechenden Systemkomponenten standardisiert werden und hohen Sicherheitsanforderungen unterliegen. Für die Konformität mit der TSMS-Infrastruktur muss das Smartphone mindestens ein SE bereitstellen, das vom TSM unterstützt wird.
- Folgende Komponenten werden in einem TSMS betrachtet:
- Der Service ProviderService Provider Kurzdefinition: Ein Service Provider (SP) i… More (SP) stellt die SP-App, das entsprechende Backend und die sichere Anwendung (d.h. das Applet, das im SE gehostet werden soll) für den Dienst bereit und verwaltet diese.
- Für die Installation des Applets auf dem SE des mobilen Geräts schließt der SP einen Vertrag mit dem TSM ab.
- Der TSM unterhält Verträge mit dem Herausgeber des SE, um Zugang zum SE auf dem Mobilgerät zu erhalten 2.
- Auf Anforderung der SP-App wird über die TSM-APITSM-API Kurzdefinition: Die TSM-API ist eine Applikation bzw… More die Provisionierung der sicheren Anwendung des SP ausgelöst.
- Die TSM prüft zunächst die Berechtigung des SE, installiert und initialisiert dann das Applet auf dem SE.
- Die Personalisierung der SP-App und der sicheren Anwendung (Applet) erfolgt ausschließlich über Prozesse, die vom Smartphone bereitgestellt werden, ohne weitere Beteiligung der TSM-APITSM-API Kurzdefinition: Die TSM-API ist eine Applikation bzw… More.
- Wenn die installierte sichere Anwendung ein Update benötigt oder gelöscht werden soll, werden die entsprechenden Prozesse von der SP-App über die TSM-APITSM-API Kurzdefinition: Die TSM-API ist eine Applikation bzw… More angestoßen, woraufhin der TSM die angeforderten Dienste ausführt
- Es ist zu beachten, dass ähnliche Konzepte im Bereich des mobilen Bezahlens gescheitert sind, da die Marktteilnehmer untereinander keine Einigung erzielen konnten. Ggf. muss also hier eine staatliche oder europäische neutrale Instanz den Einigungsprozess vorantreiben.
- Grundsätzlich lassen sich die genannten Konzepte auch auf für TEEs betrachten. Allerdings ist damit ein niedrigeres Schutzniveau verbunden (s. Punkt 40 und 43). Zudem bestehen bei TEEs weniger komplexe Marktbeziehungen, da hier z.B. MNOs keinen direkten Einfluss haben müssen.
Im kommenden Monat erklären wir die Rollen der unterschiedlichen Akteure im SDI-Ökosystem und untersuchen aktuelle Ansätze zur Erzeugung, Verwaltung und dem Einsatz digitaler Identitäten.