A_23389 - Authenticator-Modul: Schutz vor Missbrauch

Das Authenticator-Modul des sektoralen IDP MUSS

• Geräte mit Jailbreak oder Root-Zugriff entsprechend dem aktuellen Stand der Technik erkennen. Das Authenticator-Modul MUSS dem Nutzer darstellen, welche Risiken für die Daten des Nutzers bestehen (z. B., dass diese offengelegt werden könnten) und die Fortsetzung unterbinden.
• den Start in einer Entwicklungs-/Debug-Umgebung sicher erkennen und unterbinden.
• den Start abbrechen, falls es unter ungewöhnlichen Benutzerrechten gestartet wird (z. B. root oder nobody).
• Zertifikats-Pinning für die Verbindung zum sektoralen IDP unterstützen. Es DARF Zertifikate NICHT akzeptieren, deren Zertifikatskette dem Hersteller nicht vertrauenswürdig erscheint [RFC7469

A_23203 - Zu unterstützende Betriebssystemversionen

Der Anbieter des sektoralen Identity Provider MUSS dafür Sorge tragen, dass seine Authenticator-Module jederzeit:

• iOS Betriebssystem: Die noch offiziell von Apple mit OS-Updates versorgten Geräte
• Android-Betriebssystem:  Versionen mindestens der letzten zwei Jahre unterstützen.

A_22978 - Aufbereiten von Geräteinformationen

Authenticator-Module von sektoralen IDP SOLLEN Informationen zum verwendeten Endgerät des Nutzers erheben können welche die Inhalte des Datentyps "Device_Type" abbilden.
Um die Authentizität des Datensatzes zu gewährleisten, muss die Vertrauenswürdigkeit zum Zeitpunkt der Erhebung des Datensatzes geprüft und nachgewiesen werden.
Hierfür müssen geeignete und zur Verfügung stehende Plattformmechanismen genutzt werden (z. B. Android: SafetyNet Attestation / Integrity API, Key & ID Attestation; iOS: DCAppAttestService). [<=]

A_26133 - Authenticator Modul für Desktop-Plattformen: Integration in Anwendung

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS in die Anwendung integriert sein, die eine Authentifizierung des Nutzers erfordert. [<=]

A_26134 - Authenticator Modul für Desktop-Plattformen: Authentifizierungsmittel eGK+PIN

Der Hersteller eines sektoralen IDP MUSS für sein Authenticator Modul für Desktop-Plattformen ein Authentifizierungsverfahren mittels eGK und PIN über Kartenleser unterstützen. [<=]

A_26135 - Authenticator Modul für Desktop-Plattformen: Unterstützung von Kartenlesern ab Sicherheitsklasse 2

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS es dem Nutzer ermöglichen, für eine Authentifizierung mit eGK+PIN einen Kartenleser einer höheren Sicherheitsklasse als Sicherheitsklasse 1 (Sicherheitsklasse 2 oder höher) zu nutzen. [<=]

A_26136 - Authenticator Modul für Desktop-Plattformen: Hinweis bei Kartenlesern der Sicherheitsklasse 1

Falls das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen mit einem Kartenleser der Sicherheitsklasse 1 genutzt wird, MUSS das Authenticator Modul für Desktop-Plattformen den Nutzer in einer für den Nutzer verständlichen Form darauf hinzuweisen,

• dass Kartenleser der Sicherheitsklasse 1 geringere Sicherheitsleistungen als Kartenleser der Sicherheitsklassen 2 oder 3 erbringen und welche handelsüblichen Kartenleser der Sicherheitsklassen 2 und 3 vom Nutzer für Desktop-Plattformen genutzt werden könnten,
• welche Risiken bei einer Nutzung von Kartenlesern der Sicherheitsklasse 1 für den Nutzer bestehen und welche Maßnahmen der Versicherte auf seinem Gerät treffen sollte, um diese Risiken zu verringern.

A_26137 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 1: PIN-Eingabe

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS, wenn ein Kartenterminal der Sicherheitsklasse 1 verwendet wird, die PIN-/PUK-Eingabe über ein angeschlossenes Eingabegerät entgegennehmen und in ein an die Karte adressiertes Kommando einbetten. [<=]

A_26138 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 1: PIN-Eingabe Geheimnis

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen DARF die eingegebene PIN/PUK Ziffernfolge NICHT im Klartext auf dem Bildschirm darstellen, wenn ein Kartenterminal der Sicherheitsklasse 1 verwendet wird. [<=]

A_26139 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 1: PIN-Eingabe Eingabefeedback

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS ein eingegebenes Zeichen einer Geheimniseingabe mit dem Zeichen "*" (Wildcard) quittieren, wenn ein Kartenterminal der Sicherheitsklasse 1 verwendet wird. [<=]

A_26140 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 1: PIN-Eingabe Validierung

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS, wenn das PIN-Geheimnis durch einen Anwendungsfall geändert werden soll und wenn ein Kartenterminal der Sicherheitsklasse 1 verwendet wird, ein eingegebenes, neues PIN-Geheimnis durch eine erneute Abfrage des neuen PIN-Geheimnisses verifizieren. [<=]

A_26141 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 2: PIN-Eingabe

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS ein angeschlossenes Kartenterminal der Sicherheitsklasse 2 so ansteuern, dass ein Kartenkommando, das eine PIN-/PUK-Eingabe erfordert, an einem Kartenterminal um die Benutzereingabe ergänzt und anschließend direkt an die adressierte Karte weitergeleitet wird. [<=]

A_26142 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 2: PIN-Eingabe Fehlkonfiguration

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS alle Operationen mit einer eindeutigen Fehlermeldung abbrechen, in denen es die Kenntnis eines PIN/PUK-Geheimnisses erlangt, nachdem dieses an einem PIN-Pad eines Kartenterminals der Sicherheitsklasse 2 eingegeben wurde. [<=]

A_26143 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 2: PIN-Eingabe Eingabefeedback

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS während der Abfrage einer PIN/PUK an einem Kartenterminal der Sicherheitsklasse 2 einen Benutzerhinweis zur PIN-Eingabe auf der Bildschirmanzeige des Kartenterminals ausgeben. [<=]

A_26144 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 3: PIN-Eingabe

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS ein angeschlossenes Kartenterminal der Sicherheitsklasse 3 so ansteuern, dass ein Kartenkommando, das eine PIN-/PUK-Eingabe erfordert, an einem Kartenterminal um die Benutzereingabe ergänzt und anschließend direkt an die adressierte Karte weitergeleitet wird. [<=]

A_26145 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 3: PIN-Eingabe Fehlkonfiguration

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS alle Operationen mit einer eindeutigen Fehlermeldung abbrechen, in denen es die Kenntnis eines PIN/PUK-Geheimnisses erlangt, nachdem dieses an einem PIN-Pad eines Kartenterminals der Sicherheitsklasse 3 eingegeben wurde. [<=]

A_26146 - Authenticator Modul für Desktop-Plattformen: Kartenterminal der Sicherheitsklasse 3: PIN-Eingabe Eingabefeedback

Das Authenticator Modul eines sektoralen IDP für Desktop-Plattformen MUSS während der Abfrage einer PIN/PUK an einem Kartenterminal der Sicherheitsklasse 3 einen Benutzerhinweis zur PIN-Eingabe am Display des Kartenterminals ausgeben. [<=]

A_23084 - Aufruf des Authenticator-Moduls

Das Anwendungsfrontend MUSS, wenn es eine Authentifizierung über den sektoralen IDP unterstützt, bei Erhalt einer URI-PAR nach https://www.rfc-editor.org/rfc/rfc9126.html#name-successful-response das Authenticator-Modul mittels der übergebenen Redirect-URL aufrufen und hierbei ggf. die Link-Technologie des jeweiligen Betriebssystems verwenden. [<=]

A_23085 - Registrierung des Anwendungsfrontends

Das Anwendungsfrontend MUSS, wenn es eine Authentifizierung über den sektoralen IDP unterstützt, sich mittels Universal-Link bzw. App-Link unter der URL des Authorization-Servers im Betriebssystems registrieren. [<=]