Veröffentlichungen der Stammzahlenregisterbehörde

Bildung von Stammzahlen, Ersatzstammzahlen und davon abgeleiteten Personenkennzeichen

Gemäß § 6 Abs. 6 E-GovG , BGBl. I Nr. 7/2008 hat die Stammzahlenregisterbehörde die Methoden zur

im Internet zu veröffentlichen. Diese werden im Folgenden beschrieben und jeweils anhand eines Beispiels erläutert.

Ermittlung der Stammzahl für natürliche Personen

Die Stammzahl wird durch eine symmetrische Verschlüsselung der ZMR-Zahl gebildet und darf nur auf der Bürgerkarte eines Bürgers gespeichert werden. Sie ist von keiner anderen Stelle als der Stammzahlenregisterbehörde rückrechenbar. Zur eindeutigen Identifikation eines Bürgers in einem Verfahren wird in Folge das bereichsspezifische Personenkennzeichen berechnet. Dieses wird im Verfahren zur eindeutigen Identifikation verwendet.

Grundlage für die Ermittlung der Stammzahlen für natürliche Personen sind

  • für in Österreich meldepflichtige Personen die Melderegisterzahl (ZMR-Zahl) (§ 6 Abs. 2 E-GovG bzw. § 16 Abs. 4 MeldeG)
  • für alle anderen Personen die Zahl der Eintragung im Ergänzungsregister (ER-Zahl) (§ 6 Abs. 4 E-GovG).

Diese natürliche Personen eindeutig identifizierenden Zahlen (ZMR-Zahl oder ER-Zahl) werden im Folgenden als Basiszahl bezeichnet.

Algorithmus

  1. Ausgangsdatum ist die oben erwähnte Basiszahl (12 Dezimalstellen).
  2. Diese Basiszahl wird in eine Binärdarstellung umgewandelt (5 Byte).
  3. Sodann wird die Basiszahl in Binärdarstellung mit einem konstanten geheimen Seedwert [1] (8-Bit Wert) zu einem 128-Bit-Wert (binär) wie folgt konkateniert [2]: Basiszahl Seed Basiszahl Basiszahl. Der Seedwert wird in der Stammzahlenregisterbehörde unter Verschluss gehalten.
  4. Der 128-Bit Binärwert (16 Byte) wird mit dem geheimen Triple-DES [3] Schlüssel der Stammahlenregisterbehörde  im CBC-Modus [4] zur Stammzahl nach § 6 E-GovG  verschlüsselt.
  5. Die Stammzahl wird schließlich in Base64 [5] kodiert (dies schließt die Kodierung in ASCII mit ein).

Nachfolgende Abbildung und Tabelle veranschaulichen das Verfahren grafisch und exemplarisch:

Schematische Darstellung: Verschlüsselung Stammzahl


Beispiel für Bildung der Stammzahl einer natürlichen Person

Basiszahl

000247681888
(Bsp: ZMR-Zahl, 12-stellige Dezimalzahl)

Binärdarstellung

00 0E C3 53 60
(5 Byte, Darstellung hexadezimal)

Verbreiterung auf 128 Bit

00 0E C3 53 60 FF 00 0E C3 53 60 00 0E C3 53 60
(16 Byte, Seed-Wert beispielhaft auf 'FF' gesetzt)

Triple-DES Verschlüsselung, hexadezimal

42 AD 37 74 FA E0 70 7B 31 DC 6D 25 29 21 FA 49
(16 Byte)

Stammzahl, Base64 [5]

Qq03dPrgcHsx3G0lKSH6SQ==
(24 Zeichen)

nach oben

Ermittlung der Ersatzstammzahl natürlicher Personen

Wenn es nicht darauf ankommt, den Betroffenen namentlich zu kennen, sondern nur, ihn wiederzuerkennen, kann gemäß § 6 Abs. 5 E-GovG die Ausstellung einer Ersatzstammzahl (Wiederholungsidentität) von der Stammzahlregisterbehörde beantragt werden.

Die Ersatzstammzahl stellt einen Base64 codierten Hashwert über so genannte Basisdaten dar. Diesem Hashwert wird ein Prefix vorangestellt, der die Ersatzstammzahl als solche erkennbar macht.

Für Inländer werden folgende Basisdaten verwendet:

  • Vorname des Betroffenen,
  • Nachname des Betroffenen,
  • Name des Zertifikatausstellers und
  • Seriennummer des Zertifikats.

Die Ersatzstammzahl wird wie folgt berechnet:

    "RID:" + base64encode ( HMAC ( Basisdaten ))

Die Ersatzstammzahl ist ein unter Anwendung der in der Applikation vorkonfigurierten Schlüsseldaten erzeugter, Base-64 kodierter HMAC-Wert, dem der Prefix "RID:" vorangestellt ist. Diese Ersatzstammzahl wird mit folgendem Type-Identifier in Form einer Personenbindung verspeichert:

    Type:= urn:publicid:gv.at:recurrencebaseid

Die so erzeugte Personenbindung bezieht sich auf das für die Antragsstellung verwendete Signaturzertifikat.

Die zur Berechnung heranzuziehenden Basisdatenarten bzw. das Prefix können das Land, in dem eine Identifikation für Onlineverfahren der Verwaltung vorgenommen wurde, bezeichnen, wenn das dabei entstandene Identifikationskennzeichen in der Personenbindung verwendet wird. So wird z.B. für Personen aus Italien das Präfix "IT" verwendet.

nach oben

Ermittlung der Stammzahl für juristische Personen und sonstige Betroffene

Für juristische Personen und sonstige Betroffene, die keine natürlichen Personen sind, ist gemäß § 6 Abs. 3 E-GovG als Stammzahl die Firmenbuchnummer (§ 3 Abs. 1 des Firmenbuchgesetzes, BGBl. Nr. 10/1991) bzw. die ZVR-Zahl (§ 18 Abs. 3 des Vereinsgesetzes 2002, BGBl. I Nr. 66/2002) bzw. die im Ergänzungsregister (Abs. 4) vergebene Ordnungsnummer zu verwenden. Ein Beispiel ist in Verbindung mit der Berechnung des wirtschaftsbereichsspezifischen Personenkennzeichens weiter unten angeführt.

nach oben

Ermittlung des Organwalter-Personenkennzeichens (OwPK)

Das Organwalter-Personenkennzeichen (OwPK) ist die eindeutige Identifikation eines Organwalters in einem behördlichen Verfahren und kann dort als solches gespeichert werden. Es kann von der Stammzahlenregisterbehörde mit dem zugehörigen Algorithmus auch in die Stammzahl rückgerechnet werden.

Grundlage für die Ermittlung des Organwalter-Personenkennzeichens ist die Stammzahl des Verwaltungsbediensteten (Organwalters).

Algorithmus

  1. Ausgangsdatum ist die oben erwähnte Stammzahl.
  2. Der 128-Bit Binärwert (16 Byte) wird mit dem geheimen Triple-DES Schlüssel der Stammzahlenregisterbehörde im CBC-Modus zum OwPK verschlüsselt.
  3. Das OwPK wird schließlich in Base64 kodiert (dies schließt die Kodierung in ASCII mit ein).

Nachfolgende Abbildung und Tabelle veranschaulichen das Verfahren grafisch und exemplarisch:

Schematische Darstellung: Verschlüsselung Organwalter-Personenkennzeichen


Beispiel für Verschlüsselung Organwalter-Personenkennzeichen

Stammzahl, Base64

Qq03dPrgcHsx3G0lKSH6SQ==
(24 Zeichen)

Triple-DES Verschlüsselung, hexadezimal

42 AD 37 74 FA E0 70 7B 31 DC 6D 25 29 21 FA 49
(16 Byte)

Organwalter-Personenkennzeichen, Base64 [5]

AEXyDbQ3Niw9OXPdV7E0Zo==
(24 Zeichen)

nach oben

Ermittlung des bereichsspezifischen Personenkennzeichens (bPK)

Das bereichsspezifische Personenkennzeichen dient zur eindeutigen Identifikation eines Bürgers in einem bestimmten Verfahren vor einer Behörde. Es wird aus der Stammzahl des Bürgers und dem Bereichskürzel des Verfahrens nach der E-Government-Bereichsabgrenzungsverordnung (E-Gov-BerAbgrV), BGBl. II Nr. 289/2004, gebildet.

Das bPK wird in zwei Schritten ermittelt. Der erste Schritt ist die Bildung einer ISO-8859-1 Zeichenkette aus der Stammzahl und dem Bereich. Der zweite Schritt ist die kryptographische Einwegableitung dieser Zeichenkette, die das bPK ergibt.

Algorithmus

  1. Ausgangsdaten:
  1. Bildung der Zeichenkette als Verbindung (string concatenation) aus Stammzahl, "+" (als Zeichen), URN-Präfix und Bereichskürzel.
  2. Über die entstehende Zeichenkette (den entstehenden String) wird der SHA-1 Algorithmus wie in FIPS PUB 180-1 beschrieben berechnet. Das Resultat dieser Berechnung ist eine 160-Bit-Zahl (5x32 Bit)
  3. Diese 160-Bit-Zahl kann für programminterne Zwecke direkt verwendet werden. Ansonsten ist diese Zahl Base64 [5] zu kodieren.

URN-Präfix

URN-Präfix := "urn:publicid:gv.at:cdid+"

Der URN-Präfix ist definiert über:

  • URN (RFC 2141 / RFC 2396)
  • URN für Public Identifier (RFC 3151)
  • Owner: gv.at
  • Class: cdid+XXXXX (cdid = context dependent id, z.B. Bescheid)

Nachfolgende Abbildung und Tabelle veranschaulichen das Verfahren grafisch und exemplarisch mit einem Beispiel für einen Bescheid im Bereich Bauen und Wohnen:

Bild: Ableitung SZ zum bereichsspezifischen Personenkennzeichen


Beispiel für die Ermittlung des bPK

Stammzahl, Base64 [5]

Qq03dPrgcHsx3G0lKSH6SQ==
(24 Zeichen)

Bereichskürzel

BW
(ISO-8859-1, Beispiel: Bauen und Wohnen)

Eingangsdaten für die Hashberechnung

Qq03dPrgcHsx3G0lKSH6SQ==+urn:publicid:gv.at:bescheid+
BW

Hashwert nach SHA-1,
hexadezimal

8FF3717514 21A7EB4DC8 4F56847741 498BB2DE10
(5 x 32bit; Darstellung hexadezimal)

bPK, Base64

j/NxdRQhp+tNyE9WhHdBSYuy3hA=
(28 Zeichen)

nach oben

Ermittlung des wirtschaftsbereichsspezifischen Personenkennzeichens (wbPK)

Die Bildung des wirtschaftsbereichsspezifischen Personenkennzeichens (wbPK) erfolgt analog zur Bildung des gewöhnlichen bPK. Gemäß § 14 Abs. 1 E-GovG kann für die Identifikation von natürlichen Personen im elektronischen Verkehr mit einem Auftraggeber des privaten Bereichs (§ 5 Abs. 3 DSG 2000) durch den Einsatz der Bürgerkarte eine spezifische Ableitung aus dem Hashwert gebildet werden, die aus der Stammzahl des Betroffenen und der Stammzahl des Auftraggebers als Bereichskennung erzeugt wird (wirtschaftsbereichsspezifisches Personenkennzeichen, wbPK). Voraussetzung hiefür ist, dass der Auftraggeber des privaten Bereichs eine für den Einsatz der Bürgerkarte taugliche technische Umgebung eingerichtet hat, in der seine Stammzahl als Bereichskennung im Errechnungsvorgang für das wbPK zur Verfügung gestellt wird.

Algorithmus

Der Algorithmus ist identisch mit dem Algorithmus zur Berechnung des bPK mit Ausnahme veränderter Ausgangsdaten.

  1. Ausgangsdaten:
  • Stammzahl der natürlichen Person, Base64 kodiert
  • Stammzahl des Auftraggebers als Bereichskennung
  1. Bildung der Zeichenkette als Verbindung (string concatenation) aus Stammzahl der natürlichen Person und "+" (als Zeichen) und URN-Präfix und Stammzahl des Auftraggebers.
  • Ist die Stammzahl eine Firmenbuchnummer, so ist diese inklusive des Prüfzeichens anzugeben. Führende Nullen werden unterdrückt. Leerzeichen oder Bindestriche vor dem Prüfzeichen werden nicht angeführt.
  1. Über die entstehende Zeichenkette (den entstehenden String) wird der SHA-1 Algorithmus wie in FIPS PUB 180-1 beschrieben berechnet. Das Resultat dieser Berechnung ist eine 160bit-Zahl (5x32 bit)
  2. Diese 160bit-Zahl kann für programminterne Zwecke direkt verwendet werden. Ansonsten ist diese Zahl Base64 zu kodieren.

URN-Präfix

URN-Präfix := "urn:publicid:gv.at:wbpk+XXX+"

Wobei 'XXX' folgenden Wert annimmt, wenn es sich bei der Stammzahl des Auftraggebers um eine

  • Firmenbuchnummer handelt: "FN"
  • Vereinsregisternummer handelt: "VR"
  • Zahl im Ergänzungsregister für nicht natürliche Personen handelt: "ERJ"
  • Stammzahl einer natürlichen in Österreich meldepflichtigen Person handelt: "ZMR"
  • Stammzahl einer natürlichen Person mit Eintrag im Ergänzungsregister handelt: "ERN"

Nachfolgende Abbildung und Tabelle veranschaulichen das Verfahren grafisch und exemplarisch mit einem Beispiel:

Bild: Ableitung SZ natürliche Person und SZ des Auftraggebers zum wirtschaftsbereichsspezifischen Personenkennzeichen


Beispiel für die Ableitung zum wirtschaftsbereichsspezifischen Personenkennzeichen

Stammzahl, Base64 [5]

Qq03dPrgcHsx3G0lKSH6SQ==
(24 Zeichen)

Stammzahl des Auftraggebers

468924 i

Präfix für Firmenbuchnummer

urn:publicid:gv.at:wbpk+FN+

Eingangsdaten für die Hashberechnung

Qq03dPrgcHsx3G0lKSH6SQ==+urn:publicid:gv.at:wbpk+F N+468924i
(Leerzeichen vor "i" entfernt – siehe Schritt 2)

Hashwert nach SHA-1, hexadezimal

43B8485AB5 6A3FE55946 24E2966DFE 9A2A082B9C (5 x 32 bit)

Hashwert nach SHA-1, Base64

Q7hIWrVqP+VZRiTilm3+mioIK5w= (28 Zeichen)

nach oben

[1] Seedwert: Der seed [engl.: Saat] ist ein beliebiger (Zufalls)wert, der dem Ausgangswert vor der Durchführung kryptografischer Berechnungen beigefügt werden kann. Dadurch werden einerseits Rückschlüsse auf den Ausgangswert erschwert. Andererseits wird der Ausgangswert auf eine bestimmte Größe erweitert. Durch die Verbindung eines Seedwertes mit einem Ausgangswert können kryptografische Algorithmen wirkungsvoll verstärkt werden. Dies ist vor allem dann sinnvoll, wenn beispielsweise die geringe Anzahl an verschiedenen Ausgangswerten ein "systematisches Erraten" des Ausgangwertes möglich erscheinen lässt.
[2] Konkatenieren ist ein Fachbegriff der Informatik und bedeutet "zusammensetzen".
[3] Triple-DES ist ein Verschlüsselungsalgorithmus, der aus Sicherheitsgründen dreimal hintereinander durchlaufen wird. DES ist die Abkürzung für Digital Encryption Standard (ein digitaler Verschlüsselungsstandard), der eine Blockchiffre darstellt, das heißt dass der Ausgangswert in gleich große Blöcke eingeteilt und blockweise verschlüsselt wird.
[4] Cipher-Block-Chaining, abgekürzt CBC, ist eine Betriebsart des Triple-DES Algorithmus, in dem die Verschlüsselung des vorangegangenen Blocks logisch mit dem aktuellen Block vor dessen Verschlüsselung verknüpft wird.
[5] Base64 beschreibt ein Verfahren, bei dem Binärdaten in einen 64 Zeichen großen Zeichensatz (bestehend aus Groß- und Kleinbuchstaben, Ziffern von 0 bis 9, sowie den Zeichen "+", "=" und "/") umgewandelt werden.