The cryptography behind electronic passports
7 months ago
- #electronic-passports
- #security
- #cryptography
- 电子护照(eMRTD)内含嵌入式文件系统,存储个人数据并采用加密协议进行保护。
- 国际民航组织(ICAO)标准规定了电子护照的数据结构与安全机制,包括强制性和可选数据组(DGs)。
- 威胁模型需防范未经授权的读取、窃听、伪造及护照数据复制等风险。
- 基本访问控制(BAC)利用机读区(MRZ)数据派生密钥,但存在熵值不足和离线暴力破解等安全缺陷。
- 被动认证(PA)通过国家签名证书机构(CSCA)的数字签名验证护照数据完整性。
- 主动认证(AA)采用护照内嵌私钥防复制,但仍面临中继攻击漏洞。
- 扩展访问控制(EAC)通过芯片认证(CA)和终端认证(TA)提升安全性。
- 密码认证连接建立协议(PACE)替代BAC,更安全地利用MRZ数据防止离线攻击。
- 威胁模型存在潜在漏洞:若MRZ数据泄露可能导致追踪风险,以及基于护照特征的指纹识别问题。
- 基于电子护照的零知识身份证明存在安全隐患,包括数据暴露风险及对PA/AA/CA机制的依赖性问题。