電子護照安全機制及測試
加入技術交流群
SAC基于PACE協議技術并通過引入非對稱算法建立跟密碼無關的更強的會話密鑰。當卡片既支持PACE又支持BAC時,必須使用PACE,通關檢查系統必須具有PACE功能。PACE協議中使用了DH或ECDH算法,這種算法也在EAC的CA(Chip Authentication)中使用,可以認為SAC正是ICAO將CA通過PACE協議形式引入的,這種技術仍是基于芯片運算的(需支持AES),故該功能在電子護照推廣中對芯片運算功能有要求。SAC的特點是采用密鑰交換算法,其有效性依賴于計算離散對數的難度,需要防重演攻擊和中間人攻擊,SAC采取的措施是通過隨機數來協商一個臨時全局參數用來防重演攻擊,認證令牌用來防中間人攻擊。
EAC的特點是加入了證書期限并進行了管理,包括芯片認證(CA)和終端認證(TA)兩個步驟,其中CA是類似AA的技術,用于驗證電子護照中芯片的真實性,支持算法有:DH算法和ECDH算法,需要讀取DG14中公鑰信息通過密鑰交換算法產生新的加密通道用的密鑰對(KENC,KMAC);
評論