Bundesamt für Sicherheit in der Informationstechnik

Sicherheitsmechanismen in elektronischen Ausweisdokumenten

Chip Authentication (CA)

Chip Authentication“ (Chip Authentisierung, CA) dient dazu, eine gesicherte Verbindung zwischen RF-Chip und Lesegerät aufzubauen und „geklonte“ RF-Chips in Ausweisdokumenten aufzudecken.

In jedem RF-Chip eines Ausweisdokumentes, welches dieses Protokoll unterstützt, ist ein Schlüsselpaar speziell für diesen Chip gespeichert. Dieses besteht aus einem privaten und einem öffentlichen Schlüssel. Der private Schlüssel wird in einem bestimmten Bereich des RF-Chips gespeichert, aus dem er nicht ausgelesen werden kann. Auch wenn der komplette Chip „geklont“ (kopiert) wird, ist es daher nicht möglich, diesen privaten Schlüssel mit zu kopieren.

Bei der Chip Authentisierung wird nun der öffentliche Schlüssel zusammen mit einer Zufallszahl an das Lesegerät geschickt. Das Lesegerät erzeugt bei jedem Lesevorgang ebenfalls ein eigenes Schlüsselpaar, bestehend aus einem öffentlichen und einem geheimen Schlüssel, und schickt seinen öffentlichen Schlüssel an den RF-Chip. Nun können sowohl der RF-Chip als auch das Lesegerät jeweils aus ihrem eigenen privaten Schlüssel, dem öffentlichen Schlüssel des anderen und der Zufallszahl denselben geheimen Schlüssel berechnen. Dieser geheime Schlüssel sichert in der weiteren Kommunikation zwischen RF-Chip und Lesegerät die starke Verschlüsselung der Daten.

Mit Hilfe des gemeinsamen geheimen Schlüssels kann nun das Lesegerät prüfen, ob der Chip den richtigen privaten Schlüssel besitzt. Ein „geklonter“ Chip kann den originalen privaten Schlüssel nicht besitzen, würde er einfach einen anderen privaten Schlüssel benutzen, wäre das gemeinsame Passwort falsch. Wenn für einen „geklonten“ RF-Chip ein neues Schlüsselpaar erzeugt worden wäre, würde dies bei der Passiven Authentisierung auffallen, da der öffentliche Schlüssel durch eine digitale Signatur gegen unbemerkte Veränderungen geschützt ist.

Chip Authentisierung ist ein Teil des EAC Protokolls. Wenn Sie nähere Details über dieses Verfahren wissen wollen, können Sie diese in unserer Technischen Richtlinie BSI-TR-03110 (Englisch) nachlesen.