Extended Access Control
Extended Access Control (EAC) — это протокол и набор механизмов безопасности, используемых в биометрических паспортах и других документах, удостоверяющих личность, для защиты наиболее чувствительных данных, таких как отпечатки пальцев и изображение радужной оболочки глаза. EAC является расширением базового протокола доступа к паспортным данным (Basic Access Control, BAC) и обеспечивает более строгую аутентификацию и шифрование при чтении биометрической информации.
История и развитие
Протокол EAC был разработан в рамках стандартов Международной организации гражданской авиации (ICAO) для электронных машинно-считываемых проездных документов (eMRTD). Необходимость в EAC возникла из-за ограничений BAC, который обеспечивает защиту только при чтении данных, хранящихся в чипе паспорта (например, фамилия, дата рождения, фотография), но не защищает биометрические данные, которые могут быть считаны с помощью специального оборудования.
Первая версия EAC (EAC 1.0) была стандартизирована в 2006 году в документе ICAO 9303. В 2009 году была принята вторая версия (EAC 2.0), которая включала улучшенные криптографические алгоритмы и механизмы управления ключами. В России внедрение EAC началось с 2010 года, когда в биометрические паспорта нового образца были добавлены чипы, поддерживающие этот протокол.
Принцип работы
EAC основан на асимметричной криптографии и использует инфраструктуру открытых ключей (PKI). Процесс доступа к данным состоит из нескольких этапов:
Аутентификация терминала (Terminal Authentication, TA)
На этом этапе считывающее устройство (например, пограничный терминал) доказывает чипу паспорта, что оно имеет право доступа к защищённым данным. Для этого устройство предоставляет цифровой сертификат, подписанный доверенным центром сертификации (например, государственным органом). Чип проверяет действительность сертификата, его срок действия и цепочку доверия.
Аутентификация чипа (Chip Authentication, CA)
После успешной аутентификации терминала чип доказывает свою подлинность, используя свой закрытый ключ. Это предотвращает атаки с подменой чипа (клонирование). В результате устанавливается сеансовый ключ для шифрования последующей передачи данных.
Установление защищённого канала
После взаимной аутентификации между терминалом и чипом создаётся зашифрованное соединение, по которому передаются биометрические данные. Используемые алгоритмы шифрования — AES (Advanced Encryption Standard) с длиной ключа 128 или 256 бит.
Классификация и виды
EAC подразделяется на два основных уровня доступа:
- Уровень 1 (EAC Level 1) — предоставляет доступ к данным, хранящимся в чипе, но не к биометрическим шаблонам. Обычно используется для проверки подлинности документа.
- Уровень 2 (EAC Level 2) — предоставляет доступ к биометрическим данным (отпечатки пальцев, радужная оболочка глаза). Требует более строгой аутентификации терминала и наличия специального разрешения.
В некоторых странах, включая Россию, используется расширенная версия EAC, называемая Extended Access Control Plus (EAC+), которая добавляет дополнительные механизмы защиты, такие как использование аппаратных модулей безопасности (HSM) и усиленное управление ключами.
Применение
EAC применяется в следующих областях:
- Биометрические паспорта — для защиты отпечатков пальцев и изображения радужной оболочки глаза. В России с 2015 года все загранпаспорта нового образца (сроком действия 10 лет) содержат чипы с поддержкой EAC.
- Удостоверения личности — в некоторых странах (например, Германия, Эстония) EAC используется в электронных удостоверениях личности для доступа к биометрическим данным.
- Визовые системы — для защиты биометрических данных, собираемых при подаче заявления на визу.
- Пограничный контроль — автоматизированные системы контроля, такие как e-Gates, используют EAC для быстрой и безопасной проверки личности.
Критика и уязвимости
Несмотря на высокий уровень безопасности, EAC имеет ряд недостатков:
- Сложность внедрения — требует развёртывания инфраструктуры открытых ключей, что дорого и трудоёмко для малых стран.
- Уязвимость к атакам на сертификаты — если центр сертификации скомпрометирован, злоумышленник может получить доступ к защищённым данным.
- Ограниченная совместимость — не все считывающие устройства поддерживают EAC, что может затруднить проверку документов в некоторых странах.
- Проблемы с конфиденциальностью — даже при использовании EAC, биометрические данные могут быть собраны без ведома владельца паспорта, если устройство имеет действительный сертификат.
В 2017 году исследователи из Университета Радбауд (Нидерланды) продемонстрировали атаку на EAC, позволяющую перехватить сеансовый ключ при определённых условиях, однако для её реализации требовался физический доступ к чипу и специальное оборудование.
Правовой статус в России
В Российской Федерации использование EAC регулируется Федеральным законом «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию» и постановлениями Правительства РФ. Все биометрические паспорта, выдаваемые с 2010 года, поддерживают EAC. Считывающие устройства на границе и в консульских учреждениях обязаны иметь сертификаты, выданные уполномоченными органами. В 2022 году были внесены изменения в правила сертификации, ужесточающие требования к терминалам, работающим с EAC.
Интересные факты
- Протокол EAC был впервые реализован в паспортах Германии в 2007 году.
- В России EAC используется не только в загранпаспортах, но и в электронных водительских удостоверениях (с 2020 года).
- По данным ICAO на 2023 год, более 150 стран мира используют EAC в своих биометрических документах.
- Алгоритмы EAC основаны на стандартах ISO/IEC 24727 и ISO/IEC 7816.
Источники
- ICAO Doc 9303, Part 11: Security Mechanisms for MRTDs, 7th Edition, 2015.
- Федеральный закон от 15.08.1996 № 114-ФЗ «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию» (с изменениями).
- Постановление Правительства РФ от 18.11.2015 № 1240 «О требованиях к биометрическим персональным данным, используемым для идентификации личности».
- Technical Report TR-03110: Advanced Security Mechanisms for Machine Readable Travel Documents, Federal Office for Information Security (BSI), Germany, 2012.
- «Анализ безопасности протокола Extended Access Control в биометрических паспортах», Журнал «Вопросы кибербезопасности», № 3, 2021.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →