Control de acceso suplementario

El control de acceso suplementario ( SAC ) es un conjunto de características de seguridad definidas por la OACI ^[1] para proteger los datos contenidos en los documentos de viaje electrónicos (por ejemplo, pasaportes electrónicos ). SAC especifica el protocolo de establecimiento de conexión autenticado con contraseña (PACE), que a su vez complementa y mejora el protocolo de control de acceso básico (BAC) también establecido por la OACI. ^[2] PACE, como BAC, previene dos tipos de ataques: ^[3]

Skimming (ataque online que consiste en leer el chip RFID sin acceso físico al documento y sin la aprobación del titular). Antes de leer el chip, el sistema de inspección necesita conocer algunos datos que están impresos en el documento (por ejemplo, la ZLM ) o una clave que solo conoce el titular ( número de identificación personal (PIN)), lo que significa que ha entregado voluntariamente el documento de inspección. Si bien BAC solo funciona con la MRZ, PACE permite usar números de acceso de tarjeta (claves cortas impresas en el documento) y PIN.
Escuchas clandestinas (ataque fuera de línea que comienza registrando los datos intercambiados entre el lector y el chip, para ser analizados posteriormente). El sistema de inspección usa PACE para establecer un canal de comunicación seguro con el chip sin contacto, pero usa una criptografía más fuerte que BAC. PACE ofrece una excelente protección contra ataques fuera de línea, elevando la seguridad de los documentos que contienen chips sin contacto al nivel de los documentos que usan chips de contacto.

Con la implementación de PACE comienza la tercera generación de pasaportes electrónicos. ^[4]^[5]^{[6] Los} miembros de la UE deben implementar PACE en pasaportes electrónicos a finales de 2014. ^{[7] Los} Estados, en aras de la interoperabilidad global, no deben implementar PACE sin implementar BAC, y los sistemas de inspección deben implementar PACE y utilícelo si es compatible con el chip MRTD. Por lo tanto, es importante que se logre la interoperabilidad global para que la mejora sea confiable para el proceso de verificación de documentos. Para lograr la interoperabilidad, existen las denominadas pruebas de interoperabilidad. Los resultados de la última prueba centrada en SAC describen el estado actual de implementación en el campo. ^[8]

La versión 1.1 (abril de 2014) del Informe técnico "Control de acceso suplementario" de la OACI introduce el protocolo de autenticación por chip como alternativa a la autenticación activa y lo integra con PACE, logrando un nuevo protocolo (mapeo de autenticación por chip, PACE-CAM ^[9] ) que permite ejecución más rápida que los protocolos separados.^[10]

Referencias

^ Control de acceso complementario para documentos de viaje legibles por máquina (PDF) . Organización de Aviación Civil Internacional ( OACI ). Noviembre de 2010.
^ Doc. 9303 de la OACI, Documentos de viaje de lectura mecánica, Parte 1: Pasaportes de lectura mecánica, Volumen 2: Especificaciones para pasaportes habilitados electrónicamente con capacidad de identificación biométrica (PDF) (Sexta edición). Organización de Aviación Civil Internacional ( OACI ). 2006. Archivado desde el original (PDF) el 5 de junio de 2015.
^ Jens Bender, Dennis Kügler (2009). Presentación de la solución PACE (PDF) . Bundesamt für Sicherheit in der Informationstechnik.
^ Gemalto (octubre de 2011). Pasando a la tercera generación de pasaportes electrónicos (PDF) .
^ Verna Heino (Gemalto) (abril de 2011). Pasando a la tercera generación de pasaportes electrónicos . Confianza del silicio.
^ Markus Mösenbacher (2013). Prevención del fraude en pasaportes electrónicos y eID (PDF) . NXP.
^ Comisión Europea (agosto de 2011). Decisión de la Comisión C (2011) 5499 por la que se modifica la Decisión de la Comisión C (2006) 2909 por la que se establecen las especificaciones técnicas sobre las normas para los elementos de seguridad y la biometría en los pasaportes y documentos de viaje emitidos por los Estados miembros (PDF) .
^ Holger Funke (2014). "Resultados de las pruebas de interoperabilidad en Madrid" . blog.protocolbench.org.
^ Holger Funke (2015). "Mapeo de autenticación de chip" . blog.protocolbench.org.
^ TR - Control de acceso suplementario para MRTDs V1.1 (PDF) . OACI. 2014.

[1] Control de acceso complementario para documentos de viaje legibles por máquina (PDF) . Organización de Aviación Civil Internacional ( OACI ). Noviembre de 2010.

[2] Doc. 9303 de la OACI, Documentos de viaje de lectura mecánica, Parte 1: Pasaportes de lectura mecánica, Volumen 2: Especificaciones para pasaportes habilitados electrónicamente con capacidad de identificación biométrica (PDF) (Sexta edición). Organización de Aviación Civil Internacional ( OACI ). 2006. Archivado desde el original (PDF) el 5 de junio de 2015.

[3] Jens Bender, Dennis Kügler (2009). Presentación de la solución PACE (PDF) . Bundesamt für Sicherheit in der Informationstechnik.

[4] Gemalto (octubre de 2011). Pasando a la tercera generación de pasaportes electrónicos (PDF) .

[5] Verna Heino (Gemalto) (abril de 2011). Pasando a la tercera generación de pasaportes electrónicos . Confianza del silicio.

[6] Markus Mösenbacher (2013). Prevención del fraude en pasaportes electrónicos y eID (PDF) . NXP.

[7] Comisión Europea (agosto de 2011). Decisión de la Comisión C (2011) 5499 por la que se modifica la Decisión de la Comisión C (2006) 2909 por la que se establecen las especificaciones técnicas sobre las normas para los elementos de seguridad y la biometría en los pasaportes y documentos de viaje emitidos por los Estados miembros (PDF) .

[8] Holger Funke (2014). "Resultados de las pruebas de interoperabilidad en Madrid" . blog.protocolbench.org.

[9] Holger Funke (2015). "Mapeo de autenticación de chip" . blog.protocolbench.org.

[10] TR - Control de acceso suplementario para MRTDs V1.1 (PDF) . OACI. 2014.

[1]