Extended Access Control ( EAC ) es un conjunto de funciones de seguridad avanzadas para pasaportes electrónicos que protege y restringe el acceso a datos personales confidenciales contenidos en el chip RFID . A diferencia de los datos personales comunes (como la fotografía del portador, los nombres, la fecha de nacimiento, etc.) que pueden protegerse mediante mecanismos básicos, los datos más sensibles (como las huellas dactilares o las imágenes del iris) deben protegerse aún más para evitar el acceso no autorizado y el robo. Un chip protegido por EAC permitirá que estos datos confidenciales sean leídos (a través de un canal encriptado) solo por un sistema autorizado de inspección de pasaportes. [1] [2]
El EAC fue introducido por la OACI [3] [4] como una función de seguridad opcional (adicional al control de acceso básico ) para restringir el acceso a datos biométricos sensibles en un MRTD electrónico . Se da una idea general: el chip debe contener claves individuales de chip, debe tener capacidades de procesamiento y se requerirá una gestión de claves adicional. Sin embargo, la OACI deja la solución real abierta a los Estados implementadores.
Hay varias implementaciones diferentes propuestas del mecanismo, todas las cuales deben conservar la compatibilidad con versiones anteriores con el control de acceso básico (BAC) heredado , que es obligatorio en todos los países de la UE . La Comisión Europea describió que la tecnología se utilizará para proteger las huellas dactilares en los pasaportes electrónicos de los estados miembros. La fecha límite para que los estados miembros comiencen a emitir pasaportes electrónicos habilitados para huellas dactilares fue el 28 de junio de 2009. La Oficina Federal Alemana para la Seguridad de la Información (BSI) preparó la especificación seleccionada para los pasaportes electrónicos de la UE en su informe técnico TR-03110. . [5] Varios otros países implementan su propia EAC.
La especificación de autenticación de chip define un dispositivo portátil (lector de CAP) con una ranura para tarjeta inteligente, un teclado decimal y una pantalla capaz de mostrar al menos 12 caracteres. La autenticación de chip (CA) tiene dos funciones:
La autenticación de chip tiene un control de acceso básico (BAC) adicional con protección contra robo y escuchas ilegales.
La autenticación de terminal (TA) se utiliza para determinar si el sistema de inspección (IS) puede leer datos confidenciales del pasaporte electrónico. El mecanismo se basa en certificados digitales que vienen en formato de certificados verificables en tarjeta .