护照和eID技术gydF4y2Ba

5.1.1gydF4y2Ba远程与本地使用gydF4y2Ba

设计eID系统的动机来自于自动化边境控制和电子政务应用等情况。第一个选项是向读者展示id并在本地处理所有信息。第二种选择是使用id作为安全令牌，使我们能够与远程终端创建经过身份验证的连接。另一种方法是不使用ID，使用ID基础结构实现其功能。每一种选择都有其优缺点:gydF4y2Ba

5.1.2gydF4y2Ba演员和场景gydF4y2Ba

确定涉及eID的流程的参与者使我们能够看到与此术语相关的各种解决方案。下面我们列出了一些情况:gydF4y2Ba

5.1.3gydF4y2Ba协议执行的目标gydF4y2Ba

5.2.1gydF4y2Ba资产gydF4y2Ba

5.2.2gydF4y2Ba威胁gydF4y2Ba

对身份证件的主要威胁是gydF4y2Ba伪造gydF4y2Ba．攻击者可能会试图创建一个假的id，它的行为与真实的id类似，并提供像与真实的id交互时一样可被接受的数据。gydF4y2Ba

对手可能会试图gydF4y2Ba克隆gydF4y2Ba一个宰牲节。gydF4y2Ba

除非通过生物特征认证或密码验证的保护继续有效，否则克隆可以被外表相似的人使用，也可以用于远程应用程序。特别是，id克隆可能导致身份盗窃，并产生深远的后果。注意，破坏id的密钥可能被视为部分伪造或克隆。gydF4y2Ba

另一个威胁是使用没有gydF4y2Ba主人的同意gydF4y2Ba．这在无线通信中尤其有可能，在无线通信中，甚至可以在车主不知情的情况下启动与id的交互。通常，id是通过密码来保护的，密码要么由所有者手动输入，要么从文档表面读取。gydF4y2Ba

由于密码通常具有较低的熵(例如，在PIN的情况下，4-6位数字)，它可能被对手猜到。一种常见的保护机制是在有限次数的失败尝试后阻止一个id，但这将允许对手发起拒绝服务攻击——特别是在无线通信的情况下。在非阻塞密码的情况下，攻击者可以尝试使用暴力字典攻击猜出正确的密码。如果人为地减慢协议的执行速度，使单个交互需要2秒，那么威胁只会减少。gydF4y2Ba

另一方面，还存在脱机攻击的威胁，攻击者分析id和诚实的以及不诚实的读者之间的通信记录。另一种情况是简单地从恶意阅读器泄漏密码。gydF4y2Ba

另一种威胁来自恶意终端，它们与id的电子层交互，并试图接收超过允许的数据。这可能涉及id身份(例如，如果id持有人没有提供密码)或敏感数据，如生物特征数据(如果终端没有正确验证)。不管我们在说什么gydF4y2Ba升级访问权限gydF4y2Ba通过绕过eID使用的访问控制机制。注意，破坏用于终端身份验证的密钥本质上是这种攻击的一个步骤。gydF4y2Ba

恶意终端和观察通信的各方可能利用与id的交互来说服第三方其位置和活动。的弱形式gydF4y2Ba位置和活动追踪gydF4y2Ba攻击者为了自己的目的而获取这些数据，例如，通过观察交互或启动一个会话，目的是了解其范围内的eid的身份。gydF4y2Ba

对手还可以通过以下方式获取个人数据gydF4y2Ba窃听gydF4y2Ba在诚实的id和诚实的读者/终端之间进行安全和经过验证的通信。要执行这种攻击，攻击方必须破坏通信通道的机密性或劫持已经建立的会话。gydF4y2Ba

5.3.1gydF4y2Ba防止eID伪造gydF4y2Ba

ICAO(国际民用航空组织)采用的一种简单方法(见[gydF4y2Ba291gydF4y2Ba])，用于存储所有相关数据gydF4y2BaDgydF4y2Ba_1gydF4y2Ba、……gydF4y2BaDgydF4y2Ba_ngydF4y2Ba在电子层，计算gydF4y2BahgydF4y2Ba: =散列(散列(gydF4y2BaDgydF4y2Ba_1gydF4y2Ba)，…，哈希(gydF4y2BaDgydF4y2Ba_ngydF4y2Ba)和id签发人的电子签署gydF4y2BahgydF4y2Ba．然后，就可以检查签名并验证数据gydF4y2BaDgydF4y2Ba_1gydF4y2Ba、……gydF4y2BaDgydF4y2Ba_ngydF4y2Ba是真实的。(注意，也可以验证签名时只有一些gydF4y2BaDgydF4y2Ba_我gydF4y2Ba，而对于其余的值gydF4y2BaDgydF4y2Ba_jgydF4y2Ba只有散列(gydF4y2BaDgydF4y2Ba_jgydF4y2Ba)。而且，可以将这些数据与存储在文档物理层中的数据进行比较。gydF4y2Ba

给出的解称为gydF4y2Ba被动认证gydF4y2Ba(PA)。gydF4y2Ba

不幸的是，它不能防止id克隆，因为所有存储在id中的数字数据都可以在正常交互过程中呈现给读者。gydF4y2Ba

5.3.2gydF4y2Ba执行业主同意gydF4y2Ba

在前一种情况下，对手可以通过与id开始交互来尝试所有可能的密码。然而，eID可能会增加它的响应时间，例如1-2秒，以减缓攻击。gydF4y2Ba

此外，密码可能包括打印在id上的代码gydF4y2Ba机读区gydF4y2Ba(MRZ)和由阅读器光学读取。这段代码的熵可能比人类可记忆的密码高得多。gydF4y2Ba

由于后一种情况，密码不能以一种使对手能够学习它并在以后与id通信时重用它的形式传输。民航组织通过的一项称为基本访问控制的解决办法已考虑到这一点。在这个协议中，与id相对应的固定密码被用来(1)加密用于派生会话密钥的随机nonces，(2)创建认证这些nonces的mac。如果任何一方使用了错误的密码，则协议将失败。密码是从MRZ区域的光学扫描数据中获得的，因此护照必须是gydF4y2Ba所示gydF4y2Ba它的主人。不幸的是，BAC允许进行脱机攻击，即，给定通信的文本，对手可以应用穷举字典攻击来了解密码[gydF4y2Ba375gydF4y2Ba］．gydF4y2Ba

ICAO标准中指定的映射功能有两种变体:通用映射和集成映射。在前一种情况下，gydF4y2Ba\(\hat {g}=h \cdot g^s\)gydF4y2Ba,在那里gydF4y2BahgydF4y2Ba密钥是使用标准的Diffie-Hellman协议生成的参数吗gydF4y2Ba\ (\ mathbb {G} \)gydF4y2Ba．在后一种情况下，gydF4y2Ba\(\帽子{g}: = \ mathrm{哈希}(s, r) \)gydF4y2Ba在哪里gydF4y2BargydF4y2Ba是由读者选择的随机数。gydF4y2Ba

协议的通用映射版本的安全性基于以下参数。我们可以创建一个虚拟协议gydF4y2BahgydF4y2Ba不是由Diffie-Hellman协议派生的，而是一个随机元素。由于Diffie-Hellman问题的复杂性，执行离线攻击的对手无法检测到这种变化。然而，在虚拟协议中，所有交换的数据都是随机独立的gydF4y2Ba年代gydF4y2Ba．因此，不可能得到任何关于gydF4y2Ba年代gydF4y2Ba．类似的论点也适用于集成映射。请注意,gydF4y2Ba\(\帽子{g} \)gydF4y2Ba从来不发生在沟通和价值观上gydF4y2Ba\ (Y ^ {\ '} _C \)gydF4y2Ba，gydF4y2Ba\ (Y ^ {\ '} _R \)gydF4y2Ba都是均匀分布的，因为所用的基团有素数阶。唯一的关系gydF4y2Ba\(\帽子{g} \)gydF4y2Ba是否隐藏在协议伙伴派生的方式中gydF4y2BaKgydF4y2Ba．但是，我们可以再次考虑虚拟协议gydF4y2BaKgydF4y2Ba由随机元素替换。即使攻击者知道了密钥，他们也无法观察到这种变化gydF4y2BaKgydF4y2Ba．Bender等人提出了PACE协议的部分安全性证明。[gydF4y2Ba72gydF4y2Ba和coon等人的PACE集成映射。[gydF4y2Ba153gydF4y2Ba］．gydF4y2Ba

基于密码的方案的一个重要特性是如何响应使用错误密码的身份验证尝试。在任何情况下，失败的尝试都是指示密码不正确的信息。重要的一点是不应该向攻击者透露任何其他信息。注意，PACE有这样的属性:第一，随机数的密文gydF4y2Ba年代gydF4y2Ba不显示有关依赖于密码的加密密钥的任何信息。第二，在最终的Diffie-Hellman密钥交换中交换的随机挑战与密码是随机独立的。依赖于密码的消息gydF4y2BaTgydF4y2Ba_CgydF4y2Ba发送gydF4y2Ba后gydF4y2Ba正面验证gydF4y2BaTgydF4y2Ba_RgydF4y2Ba所以gydF4y2BaTgydF4y2Ba_CgydF4y2Ba不传输，如果密码不正确!gydF4y2Ba

5.3.3gydF4y2BaEID认证和防止克隆gydF4y2Ba

eID克隆的威胁也被称为gydF4y2Ba模拟攻击gydF4y2Ba，因为克隆id的用户可能冒充其合法所有者。这种攻击在被动身份验证的情况下很容易执行，因为id中的所有数据也可以在它之外使用。解决这个问题的一个明显的方法是使用一个eID公钥作为文档颁发者认证的数据的一部分，在eID的内存中存储相应的秘密密钥，并基于这些密钥运行一个身份验证协议。显然，这种解决方案只有在从eID导出密钥不可行的情况下才有意义。gydF4y2Ba

国际民航组织的机器可读旅行证件标准规定了两种可用于验证芯片身份的加密协议。第一种称为主动身份验证(AA)，它依赖于挑战-响应范式。终端向护照发送一个挑战，护照在这个挑战下用一个签名进行响应。最后，终端根据从ePassport的存储器读取的已验证数据中存储的公钥验证签名。gydF4y2Ba

第二种解决方案叫做芯片认证v.2(ChA v.2)是由BSI引入的，作为所谓的扩展访问控制(EAC)协议栈的一部分，在该协议中，在同一协议中检查终端的权限。ChA v.2是一个静态的Diffie-Hellman协议:它只是一个简单的Diffie-Hellman密钥交换协议，其中来自id的挑战被它的公钥取代gydF4y2BaygydF4y2Ba=gydF4y2BaggydF4y2Ba^xgydF4y2Ba．正如在Diffie-Hellman密钥交换协议中，只要知道挑战的离散对数，就可以推导出共享密钥，id推导出密钥的能力作为它知道密钥的证据gydF4y2BaxgydF4y2Ba．gydF4y2Ba

ChA v.2的主要优点是它生成一个新的会话密钥，可用于保护id和终端之间的通信。注意，上一小节中讨论的协议在id和阅读器之间建立了一个安全通道，阅读器不一定是终端的一部分。例如，如果id用于在线活动，那么读卡器充其量只是用户系统的一部分。gydF4y2Ba

这两种解决方案的主要缺点是它们需要额外的昂贵的计算，即求幂。为此，国际民用航空组织采用了一种名为PACE与芯片认证映射(PACE- cam)的协议，该协议将PACE与id认证结合在一起[gydF4y2Ba298gydF4y2Ba］．协议的初始部分与PACE通用映射的情况完全相同(见图。gydF4y2Ba5.2gydF4y2Ba)——这对于向后兼容和升级协议的成本是很重要的。然而，在协议的最后一部分，id必须显示其挑战的离散对数gydF4y2BaYgydF4y2Ba _CgydF4y2Ba对于其公钥gydF4y2BapkgydF4y2Ba _CgydF4y2Ba作为生成器。注意，如果不能派生，eID就不能通过协议gydF4y2BahgydF4y2Ba这需要知识gydF4y2BaygydF4y2Ba _CgydF4y2Ba这样gydF4y2Ba\ (Y_C = g ^ {Y_C} \)gydF4y2Ba．因为eID必须呈现一个gydF4y2BawgydF4y2Ba这样gydF4y2Ba\ (Y_C = pk_C ^ {w} \)gydF4y2Ba，可以得出gydF4y2Ba\ (pk_C = g ^ {y_C / w} \)gydF4y2Ba在哪里gydF4y2BaygydF4y2Ba _CgydF4y2Ba而且gydF4y2BawgydF4y2Ba都是eID已知的。因此，在检查之后gydF4y2Ba\ (Y_C = pk_C ^ {w} \)gydF4y2Ba终端可以有把握地得出eID知道的离散对数gydF4y2BapkgydF4y2Ba _CgydF4y2Ba．gydF4y2Ba

在新窗口中打开图像gydF4y2Ba

5.3.4gydF4y2Ba验证终端及其权限gydF4y2Ba

猜到或知道id的激活密码的终端可能试图从id中读取敏感数据。因为它知道激活密码，它可以与id交互，但不应该能够访问所有数据。该问题在终端认证v.2中得到了解决(TA v.2)，它实际上是一个标准的挑战-响应协议:id生成一个随机的nonce，终端用这个nonce的签名和一个临时公钥的指纹进行响应，这个公钥是对作为ChA v.2一部分执行的静态Diffie-Hellman密钥协议的挑战。为了签名验证，终端提供其公钥的证书。该证书特别声明终端允许从eID中读取哪些数据。为了验证证书的真实性，文档对终端提供的证书链进行验证。第一个提供的证书使用信任的根进行验证，即，在id中存储的颁发者的公钥。gydF4y2Ba5.4gydF4y2Ba）.gydF4y2Ba

5.3.5gydF4y2Ba相互作用证明gydF4y2Ba

在这个场景中，我们考虑一个恶意的阅读器/终端，它试图将通信或交互的文本出售给第三方。这样的文本可能包含有关文档所有者的有价值的信息(例如，位置、使用的服务)。可以实现的最佳保护是，阅读器/终端可以创建一个协议抄本(包括通常只对阅读器/终端可用的值)，它与来自实际执行的抄本没有区别。这也应该与读取器/终端偏离协议描述的执行有关。那么，由阅读器/终端提供的文本对第三方没有价值。gydF4y2Ba

一般来说，在id中实现的任何协议都应该支持可推诿性:id和终端/阅读器都不应该能够证明与id的交互已经发生并具有给定的形式。注意，AA为第三方提供了强有力的相互作用证明，而对于ChA v.2、PACE、PACE- cam则满足了可推诿性。对于TA v.2，从终端收集的签名是交互的证明(与未指定的id)。gydF4y2Ba

5.3.6gydF4y2Ba被动跟踪gydF4y2Ba

像PA这样的协议支持跟踪——一个id响应显式的识别数据。BAC的情况略好一些。但是，一旦攻击者了解到被追踪者的id用来建立连接的秘密密钥，攻击者就可以对所有记录的通信进行试解密，并识别被追踪者的id。对于像PACE和PACE- cam这样的协议，情况就不同了，在建立安全通道之后，身份信息就会暴露出来。甚至与密码相关的数据也以非常谨慎的方式传输——通过随机值的密文gydF4y2Ba年代gydF4y2Ba．对于ChA v.2，情况稍微复杂一些:如果首先执行PACE，那么ChA v.2由PACE建立的秘密通道保护。否则，用于静态Diffie-Hellman的公钥传输将暴露id的身份。这是设计ChA v.3的原因之一，其中协议从常规的Diffie-Hellman密钥交换开始。gydF4y2Ba

5.3.7gydF4y2Ba窃听gydF4y2Ba

虽然讨论的大多数协议运行密钥交换协议并自动支持已建立会话的机密性，但仍存在一些微妙的问题，例如会话被劫持的威胁。特别是当协议一个接一个地执行时，协议伙伴需要确保在此期间对手没有接管一方的通信。例如，TA v.2和ChA v.2通过TA v.2执行过程中为ChA v.2执行过程中使用的终端临时密钥的指纹创建的签名进行耦合。类似地，虽然PACE不能抵御MiTM攻击(由知道密码的对手发起)，但运行激活攻击使id和读取器建立共享密钥似乎是不可实现的gydF4y2BaKgydF4y2Ba好叫敌人也知道。gydF4y2Ba