SuisseID: Version 1 der technischen Spezifikation

Mischa Sameli, Geschäftsführer & Leiter Entwicklung

Gestern wurde ein weiterer Entwurf der technischen Spezifikationen der SuisseID freigegeben. Das Dokument der Arbeitsgruppe SuisseID des Staatssekretariat für Wirtschaft SECO hat nun die Version 1.0 erreicht und ist im Vergleich zum letzten Vorentwurf im Umfang stark gewachsen.

Die SuisseID-Spezifikation bildet die Grundlage für standardisierte Zertifikatsprodukte, die von den Anbietern von ZertES-konformen Signatur-Zertifikaten angeboten werden können. SuisseID-konforme Produkte erweitern die bisher erhältlichen Karten mit Signaturzertifikat gemäss ZertES mit einem zusätzlichen, standardisierten Authentisierungszertifikat. Damit können öffentliche und private Dienstanbieter (Service Provider) ihre Benutzer sicher authentifizieren. Andererseits sollen sich Anwender mit Hilfe einer SuisseID bei einer möglichst breiten Palette von staatlichen und privaten Anwendungen sicher authentisieren, das heisst ihre elektronische Identität sicher nachweisen, können.
In einer ersten Näherung ist die SuisseID

  • ein Zertifikatsträger mit einem Signaturzertifikat gemäss ZertES (QC);
  • mit zusätzlich einem standardisierten Authentisierungszertifikat (IAC);
  • mit einer eindeutigen SuisseID-Nummer, sowie;
  • dem SuisseID Identity Provider Service (IdP) gemäss der ausgearbeiteten Spezifikation.
  • Die SuisseID ist von einer nach ZertES anerkannten Anbieterin von Zertifizierungsdiensten (CSP) bereitzustellen, die sich den Anforderungen von SuisseID unterstellt.

Einsatzgebiete der SuisseID

Es gibt drei typische Einsatzszenarien für die SuisseID:

  1. Ausschliessliche Verwendung der Zertifikate – Die SuisseID Zertifikate werden so eingesetzt, wie das heutige Zertifikatsanwendungen bereits tun, zum Beispiel in einem SSO-Portal oder zu Signaturzwecken;
  2. Verwendung der Zertifikate unter zusätzlicher Benutzung des SuisseID-Identity Provider Services (IdP) – Der SuisseID IdP Service ist eine Dienstleistung der CSPs, mit der die Zertifikatsinhaber weitere identifizierende Daten – insbesondere solche, die nicht in den Zertifikaten selber gespeichert sind – in vertrauenswürdiger Art und Weise an Dritte (vor allem Anwendungen) herausgeben können. Die Herausgabe erfolgt stets auf Initiative und unter der alleinigen Kontrolle des Zertifikatsinhabers;
  3. Verwendung der Zertifikate unter zusätzlicher Benutzung weiterer, externer Bestätigungs-Anbietern – Mit einem ähnlichen Verfahren können Zertifikatsinhaber nicht nur identifizierende Daten über sich herausgeben, sondern auch solche, die Angaben über die Zugehörigkeit zu einer Unternehmung oder über die berufliche Qualifikation enthalten. Diese zusätzlichen Bestätigungen werden von speziellen Anbietern erbracht, die entsprechende Verzeichnisse und Register führen. Auch hier gilt, dass die Herausgabe allein in der Kontrolle des Zertifikatsinhabers liegt.

Jeder der drei vorgenannten Verwendungsmöglichkeiten lässt sich sowohl mit dem Authentisierungs-Zertifikat als auch mit dem Signatur-Zertifikat durchführen.
Die aktuellen Spezifikationen beschreiben die technischen und organisatorischen Anforderungen an das Gesamtsystem SuisseID. Zertifizierungsdienste-Anbieter sind gehalten, diese Anforderungen zu berücksichtigen, um ihr Produkte unter dem Label «SuisseID» vertreiben zu dürfen.

CashBack für Endkunden

Die im dritten Stabilisierungsprogramm beschlossene staatliche Förderaktion im Jahr 2010 gibt dem Käufer eines SuisseID-konformen Produkts Anspruch auf Rückerstattung eines bestimmten Betrags, den er oder sie über das SuisseID-CashBack-Portal geltend machen kann.