Дополнительный контроль доступа
Дополнительный контроль доступа ( SAC ) — это набор функций безопасности, определенных ИКАО. [1] для защиты данных, содержащихся в электронных проездных документах (например, электронных паспортах ). SAC определяет протокол установления соединения с проверкой пароля (PACE), который сам по себе дополняет и совершенствует протокол базового контроля доступа (BAC), также установленный ИКАО. [2] PACE, как и BAC, предотвращает два типа атак: [3]
- Скимминг (онлайн-атака, заключающаяся в считывании RFID- чипа без физического доступа к документу и без согласия владельца). Прежде чем считать чип, системе проверки необходимо знать некоторые данные, напечатанные на документе (например, МСЗ ), или ключ, который известен только владельцу ( персональный идентификационный номер (ПИН)), что означает, что он добровольно передал чип. документ для проверки. В то время как BAC работает только с MRZ, PACE позволяет использовать номера доступа к картам (короткие клавиши, напечатанные на документе) и PIN-коды.
- Подслушивание (автономная атака, которая начинается с записи данных, которыми обмениваются считыватель и чип, для последующего анализа). Система проверки использует PACE для установления безопасного канала связи с бесконтактным чипом, но использует более надежную криптографию, чем BAC. PACE предлагает отличную защиту от офлайн-атак, повышая безопасность документов, содержащих бесконтактные чипы, до уровня документов, использующих контактные чипы.
С внедрением ПАСЕ начинается третье поколение электронных паспортов. [4] [5] [6] Члены ЕС должны внедрить PACE в электронные паспорта к концу 2014 года. [7] Государства в целях глобальной совместимости не должны внедрять PACE без внедрения BAC, а системы проверки должны внедрять PACE и использовать его, если он поддерживается чипом МСПД. Таким образом, важно обеспечить глобальную функциональную совместимость, чтобы сделать усовершенствование надежным для процесса проверки документов. Для достижения совместимости существуют так называемые тесты совместимости. Результаты последнего теста, посвященного SAC, описывают текущее состояние реализации в этой области. [8]
Версия 1.1 (апрель 2014 г.) технического отчета ИКАО «Дополнительный контроль доступа» представляет протокол аутентификации с помощью чипа в качестве альтернативы активной аутентификации и интегрирует его с PACE, создавая новый протокол (отображение аутентификации чипа, PACE-CAM). [9] ), что обеспечивает более быстрое выполнение, чем отдельные протоколы. [10]
Ссылки
[ редактировать ]- ^ Дополнительный контроль доступа для машиносчитываемых проездных документов (PDF) . Международная организация гражданской авиации ( ИКАО ). Ноябрь 2010 г.
- ^ Документ ИКАО 9303, Машиносчитываемые проездные документы, Часть 1. Машиносчитываемые паспорта, Том 2. Спецификации для паспортов с электронным управлением и возможностью биометрической идентификации (PDF) (Шестое изд.). Международная организация гражданской авиации ( ИКАО ). 2006. Архивировано из оригинала (PDF) 5 июня 2015 г.
- ^ Йенс Бендер, Деннис Кюглер (2009). Представляем решение PACE (PDF) . Федеральное управление информационной безопасности.
- ^ Джемальто (октябрь 2011 г.). Переход к третьему поколению электронных паспортов (PDF) .
- ^ Верна Хейно (Gemalto) (апрель 2011 г.). Переход к третьему поколению электронных паспортов . Силиконовый трест.
- ^ Маркус Мёзенбахер (2013). Предотвращение мошенничества с электронными паспортами и идентификаторами eID (PDF) . НХП.
- ^ Европейская комиссия (август 2011 г.). Решение Комиссии C(2011) 5499, вносящее поправки в Решение Комиссии C(2006) 2909, устанавливающее технические спецификации стандартов элементов безопасности и биометрии в паспортах и проездных документах, выдаваемых государствами-членами (PDF) .
- ^ Хольгер Функе (2014). «Результаты испытаний совместимости в Мадриде» . blog.protocolbench.org.
- ^ Хольгер Функе (2015). «Сопоставление аутентификации чипа» . blog.protocolbench.org.
- ^ TR — Дополнительный контроль доступа для МСПД, версия 1.1 (PDF) . ИКАО. 2014.