Расширенный контроль доступа - Extended Access Control
Расширенный контроль доступа (EAC) представляет собой набор расширенных функций безопасности для электронные паспорта который защищает и ограничивает доступ к конфиденциальным личным данным, содержащимся в RFID чип. В отличие от обычных персональных данных (таких как фотография предъявителя, имена, дата рождения и т. Д.), Которые могут быть защищены с помощью основных механизмов, более конфиденциальные данные (например, отпечатки пальцев или изображения радужной оболочки) должны быть дополнительно защищены для предотвращения несанкционированного доступа и просмотра изображений. Чип, защищенный EAC, позволит считывать эти конфиденциальные данные (через зашифрованный канал) только авторизованной системой проверки паспортов.[1][2]
EAC был представлен ИКАО[3][4] в качестве дополнительной функции безопасности (в дополнение к Базовый контроль доступа ) для ограничения доступа к конфиденциальным биометрический данные в электронном MRTD. Дается общая идея: чип должен содержать индивидуальные ключи чипа, должен иметь возможности обработки, и потребуется дополнительное управление ключами. Однако ИКАО оставляет фактическое решение на усмотрение внедряющих государств.
Существует несколько различных предлагаемых реализаций механизма, каждая из которых должна сохранять Обратная совместимость с наследие Базовый контроль доступа (BAC), что является обязательным для всех Европа страны. Европейская комиссия сообщила, что технология будет использоваться для защиты отпечатков пальцев в электронных паспортах государств-членов. Крайний срок для государств-членов, чтобы начать выдачу электронных паспортов с поддержкой отпечатков пальцев, был установлен на 28 июня 2009 года. Спецификация, выбранная для электронных паспортов ЕС, была подготовлена Германией. Федеральное управление информационной безопасности (BSI) в своем техническом отчете TR-03110.[5] Некоторые другие страны внедряют свои собственные EAC.
EAC согласно определению ЕС
EAC, как определено ЕС, имеет два требования: аутентификация чипа и терминала.[6]
Чип-аутентификация (для надежного шифрования сеанса)
Спецификация аутентификации чипа определяет портативное устройство (считыватель CAP) со слотом для смарт-карты, десятичной клавиатурой и дисплеем, способным отображать не менее 12 символов. Чип аутентификации (CA) выполняет две функции:
- Для аутентификации чипа и подтверждения подлинности чипа. Только подлинный чип может обеспечить безопасную связь.
- Установить надежно защищенный канал связи с использованием пары ключей для конкретного чипа с надежным шифрованием и защитой целостности.
Чип-аутентификация имеет надстройку Basic Access Control (BAC) с защитой от скимминга и подслушивания.
Терминальная аутентификация (доступ ограничен авторизованными терминалами)
Терминальная аутентификация (TA) используется для определения того, система проверки (IS) разрешено считывать конфиденциальные данные из электронного паспорта. Механизм основан на цифровых сертификатах, которые имеют формат карта проверяемая сертификаты.
- Каждой инспекционной системе предоставляется сертификат, подтверждаемый картой (CVC) из верификатор документов (DV). Сертификат системы проверки действителен только в течение короткого периода времени, обычно от 1 дня до 1 месяца.
- В системе проверки может быть установлено несколько CVC в любое время, по одному для каждой страны, что позволяет ей считывать конфиденциальные данные.
- CVC позволяет системе проверки запрашивать один или несколько элементов конфиденциальных данных, таких как данные для Ирис или же распознавание отпечатков пальцев.[7]
Свидетельство о проверке документов выдается от центр сертификации проверки страны (CVCA). Эти сертификаты могут быть для отечественных или зарубежных проверяющих документов. Сертификаты обычно выдаются на средний срок, от полумесяца до 3 месяцев. CVCA создается каждой страной и обычно действует от 6 месяцев до 3 лет.[7]
внешняя ссылка
- ^ G. S. Kc; Каргер П.А. (1 апреля 2005 г.). «Проблемы безопасности и конфиденциальности в машиносчитываемых проездных документах (МСПД)» (PDF). RC 23575 (W0504-003). IBM. Получено 4 января 2012.
- ^ Хавьер Лопес; Пиерангела Самарати; Хосеп Л. Феррер (2007). Инфраструктура открытых ключей: 4-й Европейский семинар по PKI: теория и практика, EuroPKI 2007. Springer. п. 41. ISBN 978-3-540-73407-9.
- ^ «5.8 Безопасность дополнительных биометрических данных». ИКАО Doc 9303, Машиносчитываемые проездные документы, Часть 1: Машиносчитываемые паспорта, Том 2: Спецификации паспортов с электронным управлением и возможностью биометрической идентификации (Шестое изд.). Международная организация гражданской авиации (ИКАО ). 2006. с. 84.
- ^ "Temporat Secure Digital Identity" (PDF). Расширенный контроль доступа EPassport. Белая бумага. Архивировано из оригинал (PDF) 21 октября 2006 г.. Получено 19 июн 2013.
- ^ «Расширенные механизмы безопасности для машиносчитываемых проездных документов - расширенный контроль доступа (EAC)» (PDF). BSI. Получено 2009-11-26.
- ^ Куглер, Деннис (1 июня 2006 г.). «Расширенный контроль доступа; Инфраструктура и контроль» (PDF). Получено 19 июн 2013.
- ^ а б Кюглер, Деннис. «Расширенный контроль доступа: инфраструктура и протокол» (PDF). Получено 2016-05-03.[постоянная мертвая ссылка ]
внешняя ссылка
- OpenSCDP.org - Открытый исходный код EAC-PKI для разработки и тестирования
- EJBCA.org - PKI с открытым исходным кодом (BAC и EAC)
- Спецификации EAC от BSI