Title (deu): Der eReisepass als Hardwaretoken

Author: Schrattenholzer, M. (Matthias)

Description (deu): St. Pölten, FH-Stg. Information Security, Master Thesis, 2014

Description (deu): Seit dem Jahr 2005 werden von den europäischen Behörden Reisepässe ausgestellt, die mit einem Chip versehen sind. Dieser Chip beinhaltet Informationen und biometrische Daten über den Inhaber des Dokuments sowie über die ausstellende Behörde. Der Chip kann kontaktlos via Near Field Communication, kurz NFC, ausgelesen werden. Durch die Verwendung der kontaktlosen Technologie ergeben sich Gefahren, wie das unerlaubte Auslesen der sensiblen Informationen aus dem Reisepass. Um den Reisepass und die biometrischen Daten zu schützen werden verschiedene Sicherheitsmaßnahmen implementiert. Die Basis dafür bildet eine logische Datenstruktur, die aus verpflichtenden und optionalen Datengruppen besteht. Diese Datengruppen enthalten die Informationen über den Inhaber, biometrische Daten wie das Passbild, den Fingerabdruck oder die Iris, sowie öffentliche Schlüsselinformationen. Zur Verwaltung dieser Schlüssel wird von der ICAO, der internationalen Zivilluftfahrtorganisation ein Public Key Directory betrieben, das für manche Sicherheitsmechanismen auf dem Reisepass notwendig ist. Diese Sicherheitsprotokolle stellen zum einen sicher, dass der Reisepass vor unautorisierten Zugriffen geschützt ist und gewähren zu anderen, dass die Daten auf dem Reisepass nicht verfälscht wurden und von einer autorisierten Behörde erstellt wurden. Die Sicherheitsmechanismen wurden in den verschiedenen Versionen des eReisepasses zum Teil ergänzt, überarbeitet oder durch neue Methoden ausgetauscht. Um den Reisepass als Hardwaretoken verwenden zu können muss gewährleistet sein, dass der Pass von einer autorisierten Behörde ausgestellt wurde und, dass die Daten nicht verändert wurden. Dies wird durch die passive Authentication, dem einzig verpflichtenden Sicherheitsmechanismus, überprüft und steht somit im Mittelpunkt der Implementierung eines solchen Systems. Bei der Implementierung kommen zwei wesentliche Komponenten zum Einsatz. Zum einen ein Smartphone, das via der NFC Schnittstelle mit den eReisepass kommuniziert und die notwendigen Daten ausliest, zum anderen ein Serversystem, das die ausgelesen Daten auf den Authentizität und Integrität überprüft und daraufhin ein One Time Password generiert.

Description (eng): Since 2005, all passports issued by the European authorities are equipped with a chip. This chip contains information and biometric data of the holder of the document as well as information about the issuing authority. The contactless chip can be read via Near Field Communication, NFC. The use of contactless technology bears risks, such as unauthorized reading of sensitive information from the passport. In order to protect the passport and the biometric data, various security measures were implemented. These protocols are based on a logical data structure that consists of mandatory and optional data groups. The data groups contain information about the owner, biometric data, such as the passport photo, fingerprint or iris and public key information. To manage the key material a Public Key Directory is operated by the ICAO, the International Civil Aviation Organization. The public Key directory is necessary for some security mechanisms on the passport. These security operations provide a safe access of the passport and grant that the data has not been corrupted and that the passport was issued by an authorized authority. The security mechanisms have been supplemented in the different versions of the ePassport, partly revised or replaced by new methods. To use the passport as a hardware token it must be assured, that the passport was issued by an authorized authority and that the data has not been modified. This is checked by the passive authentication, the only mandatory security mechanism and it is the focus of the implementation of such a system. The implementation consists of two major components. For one thing, a smartphone that communicates via the NFC interface with the ePassport and reads the necessary data, for another thing a server system verifying the authenticity and integrity of the information, and then generating a one-time password.

Object languages: German

Date: 2014

Rights: © All rights reserved

Classification: Pass; Nahfeldkommunikation; Authentifikation

Permanent Identifier