(Eine dazwischenliegende Version von einem anderen Benutzer werden nicht angezeigt)
Zeile 1: Zeile 1:
== Einzelschritte der Ueberpruefung ==
+
== Einzelschritte der Überprüfung ==
 +
 
 +
Jedes Land hat seine eigene Root-CA - es gibt keine globale CA (sic!);
 +
deren Key wird auf der SmartCard integriert.
 +
Paßhersteller bekommen ihren Key von der Landes-Root-CA signiert, jeder
 +
Paß bekommt ein Schlüsselpaar bei der Herstellung verpaßt, das wiederum
 +
vom Hersteller signiert ist. Über diese Kette wird die zusätzliche
 +
Fälschungssicherheit gewährleistet.
 +
Lesegeräte, die die biometrischen Daten zugreifen können, bekommen
 +
ebenfalls Schlüssel. Mit diesen stellen sie die verschlüsselte
 +
Verbindung zur Smartcard her (geht erst nach der Basic Authentication,
 +
für die ja die visuellen Daten nötig sind). Der Public Key muß ebenfalls
 +
zertifiziert sein; die Lebensdauer der Zertifikate soll kurz sein
 +
(Tages- oder Wochenbereich), so daß gestohlene Lesegeräte nach kurzer
 +
Zeit nicht mehr benutzbar sind.
  
 
Mit einem Lesegerät und dem [[http://rabenhorst.blogweb.de/archives/65-BSI-Golden-Reader-Tool.html GRT]] wird die maschinenlesbare Zone (Machine Readable Zone ­ MRZ) eingelesen, daraus ein Zugriffsschlüssel berechnet und mit dem Schlüssel ein verschlüsselter Kanal zum RFID Chip aufgebaut. Über diesen Kanal werden die Daten des RFID Chipspeichers ausgelesen und die digitale Signatur abgeglichen. Zur Verschlüsselung und Signierung werden RSA mit mindestens 2048-bit und der Eliptic Curve Digital Signature Algorithm (ECDSA) mit mindestens 224-bit eingesetzt. Die ausgelesenen Daten werden abschließend im GRT grafisch präsentiert.  
 
Mit einem Lesegerät und dem [[http://rabenhorst.blogweb.de/archives/65-BSI-Golden-Reader-Tool.html GRT]] wird die maschinenlesbare Zone (Machine Readable Zone ­ MRZ) eingelesen, daraus ein Zugriffsschlüssel berechnet und mit dem Schlüssel ein verschlüsselter Kanal zum RFID Chip aufgebaut. Über diesen Kanal werden die Daten des RFID Chipspeichers ausgelesen und die digitale Signatur abgeglichen. Zur Verschlüsselung und Signierung werden RSA mit mindestens 2048-bit und der Eliptic Curve Digital Signature Algorithm (ECDSA) mit mindestens 224-bit eingesetzt. Die ausgelesenen Daten werden abschließend im GRT grafisch präsentiert.  
  
  
* [[ http://www.blogigo.de/schnueffelstaat/entry/64974 ]]
+
* [http://www.blogigo.de/schnueffelstaat/entry/64974]
  
 
Passscanner mit Schnittstellen zu biometrischen Kontrollverfahren (Fingerprint und Gesichtserkennung) und Archivierung von Reisedaten (weiterleitung an externen Server) -> Erstellung von Bewegungsprofilen möglich
 
Passscanner mit Schnittstellen zu biometrischen Kontrollverfahren (Fingerprint und Gesichtserkennung) und Archivierung von Reisedaten (weiterleitung an externen Server) -> Erstellung von Bewegungsprofilen möglich
 +
 +
[[Kategorie:Biometrie]]

Aktuelle Version vom 1. Juli 2005, 14:35 Uhr

Einzelschritte der Überprüfung

Jedes Land hat seine eigene Root-CA - es gibt keine globale CA (sic!); deren Key wird auf der SmartCard integriert. Paßhersteller bekommen ihren Key von der Landes-Root-CA signiert, jeder Paß bekommt ein Schlüsselpaar bei der Herstellung verpaßt, das wiederum vom Hersteller signiert ist. Über diese Kette wird die zusätzliche Fälschungssicherheit gewährleistet. Lesegeräte, die die biometrischen Daten zugreifen können, bekommen ebenfalls Schlüssel. Mit diesen stellen sie die verschlüsselte Verbindung zur Smartcard her (geht erst nach der Basic Authentication, für die ja die visuellen Daten nötig sind). Der Public Key muß ebenfalls zertifiziert sein; die Lebensdauer der Zertifikate soll kurz sein (Tages- oder Wochenbereich), so daß gestohlene Lesegeräte nach kurzer Zeit nicht mehr benutzbar sind.

Mit einem Lesegerät und dem [GRT] wird die maschinenlesbare Zone (Machine Readable Zone ­ MRZ) eingelesen, daraus ein Zugriffsschlüssel berechnet und mit dem Schlüssel ein verschlüsselter Kanal zum RFID Chip aufgebaut. Über diesen Kanal werden die Daten des RFID Chipspeichers ausgelesen und die digitale Signatur abgeglichen. Zur Verschlüsselung und Signierung werden RSA mit mindestens 2048-bit und der Eliptic Curve Digital Signature Algorithm (ECDSA) mit mindestens 224-bit eingesetzt. Die ausgelesenen Daten werden abschließend im GRT grafisch präsentiert.


Passscanner mit Schnittstellen zu biometrischen Kontrollverfahren (Fingerprint und Gesichtserkennung) und Archivierung von Reisedaten (weiterleitung an externen Server) -> Erstellung von Bewegungsprofilen möglich