Bundesamt für Sicherheit in der Informationstechnik

Sicherheitsmechanismen in elektronischen Ausweisdokumenten

Password Authenticated Connection Establishment (PACE)

Password Authenticated Connection Establishment“ (Passwort authentisierter Verbindungsaufbau, PACE) sorgt dafür, dass der kontaktlose RF-Chip im elektronischen Personalausweis nicht ohne direkten Zugriff ausgelesen werden kann und die mit dem Lesegerät ausgetauschten Daten verschlüsselt übertragen werden.

Dieses Protokoll wird für den elektronischen Personalausweis eingesetzt.

Welches Passwort für PACE benutzt werden kann, hängt vom Berechtigungszertifikat des verwendeten Lesegerätes ab. Im Allgemeinen ist dies die sechs stellige persönliche Geheimnummer „Personal Identification Number“ (PIN), die nur dem Ausweisinhaber bekannt ist.

Bei Lesegeräten mit Berechtigungszertifikaten für den hoheitlichen Einsatz, wie z.B. bei der Grenzkontrolle, ist entweder die auf der Rückseite des elektronischen Personalausweises aufgedruckte maschinenlesbare Zone (Machine Readable Zone, MRZ) oder die auf der Vorderseite aufgedruckte sechs stellige Kartenzugriffsnummer „Card Access Number“ (CAN) ausreichend.

Näheres zu den verschiedenen „Passworten“ finden Sie unter elektronischer Personalausweis.

PACE hat den Vorteil, dass sich die Länge des Passwortes nicht auf das Sicherheitsniveau der Verschlüsselung auswirkt. Das heißt auch bei der im Gegensatz zur MRZ kurzen CAN oder PIN sind die Daten auf dem RF-Chip des elektronischen Personalausweises und während der Übertragung stark geschützt.

Wenn Sie nähere Details über dieses Verfahren wissen wollen, können Sie diese in unserer Technischen Richtlinie BSI-TR-03110 (Englisch) nachlesen.