Navigation und Service


BSI TR-03110 Advanced Security Mechanisms for Machine Readable Travel Documents and eIDAS token

Die BSI TR-03110 spezifiziert die Sicherheitsmechanismen für maschinenlesbare Reisedokumente und eIDAS Token. Die Spezifikation bildet insbesondere die Grundlage für die Sicherheitsmechanismen des deutschen Personalausweises und des Aufenthaltstitels (TR-03127) sowie europäischer Reisepässe und Führerscheine, und enthält darüber hinaus weitere Mechanismen.

Die BSI TR-03110 ist in folgende Teile gegliedert:

This picture illustrates the TR structure.Structure of TR-03110

Protokolle

Die aktuelle Version dieser Technischen Richtlinie spezifiziert die folgenden Protokolle zur Absicherung von personenbezogenen Daten, die in elektronischen Ausweisen gespeichert werden:

Password Authenticated Connection Establishment (PACE)

PACE ist ein Authentisierungsmechanismus zwischen Terminal und Chip und basiert auf einem gemeinsamen Passwort, einer geheimen PIN (Personal Identification Number, persönliche Geheimzahl), die nur dem Inhaber bekannt ist, oder einer CAN bzw. MRZ (Card Access Number, Kartenzugriffsnummer bzw. Maschine Readable Zone, Maschinenlesbare Zone), die auf dem Dokument aufgedruckt ist. Das Verfahren dient zum initialen Aufbau einer sicheren Verbindung.
Das Verfahren wird beim elektronischen Reisepass und dem Personalausweis Zugriffsschutz verwendet.

Extended Access Control (EAC)

Extended Access Control ist eine gegenseitige Authentisierung zwischen Terminal und Chip bestehend aus zwei Unterprotokollen: Terminal Authentication und Chip Authentication. Terminal Authentication schränkt den Zugriff auf die auf dem Chip gespeicherten Daten auf berechtigte Terminals ein. Die Autorisierung erfolgt über eine Public Key Infrastruktur (PKI). Chip Authentication bietet nicht nur eine Echtheitsprüfung des Chips, sondern erzwingt auch eine starke Verschlüsselung und Integritätssicherung der übertragenen Daten.

  • Beim elektronischen Reisepass (ePass) wird das Verfahren zur Absicherung der gespeicherten Fingerabdrücke verwendet.
  • Beim Personalausweis (ePA) wird das Verfahren zur Absicherung aller gespeicherter personenbezogener Daten eingesetzt.

Restricted Identification (RI)

Restricted Identification kann zur Erzeugung von Pseudonymen verwendet werden, die spezifisch für einen Chip und den Terminal-Sektor (z. B. alle Terminals eines Diensteanbieters) sind. Dadurch wird es einem (authentisierten) Terminal möglich, einen Chip basierend auf dem zuvor erhaltenen Pseudonym wiederzuerkennen, ohne personenbezogene Daten auszulesen. Weiterhin ist es nicht möglich, die Pseudonyme zwischen verschiedenen Sektoren zu verketten.
Dieses Verfahren wird beim Personalausweis als Datenschutzmechanismus verwendet.

Pseudonyme Signaturen (PS)

Pseudonyme Signaturen ist ein Protokoll, mit dem Daten unter einem chip- und sektorspezifischem Pseudonym signiert werden können. Das Protokoll kann als Alternative zu Restricted Identification verwendet werden und ist auch Bestandteil einer Version der Chip Authentication.

Enhanced Role Authentication (ERA)

Enhanced Role Authentication ist ein Mechanismus, mit dem Anfragen zur Speicherung zusätzlicher Attribute auf dem Chip gespeichert werden können. Sogenannte Attribut Provider können diese Anfragen lesen und entsprechende Attribute durch Speicherung auf dem Chip für berechtige Dienstanbieter zur Verfügung stellen. Im Gegensatz zum Modell des Identitätsproviders kann dem Attributprovider hierbei verborgen werden, mit welchen Dienstanbieter der Chip jeweils kommuniziert.

Downloads

Aktuelle Version der TR-03110

Neben den aktuellen Versionen werden folgende Versionen der BSI TR-03110 international referenziert:

Worked Example zur TR-03110

Datei ist nicht barrierefrei  EAC Worked Example to TR-03110 (zip, 1,46 MB)


© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved