Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:services:it_security:pki:videoident [2020/04/30 15:00] – Seite benannt thinderde:services:it_security:pki:videoident [2023/09/18 15:20] (aktuell) – [Voraussetzungen] thinder
Zeile 1: Zeile 1:
 +====== Video-Identifizierung ======
 +
 +===== Voraussetzungen =====
 +Somit können die MPG-, Uni-Göttingen- und GWDG-CA (Zertifizierungs-Autoritäten, engl. Certificate Authority, kurz CA) sowie deren RAs (Registrierungs-Autoritäten, engl. Registration Authority, kurz RA) in Zeiten der Corona-Pandemie die persönliche Identifizierung von Antragstellern von Nutzerzertifikaten durchführen. Das ganze im Sinne der sozialen Distanzierung per Video-Chat oder -Konferenzsystem.
 +Voraussetzung ist, dass die RA-Operatoren, im neuen Sprachgebrauch des DFN Teilnehmerservice Mitarbeite, kurz TS MA), sich selbst geschult haben. Dies ist entsprechend zu dokumentieren. 
 +
 +Weiterhin sollten sich die TS MA im DFN-Conf ([[https://www.conf.dfn.de]]) einen Meetingraum anlegen um eine mögliche Video-Identifizierung mit einem Zertifikatnehmer durchführen zu können. Darüber hinaus können Video-Chat oder -Konferenzsysteme, die innerhalb der Einrichtung dienstlich bereitgestellt werden, zum Einsatz kommen. Weitere Details siehe Richtlinie "Video-Identifizierung in der DFN-PKI".
 +
 +Die benötigten Informationen in Form von PDF-Dateien und einem Schulungsvideo finden Sie unter https://www.pki.dfn.de/policies/videoident/
 +
 +
 +===== Durchführung =====
 +Wenn ein Video-Identifizierung durchgeführt werden soll, muss als erstes der vom Zertifikatnehmer nach der Beantragung des Zertifikats ausgedruckte Antrags-PDF-Datei unterschrieben werden und dem TS MA zugesendet werden. Hat der TS MA dieses Formular erhalten, nimmt dieser Kontakt auf, fragt mit welchem Ausweis-Dokument sich der Zertifikatnehmer identifizieren möchte und vereinbart dann einen Termin für das Video-Identifizierung mit dem Zertifikatnehmer. Praktischerweise enthält der angelegte Meetingraum Textvorlagen in Deutsch und in Englisch mit Informationen, wie der Zertifikatnehmer dieser Video-Identifizierung beigetreten werden kann. 
 +
 +
 +Wenn diese Identifizierung per DFN-Conf zustande kommt, sollte sich sowohl der TS MA als auch der Zertifikatnehmer jeweils alleine in einem möglichst geschlossenen Raum befinden. Der Identifizierungs-Vorgang muss dann in einem Stück durchgeführt werden und darf nicht unterbrochen werden. Wird die Identifizierung unterbrochen, muss diese zu einem neuen Termin unterbrechungsfrei wiederholt werden.
 +
 +
 +Während der persönlichen Identifizierung werden vom TS Ma folgende Fragen und Anweisungen an den Zertifikatnehmer gestellt bzw. gegeben:
 +
 +  * Der Antragsteller wurde in diesem Wortlaut über den Zweck des Verfahrens informiert: »Diese Video-Konferenz dient dazu, Sie für die Ausstellung des von Ihnen beantragten Zertifikats zu identifizieren. Wie lautet die Antragsnummer des von Ihnen gestellten Antrags?
 +  *  Der Antragsteller hat die folgende Antragsnummer genannt: ; diese Antragsnummer passt zum vorliegenden Antrag.
 +  * Herkunft und Art des Ausweisdokuments sind auf dem Videobild klar erkennbar und passen zu den im Voraus gemachten Angaben.
 +  * Das Lichtbild auf dem Ausweisdokument ist klar erkennbar und passt zum Antragsteller.
 +  * Der Antragsteller ist mit dem Finger vor dem Lichtbild auf dem Ausweisdokument entlanggefahren. 
 +  * Das Lichtbild wurde dabei vollständig überstrichen, aber trotzdem stabil und ohne Auffälligkeiten angezeigt.
 +  * Der Name auf dem Ausweisdokument ist klar lesbar und passt zum vorliegenden Antrag.
 +  * Die Unterschrift auf dem Ausweisdokument ist klar erkennbar und passt zum vorliegenden Antrag. 
 +  * Das Gültigkeitsdatum des Ausweisdokuments ist klar lesbar; der Ausweis ist gültig.
 +  * Die Nummer des Ausweisdokuments ist klar lesbar; die letzten fünf Stellen lauten .
 +  * Die folgenden Sicherheitsmerkmale des Ausweisdokuments sind klar erkennbar: (hier müssen 3 von 5 Merkmalen erkannt werden) 
 +  * Es sind insgesamt mindestens drei Sicherheitsmerkmale zweifelsfrei erkannt worden.
 +  * Die Angaben auf Vorder- und Rückseite des Ausweisdokuments sind konsistent.
 + 
 +
 +Nach dem diese Punkte alle abgearbeitet worden sind und der TS MA zum Ergebnis gelangt ist, dass es sich bei dem Zertifikatnehmer um die Person handelt, die das Nutzerzertifikat beantragt hat, werden dies Ergebnis und ein paar weitere Informationen auf dem Dokumentationsbogen notiert und zusammen mit den Zertifikatantrag abgelegt. 
 +
 +
 +Ab diesem jetzigen Zeitpunkt kann der TS MA den Zertifikatantrag bearbeiten und anschließend genehmigen. 
 +
 +===== Hinweise für TS MA =====
 +Wichtig wäre noch zu erwähnen, das für die Identifizierung der Ausweismerkmale durch den TS MA mittels der Videoübertragung im Raum des Zertifikatnehmer genügend Tageslicht vorhanden ist. Sonst können unter Umständen die Sicherheitsmerkmale der Ausweisdokumente nicht einwandfrei erkannt werden.
 +
 +
 +Wird die Pexip Infinity Connect App unter Android oder iOS-Geräten genutzt, hat es sich bewährt, dass der Zertifikatnehmer in der App von der Front-Kamera auf die rückseitige Hauptkamera umschaltet, da sich die Hauptkameras der mobilen Geräte besser eignen um die Sicherheitsmerkmale der Ausweisdokumente gut sichtbar und darstellen zu können.  
 +
 +
 +Die Video-Identifizierung dauert ca. 10 – 15 Minuten. Am längsten dauert dabei die Erkennung der Sicherheitsmerkmale bei diesem Vorgang.
 +
 +
 +Eine weitere Empfehlung ist, Termine für die Video-Identifizierung zu vereinbaren und darin den DFN-Conf Meetingraum Vorlagentext einzufügen, damit der Zertifikatnehmer weiß, mit welchen Mittel er sich für diesen Vorgang verbinden kann.
 +Weiterhin empfiehlt es sich in Abständen die Gast PIN für den DFN-Conf Meetingraum zu ändern.
 +
 +
 +Falls die Zertifikatnehmer über keinen deutschen Personalausweis oder Reisepass verfügen, kann sich der TS MA über diese Webseite der EU ([[https://www.consilium.europa.eu/prado/de/prado-start-page.html]] - PRADO - Öffentliches Online-Register echter Identitäts- und Reisedokumente) über alle weltweit gültigen Ausweise und deren Sicherheitsmerkmale für den Identifizierung-Vorgang. Dazu dient die Abfrage des TS MA im Vorfeld der Identifizierung, z.B. bei der Terminvergabe, mit welchem Ausweisdokument sich der Zertifikatnehmer ausweisen möchte.  
 +