Grundläggande åtkomstkontroll

Basic Access Control (BAC) är en mekanism specificerad för att säkerställa att endast auktoriserade parter trådlöst kan läsa personlig information från pass med ett RFID -chip. Den använder data som passnummer, födelsedatum och utgångsdatum för att förhandla fram en sessionsnyckel. Denna nyckel kan sedan användas för att kryptera kommunikationen mellan passchippet och en läsenhet. Denna mekanism är avsedd att säkerställa att ägaren av ett pass kan bestämma vem som kan läsa det elektroniska innehållet i passet. Denna mekanism infördes först i det tyska passet den 1 november 2005 och används nu även i många andra länder (t.ex. USA-pass sedan augusti 2007).

Inre arbeten

Data som används för att kryptera BAC-kommunikationen kan läsas elektroniskt från botten av passet som kallas den maskinläsbara zonen . Eftersom fysisk tillgång till passet antas behövas för att känna till denna del av passet antas det att ägaren av passet har gett tillstånd att läsa passet. Utrustning för optisk scanning av denna del av passet används redan i stor utsträckning. Den använder ett OCR- system för att läsa texten som skrivs ut i ett standardiserat format.

säkerhet

Det finns en omspelsattack mot det grundläggande åtkomstkontrollprotokollet som gör att ett individuellt pass kan spåras. Attacken bygger på att kunna skilja en misslyckad nonce-kontroll från en misslyckad MAC-kontroll och fungerar mot pass med slumpmässiga unika identifierare och svåra att gissa nycklar.

Den grundläggande åtkomstkontrollmekanismen har kritiserats för att ge för lite skydd mot otillåten avlyssning. Forskare hävdar att eftersom det bara finns ett begränsat antal pass utfärdade, kommer många teoretiskt möjliga passnummer inte att användas i praktiken. Det begränsade utbudet av mänskliga åldersintervall minskar utrymmet för möjligheter ytterligare.

Med andra ord, data som används som en krypteringsnyckel har låg entropi , vilket betyder att det är möjligt att gissa sessionsnyckeln via en blygsam brute force-attack .

Denna effekt ökar när passnummer utfärdas sekventiellt eller innehåller en överflödig kontrollsumma . Båda har bevisats vara fallet i pass utfärdade av Nederländerna [ hänvisning behövs ] . Det finns andra faktorer som potentiellt kan användas för att påskynda en brute force attack. Det finns det faktum att födelsedatum vanligtvis inte fördelas slumpmässigt i populationer. Födelsedatum kan fördelas ännu mindre slumpmässigt för de segment av en befolkning som passerar, till exempel en incheckningsdisk på en flygplats. Och det faktum att pass ofta inte utfärdas alla veckodagar och under alla veckor på året. Därför kanske inte alla teoretiskt möjliga utgångsdatum används. Dessutom begränsar det faktum att riktiga befintliga datum används ytterligare antalet möjliga kombinationer: Månaden utgör två av siffrorna som används för att generera nyckeln. Vanligtvis skulle två siffror betyda 100 (00−99) kombinationer i decimalkod eller (36×36=1296) kombinationer i alfanumerisk kod. Men eftersom det bara är 12 månader finns det bara 12 kombinationer. Det är samma sak med dagen (två siffror och 31 kombinationer eller mindre, beroende på månad).

Det tyska passets serienummerformat (tidigare 10-siffrigt, helt numeriskt, sekventiellt tilldelat) ändrades den 1 november 2007, som svar på farhågor om den låga entropin hos BAC-sessionsnycklar. Det nya serienumret på 10 tecken är alfanumeriskt och genereras med hjälp av ett specialdesignat blockchiffer för att undvika ett igenkännbart samband med utgångsdatumet och öka entropin. Dessutom används nu en offentlig nyckelbaserad utökad åtkomstkontrollmekanism för att skydda all information i RFID-chippet som går utöver ICAO:s minimikrav, särskilt fingeravtrycksbilder.

Se även

Källor

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=Basic_access_control&oldid=1107739473 "