Cryptography Reference
In-Depth Information
halb dieser Reisepass-PKI keine Wurzel-CA, die Zertifikate für CSCAs ausstellt.
Auch eine Bridge-CA ist nicht vorgesehen.
Eine CSCA stellt für jeden Ausweishersteller des Landes (in Deutschland ist
die Bundesdruckerei der einzige) ein digitales Zertifikat aus, das
DS-Zertifikat
genannt wird (DS steht für »digital signing«). Mit dem zum DS-Zertifikat gehö-
renden privaten Schlüssel signiert der Ausweishersteller die Daten auf den ausge-
stellten Reisepässen. Ein Prüfgerät muss zur Überprüfung einer solchen Signatur
das CSCA-Zertifikat des betreffenden Staats kennen. Mit diesem kann es die
Echtheit des betreffenden DS-Zertifikats prüfen und anschließend die Signatur
verifizieren.
Neben der digitalen Signatur hat jeder elektronische Reisepass einen privaten
Schlüssel für eine Challenge-Response-Authentifizierung gespeichert. Für diesen
privaten Schlüssel ist kein Zertifikat vorgesehen. Stattdessen ist der zugehörige
öffentliche Schlüssel Teil des signierten Reisepassinhalts. Ein Prüfgerät kann
dadurch im Rahmen der Signaturverifikation zunächst die Echtheit des öffentli-
chen Schlüssels sicherstellen und mit diesem anschließend eine Authentifizierung
durchführen.
Optional kann ein elektronischer Reisepass die Identität eines Prüfgeräts
überprüfen, um bestimmte Inhalte (etwa biometrische Daten) nur unter geeigne-
ten Umständen preiszugeben. Diese Funktion wird
Extended Access Control
(
EAC
) genannt. EAC setzt voraus, dass ein Prüfgerät ein eigenes digitales Zertifi-
kat besitzt. Dieses ist ein CV-Zertifikat (siehe Abschnitt 27.5) und kommt von
einer CA, die von einem sogenannten
Document Verifier
(
DV
) betrieben wird. Ein
DV ist eine organisatorische Einheit, die innerhalb eines Staats die Prüfgeräte
eines bestimmten Typs betreibt (beispielsweise alle Prüfgeräte, die an der Grenze
zum Einsatz kommen). Die DV erhält wiederum ein Zertifikat, das von einer
CVCA
(Country Verifying CA) ausgestellt wird, die vom jeweiligen Staat betrie-
ben wird. Auch hier ist keine weltweite Wurzel-CA vorgesehen. Der Chip auf
dem Reisepass muss daher die öffentlichen CVCA-Schlüssel derjenigen Staaten
gespeichert haben, in denen ein EAC-Zugriff möglich sein soll.
30.2.2
PKIs elektronischer Personalausweise
Während elektronische Reisepässe weltweit einheitlich realisiert sind, herrscht im
Bereich der elektronischen Personalausweise ein ziemliches Durcheinander. Meh-
rere Dutzend Staaten weltweit geben inzwischen solche Dokumente an ihre Bür-
ger aus, und erst langsam gewinnen Initiativen wie
European Citizen Card
an
Bedeutung, die eine Interoperabilität unterschiedlicher Ausweissysteme zum Ziel
haben. Zu den europäischen Staaten, die bereits elektronische Personalausweise
eingeführt haben, gehören Belgien, Deutschland, Finnland, Italien, Portugal und
Spanien. Auch einige arabische und südostasiatische Länder haben diesen Schritt
inzwischen vollzogen. Weitere werden folgen.
