电子护照安全机制及测试

作者：时间：2011-05-18来源：网络收藏

　　TA则用于认证外部终端并检查权限是否可访问敏感数据，在认证外部终端时通过CVCA-》DV-》IS的证书链形式来认证（其中CVCA=国家检查CA－》发布DV证书， DV=证件检查机构－》发布IS证书，IS=自动化边防检查系统－》读取护照芯片资料并做通关），认证过程中可能会更新芯片中某些信息如最新日期、EF.CVCA中的信任点甚至切换使用算法类型等，支持的算法有：RSA、RSA-PSS和ECDSA等。TA需要外部证书PKI系统甚至ICAO PKD的支持，该功能用于认证通关检查系统或读卡设备的合法性，实现了完整的双向信任评价机制。

　　电子护照安全机制测试

　　目前电子护照认证测试仍依赖于国外第三方机构，且随着CPU技术发展，破解密钥所需时间越来越短而护照有效期长达5或10年，安全机制及测试仍需进一步研究和升级。此外，各国部署后支持的特征不太一样，有的仅支持第一代PA，有的则支持到第二代BAC甚至第四代EAC，这种差异性也造成了安全漏洞。

　　本文给出的测试系统由RFID电子护照识读系统、测试平台软件、测试套件组成，具体见图4。其中测试套件分为安全抗攻击测试、一致性测试、兼容性测试。

　　安全抗攻击测试包括：RFID技术导致的近场隐蔽扫描；RFID技术导致的隐蔽跟踪；14443协议层面的抗攻击测试；防克隆防略读测试；防窃听测试；持有人生物特征数据泄漏导致的安全漏洞；安全算法本身脆弱性测试。

　　该部分测试在一致性测试套件中并不涉及，与芯片攻击测试不同，该部分是基于安全机制和经验分享后的安全漏洞，是针对应用而言的，而芯片攻击测试是基于硬件的，采用如SPA/DPA、SEMA/DEMA、DFA、时间分析攻击/差分耗时攻击等技术。

　　一致性测试即协议符合度测试，不同安全机制采用不同的安全测试标准。BAC一致性测试在ICAO测试规范中有详细定义，主要包括：（1）Select和Read Binary两条最小命令集指令（2）BAC保护模式和BAC未保护模式下使用这两条指令分别读16个LDS文件测试。在建立BAC会话密钥中使用的另外两条基本指令是Get Challenge和External Authentication。SAC尚未定义测试规范，可参照EAC中CA测试部分，下面重点介绍EAC测试。

　　如图5所示，实现EAC由几个部分组成：PKD、国家电子护照签发机构、国家电子护照验证机构、支持EAC功能的电子护照。EAC测试分为EAC一致性测试、EAC护照和IS兼容性测试、PKD互用性测试。EAC本身不能阻止精确拷贝和芯片替换，有非对称算法运算功能的芯片提供认证运算，而之外的所有设施均只为提供证书管理和使用，最高层证书是由国家签发验证机构签发的自签名证书且在接收国为信任起点或证书链最高端。

　　在PKD架构下实现的EAC一致性测试架构见图5，实现了发证领证－》国内海关（出关）－》国外海关（入关）－》国外海关（出关）－》国内海关（入关）等操作的测试。国家B发行电子护照，该护照在本国的海关出关通过相应的IS检查系统包含的证书链（CVCA（国家B）－》国内DV－》IS）验证EAC，完成人脸指纹或虹膜的安全检查，到国家A，则基于国家A的IS检查系统的证书链（CVCA（国家B）－》国外DV－》IS）验证EAC，完成人脸指纹或虹膜的安全检查，返回国内则类似操作。ICAO PKD起到存储共享作用。

　　BSI给出的EAC一致性测试结合EAC子过程CA/TA、证书链、访问权限、日期信任点更新等测试点对安全机制进行符合度测试，依据是测试标准EAC v1.12，主要包括了如下几个部分（表2）。