El control de acceso extendido ( EAC ) es un conjunto de funciones de seguridad avanzadas para pasaportes electrónicos que protege y restringe el acceso a datos personales confidenciales contenidos en el chip RFID . A diferencia de los datos personales comunes (como la fotografía del portador, los nombres, la fecha de nacimiento, etc.) que pueden protegerse mediante mecanismos básicos, los datos más sensibles (como las huellas dactilares o las imágenes del iris) deben protegerse aún más para evitar el acceso no autorizado y el hurto. Un chip protegido por EAC permitirá que estos datos sensibles sean leídos (a través de un canal cifrado) únicamente por un sistema de inspección de pasaportes autorizado. [1] [2]
La EAC fue introducida por la OACI [3] [4] como una característica de seguridad opcional (adicional al control de acceso básico ) para restringir el acceso a datos biométricos confidenciales en un MRTD electrónico . Se da una idea general: el chip debe contener claves individuales, debe tener capacidades de procesamiento y se requerirá administración de claves adicional. Sin embargo, la OACI deja la solución real abierta a los Estados implementadores.
Hay varias implementaciones diferentes propuestas del mecanismo, todas las cuales deben conservar la compatibilidad con el antiguo Control de Acceso Básico (BAC), que es obligatorio en todos los países de la UE . La Comisión Europea describió que la tecnología se utilizará para proteger las huellas dactilares en los pasaportes electrónicos de los estados miembros. La fecha límite para que los estados miembros comenzaran a emitir pasaportes electrónicos con huellas dactilares era el 28 de junio de 2009. La especificación seleccionada para los pasaportes electrónicos de la UE fue preparada por la Oficina Federal Alemana para la Seguridad de la Información (BSI) en su informe técnico TR-03110. . [5] Varios otros países implementan su propia CAO.
EAC, tal como lo define la UE, tiene dos requisitos: chip y autenticación de terminal. [6]
La especificación de autenticación de chip define un dispositivo portátil (lector CAP) con una ranura para tarjeta inteligente, un teclado decimal y una pantalla capaz de mostrar al menos 12 caracteres. La autenticación de chip (CA) tiene dos funciones:
La autenticación por chip tiene un control de acceso básico (BAC) adicional con protección contra el robo y las escuchas ilegales.
La autenticación de terminal (TA) se utiliza para determinar si el sistema de inspección (IS) puede leer datos confidenciales del pasaporte electrónico. El mecanismo se basa en certificados digitales que se presentan en formato de certificados verificables con tarjeta .
La autoridad de certificación de verificación del país (CVCA) otorga un certificado de verificador de documentos . Estos certificados pueden ser para verificadores de documentos nacionales o extranjeros. Los certificados suelen emitirse por periodos de tiempo medios, entre medio mes y 3 meses. El CVCA lo genera cada país y suele tener una validez de 6 meses a 3 años. [7]