Bundesamt für Sicherheit in der Informationstechnik

Sicherheitsmechanismen in elektronischen Ausweisdokumenten

Passive Authentication (PA)

Passive Authentication“ (Passive Authentisierung, PA) dient dazu, die Echtheit und Unverfälschtheit der Daten auf dem RF-Chip des Ausweisdokuments zu prüfen.

Bei der Herstellung eines elektronischen Ausweisdokuments werden die im RF-Chip gespeicherten Daten digital signiert. Dazu wird ein so genanntes Document Signer Zertifikat verwendet, welches wiederum mit dem CSCA-Zertifikat (Country Signer Certificate Authority Zertifikat) der ausstellenden Nation signiert ist und nur dem offiziell beauftragten Passhersteller zur Verfügung steht. Dieses Zertifikat bildet die Wurzel der CSCA-PKI (Country Signer Certificate Authority Public Key Infrastructure), einer Hierarchie für die Zertifikate zum Nachweis der Unverfälschtheit von Daten auf Ausweisdokumenten.

Beim Lesen eines Ausweisdokumentes wird mittels der Passiven Authentisierung die Signatur der im RF-Chip gespeicherten Daten geprüft und bis zum CSCA-Zertifikat zurückverfolgt. So kann festgestellt werden, ob die Daten im Ausweisdokument vom offiziell beauftragten Passhersteller im RF-Chip gespeichert wurden und ob diese unverfälscht sind.

Wenn Sie nähere Details über dieses Verfahren wissen wollen, können Sie diese in unserer Technischen Richtlinie BSI-TR-03110 (Englisch) nachlesen.