El Pasaporte Electrónico EAC soportado en KeyOne

En este documento se ofrece una visión general sobre el Control de Acceso Extendido (EAC)(1) del pasaporte electrónico y su integración con los productos de PKI KeyOne. Se supone que el lector está familiarizado con el pasaporte electrónico de la Organización Internacional de Aviación Civil (ICAO). Se recomienda, aunque no es imprescindible, un conocimiento general sobre la arquitectura de KeyOne (en concreto sobre KeyOne CA).

 Documento Técnico Pasaporte electrónico Versión en Inglés

El objetivo del Control de Acceso Extendido es proteger la autenticidad, originalidad y confidencialidad de los datos biométricos almacenados en los chips del pasaporte electrónico (Documento de Viaje de Lectura Mecánica MRTD). Esto se consigue añadiendo al pasaporte electrónico un chip con la capacidad de autenticar los sistemas de inspección (IS) nacionales y extranjeros, que quieren acceder a los datos contenidos en el chip. Cada sistema de inspección dispone de certificados digitales verificables en tarjeta (CV) para este propósito.

Cada país gestiona la Autoridad de Certificación Comprobadora del País (CVCA) que emite los certificados digitales CV a los Verificadores de Documentos (DV) nacionales y extranjeros. La CVCA normalmente delega las tareas de registro a una Autoridad de Registro (la CVRA) asociada.

A su vez, cada DV nacional actúa como una Autoridad de Certificación subordinada que emite los certificados digitales CV a los sistemas de inspección (IS) nacionales. Los IS son las entidades finales de la PKI y disponen de claves certificadas para la autenticación con los chips de los pasaportes-e.

Un DV debe estar certificado a la vez por:

  • la CVCA nacional y,
  • las CVCAs extranjeras de todos los países que desean que sus pasaportes-e sean inspeccionados por los sistemas de inspección (IS) de su dominio. Cuando se emite un certificado digital de CV a un DV, la CVCA del país "X" puede otorgar al DV derechos de acceso sobre la información sensible contenida en el pasaporte electrónico de los ciudadanos del país "X" (estos derechos de acceso se incluyen en el certificado digital de la CV).

El DV, a su vez, debe emitir, para todos sus IS, certificados digitales de cada país (pudiendo restringir los derechos de acceso). Por tanto, un IS nacional obtiene del DV un certificado digital de cada jerarquía de certificación de las diferentes CVCA. Cada DV y cada IS necesitan disponer de múltiples pares de claves certificadas, una por país.

Para leer el pasaporte electrónico de un ciudadano del país "X", el IS debe autenticarse contra el chip presentando su certificado digital de CV de la jerarquía de certificación de la CVCA del país "X" junto con la cadena de certificación. El chip valida el certificado digital del IS y le da derechos de acceso a los datos sensibles de acuerdo con la información contenida en el certificado digital. El chip puede validar la cadena de certificación ya que conoce la clave pública de la CVCA del país "X" (esta clave pública se insertó en el chip del pasaporte electrónico en la fase de personalización).

Puesto que no hay un mecanismo de revocación de certificados, los periodos de validez de los certificados digitales del DV e IS son muy cortos (ver CCP(2) para los periodos de validación máximo y mínimo para cada participante en la PKI). Es muy deseable disponer de un sistema de renovación de claves en los DV e IS.

Cada país se comunica con el resto de países mediante un Único Punto de Contacto (4)(SPOC). El SPOC actúa como una interfaz de servicios web para las operaciones automáticas (certificación de DV) y para las notificaciones (suspensión del servicio de CVCA, claves comprometidas de DV, etc.). La comunicación se securiza mediante SSL/TLS.

KeyOne ofrece productos para todos estos componentes de PKI excepto los sistemas de inspección. Safelayer dispone de una solución software completa para la PKI del pasaporte electrónico, tanto ICAO (primera fase ya implantada) como EAC (segunda fase, en proceso final de estandarización de la comunicación (3)).

Los productos KeyOne para pasaporte electrónico ICAO incluyen: CSCA (Autoridad de Certificación Firmante del País) y DS (Firmante de Documentos)

Los productos KeyOne para pasaporte electrónico EAC incluyen: CVCA (Autoridad de Certificación Verificadora del País) - que emite los certificados digitales CV a los Verificadores de Documentos (DV), CVRA-SPOC (Autoridad de Registro Verificadora del País -Único Punto de Contacto), DV (Verificador de Documentos) -que emite los certificados digitales CV a los sistemas de inspección nacionales (IS). Todas las pruebas fueron favorables en el Banco de Pruebas de Praga (ver http://www.e-passports2008.org/). 

Se soportan los algoritmos ECDSA (incluyendo la familia brainpool) en HSMs homologados. Así mismo se soporta RSA y DSA.

(1) TR-03110, "Advanced Security Mechanisms for Machine Readable Travel Documents - Extended Access Control (EAC)", versión 1.11, Bundesamt fur Sicherheit in der Informationstechnik

(2) "Common Certificate Policy For The Extended Access Control Infrastructure For Passports And Travel Documents Issued By EU Member States", versión 1.0 (Marzo 2008), European Commission

(3) SPOC concept and the related interfaces under discussion by the Brussels Interoperability Group (BIG)

(4) “Country Verifying Certification Authority Key Managment Protocol for SPOC”, versión 1.0.

Descargue la versión completa del Documento Técnico del Pasaporte Electrónico (sólo en inglés):

Utilizamos cookies para mejorar nuestro sitio web y su experiencia al usarlo. Las cookies utilizadas para el funcionamiento esencial de este sitio ya se han establecido. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlas, ver nuestra Política de Privacidad.Acepto las cookies de este sitio