Zum Inhalt springen

Basic Access Control

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 4. Mai 2005 um 17:06 Uhr durch 213.39.190.234 (Diskussion) (neuer Artikel mit abstrakter Beschreibung der Authentifizierung zwischen MRTD und Inspektionssystem, Quelle : http://www.icao.int/mrtd speziell PKI Spezifikation). Sie kann sich erheblich von der aktuellen Version unterscheiden.
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Basic Access Control bezeichnet das Authentifizierungsverfahren zwischen einem Inspektionssystem und einem maschinenlesbaren Reisedokument um einen verschlüsselten Datenaustausch zu ermöglichen.

Das Verfahren setzt voraus, dass der Dokumenteninhaber sein Reisedokument (z.B. Reisepass) zur Inspektion vorlegt. Somit ist sichergestellt, dass sensible Daten nicht ohne Einwilligung des Reisenden ausgelesen werden koennen.


Das Verfahren

  • Schlüsselerzeugung
  1. Der Reisende legt sein Reisedokument zur Inspektion vor.
  2. Ein optisches Lesegerät liest die, auf dem Dokument gedruckte, maschinenlesbare Zone (MRZ) aus.
  3. Aus den Daten werden die Dokumentennummer, das Geburtsdatum und das Ablaufdatum inklusive der Prüfziffern extrahiert.
  4. Aus den extrahierten Daten werden zwei Schlüssel, K_ENC und K_MAC erzeugt, welche zur Verschlüsselung der folgenden Kommandos und zur Prüsummenberechnung verwendet werden.


  • Authentifizierung und Etablierung der Sitzungsschlüssel
  1. Von dem Dokumentenchip wird eine Zufallszahl RND_ICC erzeugt und an das Inspektionssystem gesendet.
  2. Das Inspektionssystem erzeugt zwei Zufallszahlen, RND_IFD und K_IFD.
  3. Die Verkettung der Zufallszahlen wird mit dem Schlüssel K_ENC verschlüsselt und das Ergebnis mit einer, auf dem Schlüssel K_MAC basierenden, MAC-Prüfsumme versehen.
  4. Die Daten werden zusammen mit einem Authetifizierungkommando an den Dokumentenchip gesendet.
  5. Der Chip verifiziert und entschlüsselt die Daten und vergleicht die enthaltene Zufallszahl mit der zuvor gesendeten.
  6. Der Chip erzeugt eine weitere Zufallszahl K_ICC und bildet die XOR-Verknüpfung aus K_ICC und K_IFD als Grundlage für die Erzeugung der Sitzungsschlüssel KS_ENC und KS_MAC.
  7. Die Verkettung der Zufallszahlen RND_ICC, RND_IFD und K_ICC wird mit dem Schlüssel K_ENC verschlüsselt und das Ergebnis mit einer, auf dem Schlüssel K_MAC basierenden, MAC-Prüfsumme versehen und zurück an das Inspektionssystem geschickt. Für die spätere Kommunikation wird aus den jeweils vier niderwertigen Bytes der Zufallszahlen RND_ICC und RND_IFD ein acht Byte langer Zähler generiert.


  • Beginn der gesicherten Kommunikation
  1. Das Inspektionssystem verifiziert die Gültigkeit der Antwort des Chips und entschlüsselt das Ergebnis.
  2. Aus dem Ergebnis werden nun ebenfalls die Sitzungsschlüssel und der acht Byte lange Zähler errechnet.


Sichere Kommunikation

Die nun folgende Kommunikation zwischen dem Inspektionssystem und dem Reisedokument wird als Secure Messaging bezeichnet. Eine Nachricht wird jeweils mit einem Sitzungsschlüssel verschlüsselt und das Ergebnis mit einer Prüfsumme versehen. Vor jeder Prüfsummenberechnung wird der Sitzungszähler erhöht und den zur Prüfsummenberechnug herangezogenen Daten vorangestellt. Die Verschlüsselung und Prüfsummenberechnung werden mit den erzeugten Schlüsseln KS_ENC und KS_MAC durchgeführt.


Weitere Informationen

http://www.icao.int/mrtd - Webseite der ICAO

PKI for Machine Readable Travel Documents offering ICC read-only access v1.1

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Basic_Access_Control&oldid=5642783