Einführung von Nicht-X.509-Zertifikaten für Dokumente der neuen Generation / Sudo Null IT News

Heute möchte ich über Zertifikate im Nicht-X.509-Format sprechen, die als kartenüberprüfbare selbstbeschreibende Zertifikate (CV) bezeichnet werden. Sie werden in zwei Dokumenten beschrieben:

  1. BSI TR-03110 “Fortgeschrittene Sicherheitsmechanismen für maschinenlesbare Reisedokumente und eIDAS-Token”. Dieser Standard beschreibt die Mechanismen zur Gewährleistung der Sicherheit internationaler Reisedokumente (auch bekannt als internationale Pässe) und europäischer eIDAS-Token. Dies ist die technische Grundlage für europäische Identitätsdokumente, einschließlich Führerscheine.

  2. ISO 7816 (hauptsächlich Teil 6) „Identification cards – Integrated circuit cards“. Ein Standard, der sich mit den in Chipkarten verwendeten Mechanismen befasst.

Der Name des Dokuments aus Absatz 1 sagt bereits, wer diese Zertifikate überhaupt braucht: Dokumente der neuen Generation, einschließlich eines Reisepasses.

Woher stammen diese Zertifikate? Nähern wir uns dem Thema am Beispiel eines Reisepasses. Seine weltweite Entwicklung als Reisedokument liegt in der Verantwortung der International Civil Air Carriers Organization (ICAO). Der Zugriff auf die Daten des Passchips muss zuverlässig geschützt werden, insbesondere wenn es um biometrische Merkmale geht. Für diesen Fall wurde der Extended Access Control (EAC)-Mechanismus erfunden. In der Spezifikation ICAO Doc 9303 wurde zunächst nur der Name dieses Mechanismus angegeben, nur als Reserve für die Zukunft. Über ihn wurde nur gesagt, dass dies ein optionaler Mechanismus mit speziellen Zugriffsschlüsseln auf die biometrischen Daten des Dokumenteninhabers ist. Einige Zeit später veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Dokument (siehe Abschnitt 1), das eine selbst entwickelte EAC-Version zum Auslesen von Fingerabdruck- und Irisbildern aus einem Passchip beschrieb. CV-Zertifikate wurden zu einem Schlüsselelement. Dies ist ein Tool, das PKI und Chipkarten noch enger “anfreunden” konnte. Diese Technik erwies sich als so erfolgreich, dass die vorgeschlagene Version der EAC von einer rein europäischen zu einer internationalen wurde, und im Laufe der Zeit wurde die EAC-Idee verbessert und auf europäische Identifikationskarten und Token für EDS (eIDAS-Token) ausgedehnt Die Russische Föderation hat es für einen neuen Pass (PEN) ausgeliehen. Dieselbe Technologie wird als bewährte und bewährte Technologie von den Marktführern auf dem europäischen Markt verwendet, wenn sie nationale Dokumente einer neuen Generation für Länder der Dritten Welt entwickeln.

Ein CV-Zertifikat ist im Wesentlichen ein so stark vereinfachtes Zertifikat, dass sogar eine Smartcard es analysieren und verifizieren kann (alles war dafür vorgesehen). Auf ihrer Grundlage können Sie jedoch eine Infrastruktur mit eigenen Stamm- und Zwischenzertifizierungsstellen bereitstellen. Die Aufgabe besteht darin, sicherzustellen, dass die Karte während der Authentifizierung den öffentlichen Schlüssel des Terminals erhalten kann, indem sie die Kette von Zertifikaten überprüft, die innerhalb einer bestimmten einheitlichen PKI ausgestellt werden. Dann ist die Karte nicht nur eine Art Schlüssel von außen, sondern ein Wert, dem man vertrauen kann. Unterwegs kann die Karte anhand dieser Zertifikate die Berechtigungsstufe des Terminals prüfen. Diese Technik hat sich als sehr effektiv erwiesen, da nur noch der Inhaber der Root-CA entscheidet, wer Zugriff auf die Chipdaten erhält und wer nicht, und zwar auf der Ebene der Ausstellung von Zertifikaten mit vorgegebener Gültigkeitsdauer und Autoritätsebene. Für Chipkarten war dies ein großer Fortschritt in Bezug auf die Zugriffskontrolle, da der Zugriff traditionell auf der Grundlage von Passwörtern und symmetrischer Kryptografie, d. h. damit jemand die geschützten Daten aus dem Mikroschaltkreis lesen kann, ist es notwendig, dass im Speicher der Karte vorab (während der Personalisierungsphase) ein gemeinsamer geheimer Wert gespeichert ist. Jetzt ist der Personenkreis, der Zugang zum Mikroschaltkreis hat, nur mit Hilfe von PKI begrenzt.

Um beispielsweise auf das Bild von Fingerabdrücken in Pässen zuzugreifen, hat jedes Land eine nationale dreistufige PKI auf der Grundlage von CV-Zertifikaten eingeführt:

  1. CVCA (Card Verifiable CA) – die Ebene der Root-CA;

  2. DV (Dokumentenprüfer) ​​- Mittelstufe;

  3. IS (Inspektionssystem) – Terminalebene.

Das Leben dieser PKI ist in den entsprechenden internen Dokumenten beschrieben. Zertifikate auf jeder Ebene haben ihre eigene Lebensdauer. Am häufigsten ändern sich IS-Zertifikate und am seltensten – CVCA. Auf dem Chip werden nur Stammzertifikate gespeichert (maximal 2 Stück – aktuelle und frühere, falls vorhanden). Dies reicht aus, damit die Karte die gesamte Kette der Terminalzertifikate verifizieren kann.

Szenariobeispiel: Wenn ein bestimmtes Utopia-Land die Fingerabdrücke russischer Bürger aus Pässen lesen möchte, muss es eine eigene Zwischen-CA (DV) erstellen und dafür ein Zertifikat von der russischen Root-CA (CVCA) erhalten. Ferner kann diese zwischengeschaltete CA innerhalb der Gültigkeitsdauer ihres Zertifikats nach eigenem Ermessen Zertifikate für Endgeräte zum Lesen von Daten ausstellen. Gleichzeitig sind vom Mikroschaltkreis des russischen Passes selbst keine zusätzlichen Gesten erforderlich. Wenn es das richtige Root-Zertifikat der nativen PKI speichert, können die neuen Terminals in Utopia die Fingerabdrücke aus dem russischen Pass lesen.

Eine wichtige Eigenschaft: Der Pass-Chip wertet auf Basis aller gültigen Zertifikate der Heimat-CAs (die CA in Utopia zählt nicht – sie ist fremd) ständig die aktuelle Uhrzeit aus. Dadurch hat der Reisepass die Möglichkeit herauszufinden, dass einige der ihm vorgelegten Zertifikate bereits abgelaufen sind.

Zertifikatsformat

Das grundlegende Zertifikatsformat ist BER-TLV, wie von der ICAO definiert. Hier kannst du es kurz nachlesen. Wenn wir über internationale Pässe sprechen, dann stellen die Elemente eines CV-Zertifikats die folgende Baumstruktur von TLV-Knoten dar.

Schild

Beschreibung

7F21

Lebenslauf Zertifikat

Zertifikat

7F4E

Zertifizierungsstelle

Zertifizierungsstelle

5F29

Zertifikatprofilkennung

Formatversion

42

Referenz der Zertifizierungsstelle (CAR)

Herausgeber-ID

7F49

Öffentlicher Schlüssel

Öffentlicher Schlüssel

5F20

Referenz des Zertifikatsinhabers (CHR)

Besitzer-ID

7F4C

Vorlage für die Autorisierung des Zertifikatsinhabers

Rolle und Berechtigungen des Zertifikats

5F25

Gültigkeitsdatum des Zertifikats

Datum der Ausstellung

5F24

Ablaufdatum des Zertifikats

Verfallsdatum

5F37

Signatur des Zertifikats

EDS

Bisher gibt es nur ein Format, daher ist der Wert des Certificate Profile Identifier immer 0.

CHR und CAR sind die IDs des Zertifikatinhabers bzw. des übergeordneten Zertifikats. Sie bestehen aus ASCII-Buchstaben und Zahlen, wobei die ersten beiden Buchstaben das Land angeben (z. B. RU), dann den Namen der Zertifikatsstufe und dann was Sie wollen, z. B.: wenn CHR=”RUDVTEST0001″, dann ist dies ein russisches Mittelstufenzertifikat.

Das Ausstellungsdatum (Gültigkeitsdatum des Zertifikats) und das Ablaufdatum (Ablaufdatum des Zertifikats) werden im Format JJMMTT basierend auf der Binärcode-Dezimalcodierung (BCD) angegeben.

Das Public-Key-Element enthält die OID des Algorithmus aus der Liste, die innerhalb des Systems zugelassen ist, und dann diejenigen Elemente, die gemäß dem Algorithmus erforderlich sind. Für ECDSA hätte dieses Element beispielsweise die folgende Struktur.

Schild

Beschreibung

7F49

Öffentlicher Schlüssel

06

OID

81

Hauptmodul p

82

Erster Koeffizient a

83

Zweiter Koeffizient b

84

Basispunkt G

85

Ordnung des Basispunktes r

86

Öffentlicher Punkt Y

87

Cofaktor

Es wird also akzeptiert, dass die aufgeführten Parameter, mit Ausnahme von 0x86 und 0x06, nicht in den DV- und IS-Level-Zertifikaten angegeben sind, sondern von der Wurzel geerbt werden.

Die Autorisierungsvorlage für Zertifikatsinhaber besteht aus den folgenden Elementen:

Schild

Beschreibung

7F4С

Vorlage für die Autorisierung des Zertifikatsinhabers

06

OID der Berechtigungsvorlage für den Reisepass.

53

Daten: Zertifikatsebene + Rechte zum Lesen kritischer Daten

Durch diesen OID-Wert wird bestimmt, dass dieses CV-Zertifikat zu den internationalen ICAO-Pässen gehört:

id-EAC-ePassport OBJEKTIDENTIFIER ::= { bsi-de Anwendungen(3) mrtd(1) Rollen(2) 1 } bsi-de OBJEKTIDENTIFIER ::= { itu-t(0) identifizierte Organisation(4) etsi (0) reserviert (127) etsi-identifizierte-organisation (0) 7 }

Bei Dokumenten anderer Art wird hier eine andere OID angegeben. Das Objekt mit dem 0x53-Tag beschreibt die Stufe des Zertifikats (CVCA, DV, IS) und gibt an, welche Art von biometrischen Daten bei erfolgreicher Durchführung aller Authentifizierungen mit einem Chip ausgelesen werden können.

Beispiel für ein CVCA-Zertifikat, ECDSA-Algorithmus

Alle Daten:

0000: 7F218201 8D7F4E82 014D5F29 01004210 44454356 43414550 41535330 30303031 0020: 7F4981FD 060A0400 7F000702 02020202 811CD7C1 34AA2643 66862A18 302575D1 0040: D787B09F 075797DA 89F57EC8 C0FF821C 68A5E62C A9CE6C1C 299803A6 C1530B51 0060: 4E182AD8 B0042A59 CAD29F43 831C2580 F63CCFE4 41388707 13B1A923 69E33E21 0080: 35D266DB B372386C 400B8439 040D9029 AD2C7E5C F4340823 B2A87DC6 8C9E4CE3 00A0: 174C1E6E FDEE12C0 7D58AA56 F772C072 6F24C6B8 9E4ECDAC 24354B9E 99CAA3F6 00C0: D3761402 CD851CD7 C134AA26 4366862A 18302575 D0FB98D1 16BC4B6D DEBCA3A5 00E0: A7939F86 3904AE54 D71E532C 16D3CCE8 54DD1298 D1068F70 BD2C0F68 E62A32BC 0100: D87BA20E 7534683D 1ED8B94D E64A6E5A 63277FAD 738EA907 C5049B99 7B018701 0120: 015F2010 44454356 43414550 41535330 30303031 7F4C0E06 0904007F 00070301 0140: 02015301 C35F2506 00070004 00015F24 06000900 0303015F 37381DAF 7AA198B9 0160: 48A6DFB6 26BDDDAD 3C0343AB D1F1049C 4CA1B098 21C77A5A 3BBB18A5 D2F6D9AF 0180: 0A2463B4 C137287B AFF19DB8 684C1441 989F

Geparste Daten im Formular

Schild [length] Wert // Kommentare7F21 [82018D] // CV-Zertifikat 7F4E [82014D] // Zertifizierungsstelle 5F29 [01] 00 // Zertifikatprofilkennung 42 [10] 44454356434145504153533030303031 // AUTO 7F49 [81FD] // Öffentlicher Schlüssel 06 [0A] 04007F00070202020202 // Algorithmus OID 81 [1C] D7C134AA264366862A18302575D1D787 B09F075797DA89F57EC8C0FF // Prime Modul p 82 [1C] 68A5E62CA9CE6C1C299803A6C1530B51 // Erster Koeffizient a 4E182AD8B0042A59CAD29F43 83 [1C] 2580F63CCFE44138870713B1A92369E3 // Zweiter Koeffizient b 3E2135D266DBB372386C400B 84 [39] 040D9029AD2C7E5CF4340823B2A87DC6 // Basispunkt G [1C] D7C134AA264366862A18302575D0FB98 // Reihenfolge des Basispunktes r D116BC4B6DDEBCA3A5A7939F 86 [39] 04AE54D71E532C16D3CCE854DD1298D1 // Öffentlicher Punkt Y [01] 01 // Cofaktor 5F20 [10] 44454356434145504153533030303031 // CHR 7F4C [0E] // Vorlage zur Autorisierung des Zertifikatsinhabers 06 [09] 04007F000703010201 // 0.4.0.127.0.7.3.1.2.1 – Autorisierungsvorlage OID 53 [01] C3 // Vorlagendaten: Zertifikatsebene + Autorität 5F25 [06] 000700040001 // 2007-APR-01 – Gültigkeitsdatum des Zertifikats 5F24 [06] 000900030301 // 2009-MAR-31 – Ablaufdatum des Zertifikats 5F37 [38] 1DAF7AA198B948A6DFB626BDDDAD3C03 // Zertifikatsignatur

Interpretation der Autorisierungsvorlagendaten (Wert 0xC3):

Bits: 1 1 0 0 0 0 1 1 xx – – – – – – Zertifikatsstufe: 11 – CVCA – – – – – – x – Iris-Lesen rechts (1 – erlaubt) – – – – – – – x Rechtes Fingerabdruck-Lesen (1 – möglich)

Die eID European Identity Application verwendet dieselben Zertifikate, außer dass das Element Certificate Holder Authorization Template (0x7F4C) eine OID mit einem anderen Wert enthält und das mit 0x53 gekennzeichnete TLV-Objekt mit anderen Daten gefüllt ist, die mehrere Dutzend Indikator-Flags enthalten, die genau angeben, was kann/kann nicht gelesen und geändert werden. Darüber hinaus können zugunsten der eID-Anwendung Erweiterungen in das Zertifikat aufgenommen werden. Dieses Element ist optional und darf im Zertifikat nicht vorhanden sein. Sie wurden hinzugefügt, um die Parameter der Online-Interaktion des Dokumenteneigentümers mit Remote-Diensten zu verdeutlichen.

Einerseits ist ein CV-Zertifikat nur ein Baustein eines großen und komplexen Sicherheitsmechanismus in Dokumenten der neuen Generation. Andererseits ist es sein Schlüsselelement und an sich interessant. In dem Artikel habe ich viele weitere Fragen im Zusammenhang mit PKI und dem Anwendungskontext nicht berührt. Ziel war das gegenseitige Kennenlernen. Wenn Sie das Thema genauer studieren möchten, finden Sie unten die Links.

eines. ICAO-Dokument 9303

2. BSI TR-03110

3. Anwendungsfall: Personalausweis

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *