Sicherheitsmechanismen

Verschiedene Protokolle und Verfahren schützen die personenbezogenen Daten, die auf dem Chip hinterlegt sind. Sie prüfen darüber hinaus die Echtheit des neuen Personalausweises und machen ihn fälschungssicher. Dabei kommt den Lösungen, die die kontaktlose Schnittstelle zwischen Ausweis und Lesegeräten absichern, eine besondere Bedeutung zu.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert folgende Protokolle und Maßnahmen:

PACE: Password Authenticated Connection Establishment Zugriffskontrolle, schützt vor Auslesen des kontaktlosen Chips

EAC: Extended Access Control Erweiterte Zugriffskontrolle, bestehend aus den zwei Subprotokollen CA (Chip Authentication) und TA (Terminal Authentication)

PA: Passive Authentication Prüfung der Echtheit und Unverfälschtheit der Daten auf dem Chip

RI: Restricted Identification Erzeugung von chip- und anwenderspezifischen Pseudonymen

PKI: Public Key Infrastructure Hierarchie von digitalen Zertifikaten: CSCA (Country-Signing-Certification-Authority) und CVCA (Country-Verifying-Certification-Authority)

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI):
"Innovationen für eine eID-Architektur in Deutschland"

• PACE Password Authenticated Connection Establishment
  PACE stellt zum einen sicher, dass der kontaktlose Chip im neuen Personalausweis nicht ohne Eingabe der sechsstelligen eID-PIN ausgelesen werden kann. Diese PIN ist nur dem Ausweisinhaber bekannt. Zum anderen gewährleistet die Zugriffskontrolle, dass die Daten verschlüsselt an das Lesegerät übertragen werden.

• EAC Extended Access Control
  EAC beinhaltet verschiedene Protokolle. EAC umfasst die Subprotokolle Chip Authentication (CA) und Terminal Authentication (TA). Diese werden zusammen mit PACE und Passive Authentication (PA, siehe unten) ausgeführt. CA baut eine sichere Verbindung zum Chip auf und erkennt geklonte Chips. TA schützt die sensiblen Daten des neuen Personalausweises vor dem Zugriff durch Unbefugte. Der Chip gibt bestimmte Daten nur dann zum Lesen frei, wenn das Lesegerät eine Berechtigung für den Zugang zu genau diesen Daten nachweist.

• PA Passive Authentication
  PA prüft die Echtheit und Unverfälschtheit der Daten auf dem kontaktlosen Chip. Nur der offiziell vom BMI beauftragte Ausweishersteller, die Bundesdruckerei, ist befugt, Daten auf dem Chip des neuen Personalausweises zu speichern. In den Meldestellen können diese Daten mithilfe der Änderungsterminals bearbeitet werden. Bei der Herstellung signiert die Bundesdruckerei die gespeicherten Daten digital mit dem so genannten Document-Signing-Zertifikat. Dieses wiederum ist mit dem Country-Signing-Certification-Authority-Certificate (CSCA-Zertifikat) der Nation signiert, die das Ausweisdokument ausstellt. Beim Auslesen des neuen Personalausweises wird mithilfe der PA die Signatur des Chips geprüft und bis zum CSCA-Zertifikat zurückverfolgt.