电子护照安全机制及测试
SAC基于PACE协议技术并通过引入非对称算法建立跟密码无关的更强的会话密钥。当卡片既支持PACE又支持BAC时,必须使用PACE,通关检查系统必须具有PACE功能。PACE协议中使用了DH或ECDH算法,这种算法也在EAC的CA(Chip Authentication)中使用,可以认为SAC正是ICAO将CA通过PACE协议形式引入的,这种技术仍是基于芯片运算的(需支持AES),故该功能在电子护照推广中对芯片运算功能有要求。SAC的特点是采用密钥交换算法,其有效性依赖于计算离散对数的难度,需要防重演攻击和中间人攻击,SAC采取的措施是通过随机数来协商一个临时全局参数用来防重演攻击,认证令牌用来防中间人攻击。
EAC的特点是加入了证书期限并进行了管理,包括芯片认证(CA)和终端认证(TA)两个步骤,其中CA是类似AA的技术,用于验证电子护照中芯片的真实性,支持算法有:DH算法和ECDH算法,需要读取DG14中公钥信息通过密钥交换算法产生新的加密通道用的密钥对(KENC,KMAC);
评论