Navigation und Service


BSI TR-03110 Advanced Security Mechanisms for Machine Readable Travel Documents

Seit Version 2.00 dieser Technischen Richtlinie werden drei Protokolle zur Absicherung von personenbezogenen Daten spezifiziert, die in elektronischen Ausweisen gespeichert werden:

Extended Access Control (EAC)

Extended Access Control ist eine gegenseitige Authentisierung zwischen Terminal und Chip bestehend aus zwei Unterprotokollen: Terminal Authentication und Chip Authentication. Terminal Authentication schränkt den Zugriff auf die auf dem Chip gespeicherten Daten auf berechtigte Terminals ein. Die Autorisierung erfolgt über eine Public Key Infrastruktur (PKI). Chip Authentication bietet nicht nur eine Echtheitsprüfung des Chips, sondern erzwingt auch eine starke Verschlüsselung und Integritätssicherung der übertragenen Daten.

  • Beim elektronischen Reisepass (ePass) wird das Verfahren zur Absicherung der gespeicherten Fingeraqbdrücke verwendet.
  • Beim elektronischen Personalausweis (ePA) ist geplant, das Verfahren zur Absicherung aller gespeicherter personenbezogener Daten einzusetzen.

Password Authenticated Connection Establishment (PACE)

PACE ist ein weiterer gegenseitiger Authentisierungsmechanismus zwischen Terminal und Chip basiert aber auf einem gemeinsamen Passwort, z. B. einer geheimen PIN (Personal Identification Number, persönliche Geheimzahl) die nur dem Inhaber bekannt ist, oder einer CAN (Card Access Number, Kartenzugriffsnummer) die auf dem Dokument aufgedruckt ist. Das Verfahren dient zum initialen Aufbau einer sicheren Verbindung. Beim elektronischen Personalausweis ist geplant, mit PACE das Basic Access Control Verfahren zu ersetzen.

Restricted Identification (RI)

Restricted Identification kann zur Erzeugung von Pseudonymen verwendet werden, die spezifisch für einen Chip und den Terminal-Sektor (z. B. alle Terminals eines Diensteanbieters) sind. Dadurch wird es einem (authentisierten) Terminal möglich, einen Chip basierend auf dem zuvor erhaltenen Pseudonym wiederzuerkennen, ohne personenbezogene Daten auszulesen. Weiterhin ist es nicht möglich, die Pseudonym zwischen verschiedenen Sektoren zu verketten.

Downloads

Beta-Version

Aktuelle Beta-Versionen der nächsten Version der TR-03110 (eIDAS-Spezifikationen)

Worked Example zur TR-03110

Datei ist barrierefrei⁄barrierearm  EAC Worked Example (zip, 1,46 MB)


© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved