Из Википедии, свободной энциклопедии
Перейти к навигацииПерейти к поиску

Дополнительный контроль доступа ( SAC ) - это набор функций безопасности, определенных ИКАО [1] для защиты данных, содержащихся в электронных проездных документах (например, электронных паспортах ). SAC определяет протокол установления соединения с аутентификацией паролем (PACE), который сам дополняет и улучшает протокол базового контроля доступа (BAC), также установленный ИКАО. [2] PACE, как и BAC, предотвращает два типа атак: [3]

  • Скимминг (онлайн-атака, заключающаяся в считывании RFID- чипа без физического доступа к документу и без согласия держателя). Перед считыванием чипа система проверки должна знать некоторые данные, напечатанные на документе (например, МСЗ ), или ключ, известный только держателю ( персональный идентификационный номер (ПИН)), что означает, что он добровольно передал документ для проверки. В то время как BAC работает только с MRZ, PACE позволяет использовать номера доступа к карте (короткие ключи, напечатанные на документе) и PIN-коды.
  • Подслушивание (офлайн-атака, которая начинается с записи данных, которыми обмениваются считыватель и чип, для последующего анализа). Система проверки использует PACE для установления безопасного канала связи с бесконтактным чипом, но с использованием более надежной криптографии, чем BAC. PACE предлагает отличную защиту от офлайн-атак, повышая безопасность документов, содержащих бесконтактные чипы, до уровня документов, использующих контактные чипы.

С внедрением PACE начинается третье поколение электронных паспортов. [4] [5] [6] Члены ЕС должны внедрить ПАСЕ в электронных паспортах к концу 2014 года. [7] Государства, ради глобальной совместимости, не должны внедрять ПАСЕ без внедрения BAC, а системы проверки должны внедрять ПАСЕ и используйте его, если он поддерживается микросхемой МСПД. Таким образом, важно, чтобы была достигнута глобальная функциональная совместимость, чтобы сделать усовершенствование надежным для процесса проверки документов. Для достижения интероперабельности существуют так называемые тесты интероперабельности. Результаты последнего теста, посвященного SAC, описывают текущее состояние внедрения в этой области. [8]

Версия 1.1 (апрель 2014 г.) технического отчета ИКАО «Дополнительный контроль доступа» представляет протокол аутентификации чипа в качестве альтернативы активной аутентификации и интегрирует его с PACE, создавая новый протокол (Chip Authentication Mapping, PACE-CAM [9] ), который позволяет более быстрое выполнение, чем отдельные протоколы.[10]

Ссылки

  1. ^ Дополнительный контроль доступа для машиносчитываемых проездных документов (PDF) . Международная организация гражданской авиации ( ИКАО ). Ноябрь 2010 г.
  2. ^ Doc 9303 ИКАО, Машиносчитываемые проездные документы, Часть 1: Машиносчитываемые паспорта, Том 2: Спецификации для электронных паспортов с возможностью биометрической идентификации (PDF) (Шестое изд.). Международная организация гражданской авиации ( ИКАО ). 2006. Архивировано из оригинального (PDF) 05.06.2015.
  3. ^ Йенс Бендер, Деннис Кюглер (2009). Представляем решение PACE (PDF) . Bundesamt für Sicherheit in der Informationstechnik.
  4. ^ Gemalto (октябрь 2011). Переход к третьему поколению электронных паспортов (PDF) .
  5. ^ Verna Хейно (Gemalto) (апрель 2011). Переход к третьему поколению электронных паспортов . Кремниевый траст.
  6. ^ Markus Mösenbacher (2013). Предотвращение мошенничества в электронных паспортах и ​​eID (PDF) . NXP.
  7. ^ Европейская комиссия (август 2011 г.). Решение Комиссии C (2011) 5499, вносящее поправки в Решение Комиссии C (2006) 2909, устанавливающее технические спецификации стандартов для защитных элементов и биометрии в паспортах и ​​проездных документах, выдаваемых государствами-членами (PDF) .
  8. ^ Хольгер Функе (2014). «Результаты тестов на совместимость в Мадриде» . blog.protocolbench.org.
  9. ^ Хольгер Функе (2015). «Отображение аутентификации чипа» . blog.protocolbench.org.
  10. ^ TR - Дополнительный контроль доступа для МСПД V1.1 (PDF) . ИКАО. 2014 г.