Veröffentlichungen der Stammzahlenregisterbehörde
Bildung von Stammzahlen, Ersatzstammzahlen und davon abgeleiteten Personenkennzeichen
Gemäß § 6 Abs. 6 E-GovG (öffnet in neuem Fenster), BGBl. I Nr. 10/2004 hat die Stammzahlenregisterbehörde die Methoden zur
im Internet zu veröffentlichen. Diese werden im Folgenden
beschrieben und jeweils anhand eines Beispiels erläutert.
Ermittlung der Stammzahl für natürliche
Personen
Die Stammzahl wird durch eine symmetrische
Verschlüsselung der ZMR-Zahl gebildet und darf nur auf der Bürgerkarte eines
Bürgers gespeichert werden. Sie ist von keiner anderen
Stelle als der Stammzahlenregisterbehörde rückrechenbar. Zur eindeutigen Identifikation eines Bürgers in
einem Verfahren wird in Folge das bereichsspezifische
Personenkennzeichen berechnet. Dieses wird im Verfahren zur
eindeutigen Identifikation verwendet.
Grundlage für die Ermittlung der Stammzahlen für
natürliche Personen sind
- für in Österreich
meldepflichtige Personen die Melderegisterzahl (ZMR-Zahl) (§ 6
Abs. 2 E-GovG bzw. § 16 Abs. 4 MeldeG)
- für alle anderen Personen die Zahl der Eintragung im
Ergänzungsregister (ER-Zahl) (§ 6 Abs. 4
E-GovG).
Diese natürliche Personen eindeutig identifizierenden Zahlen
(ZMR-Zahl oder ER-Zahl) werden im Folgenden als Basiszahl bezeichnet.
Algorithmus
- Ausgangsdatum ist die oben
erwähnte Basiszahl (12 Dezimalstellen).
- Diese Basiszahl wird in eine
Binärdarstellung umgewandelt (5 Byte).
- Sodann wird die Basiszahl in
Binärdarstellung mit einem konstanten geheimen Seedwert [1]
(8-Bit Wert) zu einem 128-Bit-Wert (binär) wie folgt
konkateniert [2]: Basiszahl Seed
Basiszahl Basiszahl. Der Seedwert wird in der
Stammzahlenregisterbehörde unter Verschluss gehalten.
- Der 128-Bit Binärwert (16
Byte) wird mit dem geheimen Triple-DES [3]
Schlüssel der Stammahlenregisterbehörde im CBC-Modus
[4] zur Stammzahl nach § 6 E-GovG
verschlüsselt.
- Die Stammzahl wird schließlich in Base64 [5]
kodiert (dies schließt die Kodierung in ASCII mit ein).
Nachfolgende Abbildung und Tabelle veranschaulichen das Verfahren
grafisch und exemplarisch:
Beispiel für Bildung der Stammzahl einer natürlichen Person
|
Basiszahl
|
000247681888
(Bsp: ZMR-Zahl, 12-stellige Dezimalzahl)
|
|
Binärdarstellung
|
00 0E C3 53 60
(5 Byte, Darstellung hexadezimal)
|
|
Verbreiterung auf 128 Bit
|
00 0E C3 53 60 FF 00 0E C3 53 60 00 0E C3 53 60
(16 Byte,
Seed-Wert beispielhaft auf 'FF' gesetzt)
|
|
Triple-DES Verschlüsselung, hexadezimal
|
42 AD 37 74 FA E0 70 7B 31 DC 6D 25 29 21 FA 49
(16 Byte)
|
|
Stammzahl, Base64 [5]
|
Qq03dPrgcHsx3G0lKSH6SQ==
(24 Zeichen)
|
nach oben
Ermittlung der Ersatzstammzahl natürlicher
Personen
Wenn es nicht darauf ankommt, den Betroffenen namentlich zu kennen,
sondern nur, ihn wiederzuerkennen, kann gemäß § 6
Abs. 5 E-GovG die Ausstellung einer Ersatzstammzahl
(Wiederholungsidentität) von der
Stammzahlregisterbehörde beantragt werden.
Die Ersatzstammzahl stellt einen Base64 codierten Hashwert über
so genannte Basisdaten dar. Diesem Hashwert wird ein Prefix
vorangestellt, der die Ersatzstammzahl als solche erkennbar macht.
Für Inländer werden folgende Basisdaten verwendet:
- Vorname des Betroffenen,
- Nachname des Betroffenen,
- Name des Zertifikatausstellers und
- Seriennummer des Zertifikats.
Die Ersatzstammzahl wird wie folgt berechnet:
Die Ersatzstammzahl ist ein unter Anwendung der in der Applikation
vorkonfigurierten Schlüsseldaten erzeugter, Base-64 kodierter
HMAC-Wert, dem der Prefix "RID:" vorangestellt ist. Diese
Ersatzstammzahl wird mit folgendem Type-Identifier in Form einer
Personenbindung verspeichert:
Die so erzeugte Personenbindung bezieht sich auf das für die
Antragsstellung verwendete Signaturzertifikat.
Die zur Berechnung heranzuziehenden Basisdatenarten bzw. das
Prefix können
das Land, in dem eine Identifikation für Onlineverfahren der
Verwaltung vorgenommen wurde, bezeichnen, wenn das dabei entstandene
Identifikationskennzeichen in der Personenbindung verwendet wird.
So wird z.B. für Personen aus Italien das Präfix "IT"
verwendet.
nach oben
Ermittlung der Stammzahl für juristische
Personen und sonstige Betroffene
Für juristische Personen und sonstige Betroffene, die keine
natürlichen Personen sind, ist gemäß § 6 Abs. 3
E-GovG als Stammzahl die Firmenbuchnummer (§ 3 Abs. 1 des
Firmenbuchgesetzes, BGBl. Nr. 10/1991) bzw. die ZVR-Zahl (§ 18
Abs. 3 des Vereinsgesetzes 2002, BGBl. I Nr. 66/2002) bzw. die im
Ergänzungsregister (Abs. 4) vergebene Ordnungsnummer zu
verwenden. Ein Beispiel ist in Verbindung mit der Berechnung des
wirtschaftsbereichsspezifischen Personenkennzeichens weiter
unten angeführt.
nach oben
Ermittlung des
Organwalter-Personenkennzeichens (OwPK)
Das Organwalter-Personenkennzeichen (OwPK) ist die eindeutige
Identifikation eines Organwalters in einem behördlichen
Verfahren und kann dort als solches gespeichert werden. Es kann von
der Stammzahlenregisterbehörde mit dem zugehörigen
Algorithmus auch in die Stammzahl rückgerechnet werden.
Grundlage für die Ermittlung des
Organwalter-Personenkennzeichens ist die Stammzahl des
Verwaltungsbediensteten (Organwalters).
Algorithmus
- Ausgangsdatum ist die oben
erwähnte Stammzahl.
- Der 128-Bit Binärwert (16
Byte) wird mit dem geheimen Triple-DES Schlüssel der
Stammzahlenregisterbehörde im CBC-Modus zum OwPK verschlüsselt.
- Das OwPK wird schließlich in Base64 kodiert (dies
schließt die Kodierung in ASCII mit ein).
Nachfolgende Abbildung und Tabelle veranschaulichen das Verfahren
grafisch und exemplarisch:
Beispiel für Verschlüsselung Organwalter-Personenkennzeichen
|
Stammzahl, Base64
|
Qq03dPrgcHsx3G0lKSH6SQ==
(24 Zeichen)
|
|
Triple-DES Verschlüsselung, hexadezimal
|
42 AD 37 74 FA E0 70 7B 31 DC 6D 25 29 21 FA 49
(16 Byte)
|
|
Organwalter-Personenkennzeichen, Base64 [5]
|
AEXyDbQ3Niw9OXPdV7E0Zo==
(24 Zeichen)
|
nach oben
Ermittlung des bereichsspezifischen
Personenkennzeichens (bPK)
Das bereichsspezifische Personenkennzeichen dient zur eindeutigen
Identifikation eines Bürgers in einem bestimmten Verfahren vor
einer Behörde. Es wird aus der Stammzahl des
Bürgers und dem Bereichskürzel des Verfahrens nach der
E-Government-Bereichsabgrenzungsverordnung (öffnet in neuem Fenster) (E-Gov-BerAbgrV),
BGBl. II Nr. 289/2004, gebildet.
Das bPK wird in zwei Schritten ermittelt. Der erste Schritt ist
die Bildung einer ISO-8859-1 Zeichenkette aus der Stammzahl und dem
Bereich. Der zweite Schritt ist die kryptographische Einwegableitung
dieser Zeichenkette, die das bPK ergibt.
Algorithmus
- Ausgangsdaten:
- Bildung der Zeichenkette als
Verbindung (string concatenation) aus Stammzahl, "+"
(als Zeichen), URN-Präfix und
Bereichskürzel.
- Über die entstehende
Zeichenkette (den entstehenden String) wird der SHA-1 Algorithmus
wie in FIPS PUB 180-1 beschrieben berechnet. Das Resultat dieser
Berechnung ist eine 160-Bit-Zahl (5x32 Bit)
- Diese 160-Bit-Zahl kann für programminterne Zwecke
direkt verwendet werden. Ansonsten ist diese Zahl Base64 [5]
zu kodieren.
URN-Präfix
URN-Präfix := "urn:publicid:gv.at:cdid+"
Der URN-Präfix ist definiert über:
- URN (RFC 2141 / RFC 2396)
- URN für Public Identifier
(RFC 3151)
- Owner: gv.at
- Class: cdid+XXXXX (cdid = context dependent id, z.B.
Bescheid)
Nachfolgende Abbildung und Tabelle veranschaulichen das Verfahren
grafisch und exemplarisch mit einem Beispiel für einen Bescheid
im Bereich Bauen und Wohnen:
Beispiel für die Ermittlung des bPK
|
Stammzahl, Base64 [5]
|
Qq03dPrgcHsx3G0lKSH6SQ==
(24 Zeichen)
|
|
Bereichskürzel
|
BW
(ISO-8859-1, Beispiel: Bauen und Wohnen)
|
|
Eingangsdaten für die Hashberechnung
|
Qq03dPrgcHsx3G0lKSH6SQ==+urn:publicid:gv.at:bescheid+
BW
|
|
Hashwert nach SHA-1,
hexadezimal
|
8FF3717514 21A7EB4DC8 4F56847741 498BB2DE10
(5 x 32bit;
Darstellung hexadezimal)
|
|
bPK, Base64
|
j/NxdRQhp+tNyE9WhHdBSYuy3hA=
(28 Zeichen)
|
nach oben
Ermittlung des wirtschaftsbereichsspezifischen
Personenkennzeichens (wbPK)
Die Bildung des wirtschaftsbereichsspezifischen
Personenkennzeichens (wbPK) erfolgt analog zur Bildung des
gewöhnlichen bPK. Gemäß § 14
Abs. 1 E-GovG kann für die Identifikation von natürlichen
Personen im elektronischen Verkehr mit einem Auftraggeber des
privaten Bereichs (§ 5 Abs. 3 DSG 2000) durch den Einsatz der
Bürgerkarte eine spezifische Ableitung aus dem Hashwert gebildet
werden, die aus der Stammzahl des Betroffenen und der Stammzahl des
Auftraggebers als Bereichskennung erzeugt wird
(wirtschaftsbereichsspezifisches Personenkennzeichen, wbPK).
Voraussetzung hiefür ist, dass der Auftraggeber des privaten
Bereichs eine für den Einsatz der Bürgerkarte taugliche
technische Umgebung eingerichtet hat, in der seine Stammzahl
als Bereichskennung im Errechnungsvorgang für das wbPK zur
Verfügung gestellt wird.
Algorithmus
Der Algorithmus ist identisch mit dem Algorithmus zur Berechnung
des bPK mit Ausnahme veränderter Ausgangsdaten.
- Ausgangsdaten:
- Stammzahl der natürlichen
Person, Base64 kodiert
- Stammzahl des Auftraggebers als Bereichskennung
- Bildung der Zeichenkette als Verbindung (string
concatenation) aus Stammzahl der natürlichen Person und "+"
(als Zeichen) und URN-Präfix und Stammzahl des Auftraggebers.
- Ist die Stammzahl eine Firmenbuchnummer, so ist diese
inklusive des Prüfzeichens anzugeben. Führende Nullen
werden unterdrückt. Leerzeichen oder Bindestriche vor dem
Prüfzeichen werden nicht angeführt.
- Über die entstehende
Zeichenkette (den entstehenden String) wird der SHA-1 Algorithmus
wie in FIPS PUB 180-1 beschrieben berechnet. Das Resultat dieser
Berechnung ist eine 160bit-Zahl (5x32 bit)
- Diese 160bit-Zahl kann für programminterne Zwecke direkt
verwendet werden. Ansonsten ist diese Zahl Base64 zu kodieren.
URN-Präfix
URN-Präfix := "urn:publicid:gv.at:wbpk+XXX+"
Wobei 'XXX' folgenden Wert annimmt, wenn es sich bei der
Stammzahl des Auftraggebers um eine
- Firmenbuchnummer handelt:
"FN"
- Vereinsregisternummer
handelt: "VR"
- Zahl im Ergänzungsregister
für nicht natürliche Personen handelt: "ERJ"
- Stammzahl einer natürlichen
in Österreich meldepflichtigen Person handelt: "ZMR"
- Stammzahl einer natürlichen Person mit Eintrag im
Ergänzungsregister handelt: "ERN"
Nachfolgende Abbildung und Tabelle veranschaulichen das Verfahren
grafisch und exemplarisch mit einem Beispiel:
Beispiel für die Ableitung zum wirtschaftsbereichsspezifischen Personenkennzeichen
|
Stammzahl, Base64 [5]
|
Qq03dPrgcHsx3G0lKSH6SQ==
(24 Zeichen)
|
|
Stammzahl des Auftraggebers
|
468924 i
|
|
Präfix für Firmenbuchnummer
|
urn:publicid:gv.at:wbpk+FN+
|
|
Eingangsdaten für die Hashberechnung
|
Qq03dPrgcHsx3G0lKSH6SQ==+urn:publicid:gv.at:wbpk+F N+468924i
(Leerzeichen vor "i" entfernt – siehe
Schritt 2)
|
|
Hashwert nach SHA-1, hexadezimal
|
43B8485AB5 6A3FE55946 24E2966DFE 9A2A082B9C (5 x 32 bit)
|
|
Hashwert nach SHA-1, Base64
|
Q7hIWrVqP+VZRiTilm3+mioIK5w= (28 Zeichen)
|
nach oben
[1] Seedwert: Der
seed [engl.: Saat] ist ein beliebiger
(Zufalls)wert, der dem Ausgangswert vor der Durchführung
kryptografischer Berechnungen beigefügt werden kann. Dadurch
werden einerseits Rückschlüsse auf den Ausgangswert
erschwert. Andererseits wird der Ausgangswert auf eine bestimmte
Größe erweitert. Durch die Verbindung eines Seedwertes mit
einem Ausgangswert können kryptografische Algorithmen
wirkungsvoll verstärkt werden. Dies ist vor allem dann sinnvoll, wenn
beispielsweise die geringe Anzahl an verschiedenen Ausgangswerten ein
"systematisches Erraten" des Ausgangwertes möglich
erscheinen lässt.
[2] Konkatenieren ist ein
Fachbegriff der Informatik und bedeutet
"zusammensetzen".
[3] Triple-DES ist ein
Verschlüsselungsalgorithmus, der aus Sicherheitsgründen
dreimal hintereinander durchlaufen wird. DES ist die Abkürzung
für
Digital Encryption Standard (ein digitaler
Verschlüsselungsstandard), der eine Blockchiffre darstellt, das heißt
dass der Ausgangswert in gleich große Blöcke eingeteilt
und blockweise verschlüsselt wird.
[4] Cipher-Block-Chaining,
abgekürzt CBC, ist eine Betriebsart des Triple-DES Algorithmus,
in dem die Verschlüsselung des vorangegangenen Blocks logisch
mit dem aktuellen Block vor dessen Verschlüsselung verknüpft
wird.
[5] Base64 beschreibt ein Verfahren, bei dem
Binärdaten in einen 64 Zeichen großen Zeichensatz
(bestehend aus Groß- und Kleinbuchstaben, Ziffern von 0 bis 9,
sowie den Zeichen "+", "=" und "/")
umgewandelt werden.