Control de acceso extendido

El Control de Acceso Extendido ( EAC ) es un conjunto de características de seguridad avanzadas para pasaportes electrónicos que protege y restringe el acceso a datos personales sensibles contenidos en el chip RFID . A diferencia de los datos personales comunes (como la fotografía del portador, los nombres, la fecha de nacimiento, etc.) que pueden protegerse mediante mecanismos básicos, los datos más sensibles (como las huellas dactilares o las imágenes del iris) deben protegerse aún más para evitar el acceso no autorizado y el robo de datos. Un chip protegido por EAC permitirá que estos datos sensibles sean leídos (a través de un canal cifrado) solo por un sistema de inspección de pasaportes autorizado. ^{[1] [2]}

La OACI ^{[3] [4]} introdujo el control de acceso básico como una característica de seguridad opcional (adicional al control de acceso básico ) para restringir el acceso a datos biométricos sensibles en un DVLM electrónico . Se da una idea general: el chip debe contener claves individuales, debe tener capacidades de procesamiento y se requerirá una gestión de claves adicional. Sin embargo, la OACI deja la solución real abierta a los Estados que la implementen.

Existen varias propuestas de implementación del mecanismo, todas las cuales deben mantener la compatibilidad con el antiguo Control de Acceso Básico (BAC), que es obligatorio en todos los países de la UE . La Comisión Europea describió que la tecnología se utilizará para proteger las huellas dactilares en los pasaportes electrónicos de los estados miembros. La fecha límite para que los estados miembros comiencen a emitir pasaportes electrónicos habilitados para huellas dactilares fue fijada para el 28 de junio de 2009. La especificación seleccionada para los pasaportes electrónicos de la UE fue preparada por la Oficina Federal Alemana para la Seguridad de la Información (BSI) en su informe técnico TR-03110. ^[5] Varios otros países implementan su propio EAC.

EAC según la definición de la UE

La EAC, tal como la define la UE, tiene dos requisitos: autenticación con chip y terminal. ^[6]

Autenticación con chip (para un cifrado de sesión fuerte)

La especificación de autenticación con chip define un dispositivo portátil (lector CAP) con una ranura para tarjetas inteligentes, un teclado decimal y una pantalla capaz de mostrar al menos 12 caracteres. La autenticación con chip (CA) tiene dos funciones:

• Para autenticar el chip y demostrar que es genuino. Solo un chip genuino puede implementar una comunicación segura.
• Establecer un canal de comunicación fuertemente seguro, utilizando un par de claves específicas del chip con encriptación fuerte y protección de integridad.

La autenticación con chip tiene un complemento de Control de Acceso Básico (BAC) con protección contra robo de información y escuchas ilegales.

Autenticación de terminales (acceso restringido a terminales autorizados)

La autenticación de terminal (TA) se utiliza para determinar si el sistema de inspección (IS) tiene permiso para leer datos confidenciales del pasaporte electrónico. El mecanismo se basa en certificados digitales que vienen en formato de certificados verificables con tarjeta .

• Cada sistema de inspección recibe un certificado verificable mediante tarjeta (CVC) emitido por un verificador de documentos (DV). El certificado del sistema de inspección es válido solo por un breve período de tiempo, normalmente entre 1 día y 1 mes.
• Un sistema de inspección puede tener varios CVC instalados en cualquier momento, uno para cada país, que le permite leer datos sensibles.
• El CVC permite al sistema de inspección solicitar uno o más elementos de datos sensibles, como datos de reconocimiento de iris o de huellas dactilares . ^[7]

El certificado de verificación de documentos lo otorga la autoridad de certificación de verificación del país (CVCA). Estos certificados pueden ser para verificadores de documentos nacionales o extranjeros. Los certificados se emiten normalmente por un período de tiempo medio, entre medio mes y tres meses. El CVCA lo genera cada país y suele tener una validez de entre seis meses y tres años. ^[7]

Enlaces externos

1. GS Kc; PA Karger (1 de abril de 2005). "Cuestiones de seguridad y privacidad en los documentos de viaje legibles por máquina (MRTD)" (PDF) . RC 23575 (W0504-003) . IBM . Consultado el 4 de enero de 2012 .
2. Javier López; Pierangela Samarati; Josep L. Ferrer (2007). Infraestructura de clave pública: 4º Taller europeo de PKI: teoría y práctica, EuroPKI 2007. Springer. p. 41. ISBN 978-3-540-73407-9.
3. "5.8 Seguridad para datos biométricos adicionales". Doc 9303 de la OACI, Documentos de viaje de lectura mecánica, Parte 1: Pasaportes de lectura mecánica, Volumen 2: Especificaciones para pasaportes habilitados electrónicamente con capacidad de identificación biométrica (sexta edición). Organización de Aviación Civil Internacional ( OACI ). 2006. pág. 84.
4. "Identidad digital segura temporal" (PDF) . Control de acceso ampliado de pasaportes electrónicos . Libro blanco. Archivado desde el original (PDF) el 21 de octubre de 2006 . Consultado el 19 de junio de 2013 .
5. "Mecanismos de seguridad avanzados para documentos de viaje legibles por máquina: control de acceso extendido (EAC)" (PDF) . BSI . Consultado el 26 de noviembre de 2009 .
6. Kugler, Dennis (1 de junio de 2006). "Extended Access Control; Infrastructure and control" (PDF) . Consultado el 19 de junio de 2013 .
7. Kügler, Dennis. "Control de acceso extendido: infraestructura y protocolo" (PDF) . Consultado el 3 de mayo de 2016 .^{[ enlace muerto permanente ]}

Enlaces externos

• OpenSCDP.org – EAC-PKI de código abierto para desarrollo y pruebas
• EJBCA.org – PKI de código abierto (BAC y EAC)
• Especificaciones EAC de BSI Archivado el 27 de diciembre de 2021 en Wayback Machine