Utökad åtkomstkontroll

Extended Access Control ( EAC ) är en uppsättning avancerade säkerhetsfunktioner för elektroniska pass som skyddar och begränsar åtkomst till känsliga personuppgifter som finns i RFID -chippet. Till skillnad från vanliga personuppgifter (som bärarens fotografi, namn, födelsedatum etc.) som kan skyddas med grundläggande mekanismer, måste känsligare data (som fingeravtryck eller irisbilder) skyddas ytterligare för att förhindra obehörig åtkomst och skumning. Ett chip skyddat av EAC tillåter att denna känsliga information endast läses (genom en krypterad kanal) av ett auktoriserat passkontrollsystem.

EAC introducerades av ICAO som en valfri säkerhetsfunktion (utöver Basic Access Control ) för att begränsa tillgången till känsliga biometriska data i en elektronisk MRTD . En allmän idé ges: chippet måste innehålla chip-individuella nycklar, måste ha bearbetningsmöjligheter och ytterligare nyckelhantering kommer att krävas. ICAO lämnar dock den faktiska lösningen öppen för genomförandestaterna.

Det finns flera olika föreslagna implementeringar av mekanismen, som alla måste behålla bakåtkompatibilitet med den äldre Basic Access Control (BAC), som är obligatorisk i alla EU - länder. EU-kommissionen beskrev att tekniken kommer att användas för att skydda fingeravtryck i medlemsländernas e-pass. Tidsfristen för medlemsstaterna att börja utfärda fingeravtrycksaktiverade e-pass var satt till den 28 juni 2009. Den specifikation som valts för EU e-pass utarbetades av det tyska förbundskontoret för informationssäkerhet (BSI) i deras tekniska rapport TR - 03110 . Flera andra länder implementerar sin egen EAC.

EAC enligt definitionen av EU

EAC som definieras av EU har två krav: chip- och terminalautentisering.

Chipautentisering (för stark sessionskryptering)

Chipautentiseringsspecifikationen definierar en handhållen enhet (CAP-läsare) med en kortplats för smartkort, en decimalknappsats och en display som kan visa minst 12 tecken. Chip-autentisering (CA) har två funktioner:

• För att autentisera chippet och bevisa att chippet är äkta. Endast ett äkta chip kan implementera kommunikation säkert.
• Att etablera en starkt säker kommunikationskanal med hjälp av ett chip-specifikt nyckelpar med stark kryptering och integritetsskydd.

Chipautentisering har ett tillägg Basic Access Control (BAC) med skydd mot skumning och avlyssning.

Terminalautentisering (åtkomst begränsad till auktoriserade terminaler)

Terminalautentisering (TA) används för att avgöra om inspektionssystemet (IS) tillåts läsa känslig information från e-passet. Mekanismen är baserad på digitala certifikat som kommer i formatet av kortverifierbara certifikat.

• Varje inspektionssystem beviljas ett kortverifierbart certifikat (CVC) från en dokumentverifierare (DV). Kontrollsystemets certifikat är endast giltigt under en kort tidsperiod, vanligtvis mellan 1 dag och 1 månad.
• Ett inspektionssystem kan ha flera CVC:er installerade när som helst, en för varje land som tillåter det att läsa känslig information.
• CVC tillåter inspektionssystemet att begära en eller flera känsliga uppgifter, såsom data för iris eller fingeravtrycksigenkänning .

Ett dokumentverifieringscertifikat beviljas från landsverifieringscertifikatmyndigheten ( CVCA) . Dessa certifikat kan vara för inhemska eller utländska dokumentkontrollanter. Certifikaten utfärdas vanligtvis för medellång tid, mellan en halv månad och 3 månader. CVCA genereras av varje land och är vanligtvis giltig i 6 månader till 3 år.

externa länkar

externa länkar

• OpenSCDP.org – Open Source EAC-PKI för utveckling och testning
• EJBCA.org – Open Source PKI (BAC och EAC)
• EAC-specifikationer från BSI