Bundesamt für Sicherheit in der Informationstechnik

Sicherheitsmechanismen in elektronischen Ausweisdokumenten

Mit den Sicherheitsmechanismen in elektronischen Ausweisdokumenten werden folgende Sicherheitsziele verfolgt:

  • Datenschutz: zum einen sollen die persönlichen Daten des Ausweisinhabers vor unbefugten Zugriffen geschützt sein,
  • Fälschungssicherheit und Authentizität: zum anderen muss sichergestellt werden, dass das Ausweisdokument von einer staatlichen Institution ausgestellt wurde und eine eventuelle Verfälschung der enthaltenen Daten entdeckt wird.

Im Folgenden werden Protokolle und andere Maßnahmen vorgestellt, die eingesetzt werden, um die oben genannten Sicherheitsaspekte zu unterstützen:

Kurz-
form
Titel Zweck
BACBasic Access ControlGrundlegende Zugriffskontrolle, schützt vor Auslesen des RF-Chips auf Entfernung
PACEPassword Authenticated Connection EstablishmentZugriffskontrolle, schützt vor Auslesen des RF-Chips auf Entfernung

EAC

Extended Access ControlErweiterte Zugangskontrolle bestehend aus verschiedenen Protokollen
CA: Chip AuthenticationAufbau einer gesicherten Verbindung und Erkennung „geklonter“ RF-Chips, Chip Authentication gehört zum EAC-Protokoll
TA: Terminal AuthenticationAuthentisierung des Lesegerätes zum Auslesen sensibler Daten vom RF-Chip, Terminal Authentication gehört zum EAC-Protokoll
PAPassive AuthentisierungPrüfung der Echtheit und Unverfälschtheit der Daten auf dem RF-Chip

PKI

Public Key InfrastructureHierarchie von digitalen Zertifikaten
CSCA: Country Signing Certification AuthorityHierarchie von digitalen Zertifikaten zur Signierung von Daten in elektronischen Ausweisdokumenten
CVCA: Country Verifying Certification AuthorityHierarchie von digitalen Zertifikaten zur Leseberechtigung bei elektronischen Ausweisdokumenten