Translations of this page?:

UAMR-UniCard

Abbildung der UniCard Die UAMR-UniCard ist der neue Studierendenausweis an der TU Dortmund. Der Ausweis ist eine Chipkarte, die voraussichtlich ab dem Sommersemester 2009 den bisherigen Papierausweis nach und nach ersetzen wird.

Sie wird mit ihrer Einführung personalisierte Dienste ermöglichen, die vorher sicherheitstechnisch nicht machbar gewesen wären. Für die neuen Funktionen sind auf der Karte zwei Chips aufgebracht: Ein kontaktbehafteter „Crypto-Chip“, ähnlich dem Chip auf einer GeldKarte, und ein RFID-Chip, der berührungslos ausgelesen werden kann.

Die Einführung der Karte wird seit Oktober 2007 vom ITMC vorbereitet und von Datenschützern begleitet, um für den späteren Einsatz größtmögliche Sicherheit und Vertraulichkeit zu gewährleisten. Die Karte selbst speichert dabei so gut wie keine Daten, sondern ist gewissermaßen ein „digitaler Schlüsselbund“, mit dem der Nutzer selektiv Daten freigeben kann, die zentral beim ITMC oder der Verwaltung gespeichert sind.

Die neuen Dienste

Zertifikatsbasierte Dienste

In Zukunft wird es an der TU Dortmund einige Dienste geben, für die es zu unsicher wäre, wenn sich ein Nutzer nur mit Benutzernamen und Passwort anmeldet. Durch die Karte wird eine Diensteanmeldung ermöglicht, die gewährleisten soll, dass am anderen Ende der Leitung auch tatsächlich der Chipkarteninhaber sitzt.

Durch eine zentrale und besonders abgesicherte Verwaltung von uni-internen Zugriffsdaten entfällt in Zukunft die Notwendigkeit, sich für verschiedenste Onlinedienste der Universität die Zugangsdaten merken zu müssen: Die UniCard erledigt den Anmeldeprozess.

Für die Steuerung zertifikatsbasierten Dienste wird der Krypto-Chip auf der UniCard benutzt. Ein Zugriff auf die Zertifikate ist nur durch Eingabe einer PIN möglich, bei mehrmaliger Falscheingabe der PIN muss diese mit einer PUK entsperrt werden.

myITMC-Portal

Das myITMC-Portal der TU Dortmund Schon heute kann man sich im myITMC-Portal1) sein personalisiertes NRW/VRR-Semesterticket ausdrucken und seinen UniMail-Account abfragen. In Zukunft sollen die Möglichkeiten dieses Portals noch weiter ausgebaut werden, sodass folgende Dienste zur Verfügung stehen:

  • Statusangelegenheiten (Änderung des Wohnorts, Online-Rückmeldung, Urlaubssemester..)
  • Bescheinigungen (Ausdruck von Studienbescheinigungen)

Dienste, die über ein Identity-Management möglich werden:

An der TU Dortmund soll mit Einführung der UniCard auch ein zentrales System zur Identitätsverwaltung2) seinen Dienst aufnehmen, das mit den Zertifikaten der UniCard verknüpft sein wird. Ein Identitätsmanagement ermöglicht eine zentrale Zugriffs- und Berechtigungsverwaltung, die Nutzern der UniCard zukünftig den Zugriff auf folgende Dienste ermöglichen soll:

  • Prüfungsanmeldung (An-, Ab- und Ummelden von Prüfungen, Ausdrucken von Bescheinigungen) im BOSS-System
  • UniCard als Bibliotheksausweis (Beim Ausleihen stellt der Identitätsserver dem Bibliothekssystem die Daten des Benutzerausweises zur Verfügung)

Bezahlfunktionen/ elektronische Geldbörse

Mit der Einführung der UniCard im Wintersemester 2008/2009 wird das Studentenwerk ein Kartenbezahlsystem in Betrieb nehmen. Das mühselige Hervorkramen von Bargeld und das Vorlegen des Studierendenausweises kann dadurch entfallen und der Bezahlvorgang wird beschleunigt. Die teilweise recht langen Schlangen zur Mittagszeit dürften sich dadurch beträchtlich verkürzen. Mit der Karte wird man in naher Zukunft ebenfalls an den Druck- und Kopierstationen bezahlen und in der Bibliothek seine Mahngebühren entrichten können.

Die Bezahlfunktion wird dabei über einen räumlich vom Krypto-Chip getrennten RFID-Chip („Mifare-Chip“) abgewickelt, der physikalisch getrennt vom Krypto-Chip auf der UniCard aufgebracht ist. Der RFID-Chip wird kontaktlos ausgelesen, die maximale Reichweite wird im Bereich von 15cm liegen. Auf dem RFID-Chip wird dabei nur eine Nummer gespeichert, die mit einem sogenannten „Schattenkonto“ verbunden ist: Auf diesem Konto sind das Kartenguthaben und der Studentenstatus vermerkt. Beim Bezahlen wird die Nummer ausgelesen und so auf dem Schattenkonto der fällige Betrag abgebucht.

Weitere Dienste

Türschließsysteme und Zugangskontrolle

Geplant ist, dass in naher Zukunft an der TU Türschließsysteme eingeführt werden, die zum Beispiel den Zutritt zu bestimmten Uni-Gebäuden auch außerhalb der normalen Öffnungszeiten erlauben, allerdings steht eine Realisierung dieser Funktion noch aus.

E-Ticket

Unklar ist die Nutzung der UniCard als elektronische Fahrkarte („e-Ticket“). Prinzipiell wäre es zwar möglich, die UniCard im VRR als Fahrberechtigung zu nutzen, allerdings bestehen momentan Bedenken zu dieser Art des e-Ticketing. Eine zukünftige NRW-weite Nutzung der UniCard scheitert gegenwärtig auch daran, dass einige Verkehrsverbünde Nordrhein-Westfalens noch keine technische Ausrüstung zum Auslesen eines e-Tickets besitzen. Das zuständige Verkehrsreferat des AStA spricht sich aus Datenschutzgründen gegen ein elektronisches Ticket aus 3).

Einzige Möglichkeit zur Nutzung des Nah- und Regionalverkehrs wird deswegen ab dem Wintersemester 2008/2009 ein ausgedrucktes NRW-Ticket in Kombination mit einem Lichtbildausweis sein.

Innerer Aufbau der Karte

Prinzipieller Aufbau der UniCard als TwinCard Die UniCard ist vom Aufbau her eine sogenannte „Twincard“, das heißt, auf ihr arbeiten zwei voneinander unabhängige und getrennte Chips. Dabei wird der von außen sichtbare Krypto-Chip kartenseitig die Funktionen der Zertifikatsbasierten Dienste ermöglichen, der innenliegende RFID-Chip (liegt ungefähr 1 cm über dem Krypto-Chip, auf der Vorderseite sind zwei Kontaktpunkte zur Antenne zu erkennen) wird für das Bezahlsystem verwendet.

Crypto-Chip

Der Krypto-Chip dient als Datenspeicher für zwei Zertifikate, einem Signaturzertifikat sowie einem Authentifizierungszertifikat. Mit dem Signaturzertifikat lassen sich zum Beispiel Dokumente oder E-Mails digital signieren. Dadurch kann man zum Beispiel als Autor einer pdf-Hausarbeit sicherstellen, dass nach dem Erstellen des Dokuments nichts mehr unbemerkt daran verändert werden kann. Ein nachträgliches Manipulieren führt zum Verletzen der Signatur, somit kann die Echtheit von elektronischen Dokumenten durch digitale Signaturen garantiert werden.

Ein Zugriff auf den Krypto-Chip ist nur dann möglich, wenn ihn innerhalb eines Lesegerätes Drahtkontakte berühren, es findet also eine kontaktbehaftete Kommunikation statt, ähnlich wie bei den Chips in Telefon- oder Geldkarten.

Gespeicherte Daten auf dem Krypto-Chip
Signaturzertifikat- Vor- und Nachname
- Zugehörigkeit TU Dortmund
- Status (z.B. „Student“)
- UniMail-Adresse
- Karten-ID
Anmeldezertifikat- LoginID für das IdM
- Zugehörigkeit TU Dortmund
- Status
- TUDO-ID (ID für das Hintergrundsystem)

MIFARE-Chip

Mifare4) ist eine ursprünglich von Philips stammende Chipkartentechnoligie, die mittlerweile weltweit stark verbreitet ist. Auf der UniCard übernimmt der MiFare-Chip aus Sicherheitsgründen keine Zertifikatsfunktionen, sondern vor allem die Bezahlfunktion. Der im Innern der Karte liegende MiFare-Chip ist ein passiver RFID-Chip. Solche Chips benötigen für das Senden von Informationen keine eigene Stromversorgung, sondern werden vom Signal des Lesegeräts durch Induktion in die Antenne mit der erdorderlichen Betriebsspannung versorgt. Um mit dem Chip bezahlen zu können, muss die UniCard nicht notwendigerweise aus dem eigenen Portemonaie genommen werden. Solange beim Auslesen ein Abstand von 15cm zum Lesegerät nicht überschritten wird, kann er im Geldbeutel verbleiben. Die im Randbereich der Karte verlaufende Antenne ist zwar durch die Plastikumhüllung geschützt, jedoch sollte die Karte nicht zu stark auf Biegung beansprucht werden, da sonst die Antennendrähte brechen könnten.

Die TwinCard-Architektur wurde bewußt gewählt, da der Mifare-Chip schon seit längerem als unsicher eingeschätzt wird5). Daher werden auf dem funklesbaren Mifare-Chip bewußt keine Daten gespeichert, die einen Rückschluss auf den Inhaber oder die Inhaberin der Karte bzw. ihr Konsumverhalten zulassen. Personenbezogene Daten können nur durch Zugriff auf den kontaktbehafteten Krypto-Chip und das Hintergrundsystem freigegeben werden, somit wurde eine klare Trennung zwischen Bezahlfunktion und Personendaten vollzogen.

Nach Angaben des Herstellers ist es möglich eine Kopie des Mifare-Chips zu erstellen. Es ist also möglich, wenn auch nicht wahrscheinlich, dass die Bezahlfunktion der UAMR Unicard mißbraucht werden kann. Darüber hinaus ist es für entsprechend gebildetete Menschen möglich alle auf dem hier verwendeten RFID-Chip enthaltenen Informationen auszulesen.

Aus der untenstehenden Tabelle ist ebenfalls zu entnehmen, dass der Mifare-Chip nicht dazu benutzt wird, um die Beträge einer Transaktion zu speichern, dies ist Aufgabe des Mifare-Hintergrundsystems.

Gespeicherte Daten auf dem Mifare-Chip
Für alle Mifare-
basierten Dienste
- Nummer des Schattenkontos
- Status (Student, Gast, Mitarbeiter)
- Gültigkeit

Zeitplan für die Einführung

Nachdem die ersten ITMC-internen Tests für die Kartensysteme abgeschlossen sind, geht es für die UniCard in die Ausgabephasen:

Ausgabephasen der UAMR-UniCard
Herbst 2008 bis 31.03. 2009 Ausgabe der UniCard an interessierte Benutzer (im Mensagebäude)
Ab SS 2009 Bestellung der UniCard über das myITMC-Portal
SS 2009 In diesem Semester wird das letzte Mal ein Papierausweis versandt.

Bei der Abholung der UniCard sollten folgende Unterlagen vorliegen:

  • Personalausweis
  • Studierendenausweis bzw. Studienbescheinigung.

Diese Dokumente dienen zum Feststellen der Identität für die Zertifikate und sind durch das Signaturgesetz vorgeschrieben. Nach dem Abgleich der Daten werden entsprechend die Zertifikate erstellt. Im Anschluß wird ein Foto für den Lichtbildausweis aufgenommen und die Karte mit den persönlichen Daten bedruckt. Mit der Ausgabe wird auch der PIN/PUK-Brief ausgehändigt.

Um mit der UniCard eine Rückmeldung durchzuführen, muss man die Gültigkeit der Karte verlängern. Dies wird an Selbstbedienungsterminals erfolgen, die eine entsprechende Freigabe zur Gültigkeitsverlängerung bekommen, sofern der Semesterbeitrag überwiesen wurde.

Alternativen zur Chipkarte

Durch das Landesdatenschutzgesetz6) besteht seitens der Hochschule eine Verpflichtung zu Alternativen zur UniCard.

Sofern man sich gegen die UniCard entscheidet, kann man eine chiplose UniCard erhalten, die jeweils ein Semester lang gültig ist. Besonders sicherheitskritische Onlinedienste sind hiermit nicht erreichbar, sondern müssen zukünftig in der Regel wieder „vor Ort“ erledigt werden.

Ein Bezahlen mit Bargeld in der Mensa wird auch weiterhin angeboten, die Buchausleihe mit dem konventionellen Bibliotheksausweis wird ebenfalls uneingeschränkt möglich bleiben.

Für die Nutzung von Türschließsystemen wird es die Möglichkeit geben, sich separate Mifare-Karten erstellen zu lassen, deren ID nicht mit dem Schattenkonto verknüpft ist.

Weiterführende Informationen

1) http://www.myitmc.tu-dortmund.de - Das myITMC-Portal der TU Dortmund
2) Identitätsmanagement - Artikel über das Identitätsmanagement
3) http://www.asta.tu-dortmund.de/asta-uni-dortmund/bastian-klaus - Stellungnahme des AStA-Verkehrsreferenten zum elektronischen Ticket
4) Mifare - Wikipedia
 
 
Recent changes RSS feed Creative Commons License Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki