기본 접근 제어

기본접근통제(BAC)는 공인된 당사자만이^[1] RFID 칩으로 여권에서 개인정보를 무선으로 열람할 수 있도록 하기 위해 지정된 메커니즘이다. 여권 번호, 생년월일, 유효기간 등의 데이터를 사용하여 세션 키를 협상한다. 이 키는 여권 칩과 판독 장치 사이의 통신을 암호화하는 데 사용될 수 있다. 이 메커니즘은 여권 소유자가 여권의 전자적 내용을 읽을 수 있는 사람을 결정할 수 있도록 하기 위한 것이다. 이 메커니즘은 2005년 11월 1일 독일 여권에 처음 도입되었으며, 현재 다른 많은 국가에서도 사용되고 있다(예: 2007년 8월 이후 미국 여권).^[2]

내부 작업

BAC 통신을 암호화하는 데 사용되는 데이터는 기계 판독 가능 구역이라 불리는 여권 하단에서 전자적으로 판독할 수 있다. 여권의 이 부분을 알기 위해서는 여권에 대한 물리적 접근이 필요하다고 가정하기 때문에 여권의 소유자가 여권의 열람을 허가한 것으로 추정된다. 여권의 이 부분을 광학적으로 스캔하기 위한 장비는 이미 널리 사용되고 있다. OCR 시스템을 사용하여 표준화된 형식으로 인쇄된 텍스트를 읽는다.

보안

개별 여권을 추적할 수 있도록 하는 기본 접근 제어 프로토콜에 대한 재생 공격이 있다.^[3]^[4] 이번 공격은 실패한 논스체크(nonce check)와 실패한 MAC체크(mass check)를 구분할 수 있다는 점에 착안한 것으로, 무작위화된 고유 식별자가 있고 키를 추측하기 어려운 여권을 상대로 작용한다.

기본 접근 제어 메커니즘은 허가되지 않은 가로채기로부터 너무 적은 보호를 제공한다는 비판을 받아왔다. 연구자들은 발급된 여권의 수가 제한되어 있기 때문에 이론적으로 가능한 많은 여권 번호가 실제로 사용되지 않을 것이라고 주장한다. 인간 연령대의 제한적인 범위는 가능성의 공간을 더욱 감소시킨다.

즉, 암호화 키로 사용되는 데이터는 엔트로피가 낮기 때문에 세션 키를 추측하는 것은 적당한 짐승의 힘 공격을 통해 가능하다는 뜻이다.

이 효과는 여권 번호가 순차적으로 발급되거나 중복 체크섬을 포함할 때 증가한다. 두 가지 모두 네덜란드가^{[citation needed]} 발급한 여권에서 사실로 입증됐다. 흉포한 힘의 공격을 가속화하는데 잠재적으로 사용될 수 있는 다른 요소들이 있다. 일반적으로 생년월일은 모집단에 무작위로 분포되지 않는다는 사실이 있다. 생년월일은 예를 들어 공항 체크인 데스크를 통과하는 모집단의 세그먼트에 대해 더 적은 수의 무작위로 분포될 수 있다. 그리고 여권이 1년 중 모든 요일과 주 내내 발급되지 않는 경우가 많다. 따라서 이론적으로 가능한 모든 만료일이 사용될 수 있는 것은 아니다. 또한 실제 기존 날짜가 사용된다는 사실은 가능한 조합의 수를 더욱 제한한다. 월은 키를 생성하는 데 사용되는 숫자 중 두 자리를 차지한다. 일반적으로 두 자릿수는 십진수 코드에서 100(00-99) 조합을 의미하거나 영숫자 코드에서 (36×36=1296) 조합을 의미한다. 그러나 12개월밖에 없기 때문에 조합은 12개뿐이다. 당일과 같다(달에 따라 두 자리와 31개의 조합 이하).

독일 여권 일련 번호 형식(이전 10자리, 전체 숫자, 순차적으로 할당됨)은 BAC 세션 키의 엔트로피가 낮다는 우려에 따라 2007년 11월 1일에 수정되었다. 새로운 10자 일련번호는 영숫자로 되어 있으며, 만료일과의 인식 가능한 관계를 피하고 엔트로피를 증가시키기 위해 특별히 설계된 블록 암호의 도움을 받아 생성된다. 또한, 공용 키 기반의 확장 접근 제어 메커니즘은 현재 최소 ICAO 요건, 특히 지문 이미지를 초과하는 RFID 칩의 어떤 정보도 보호하기 위해 사용된다.

참고 항목

예측 가능한 일련 번호 공격

참조

^ "ICAO Document 9303, Part 1, Volume 2 (e-passports)" (PDF). Retrieved 2012-01-15.^{[데드링크]}
^ [1] 2007년 12월 30일 웨이백머신에 보관
^ Goodin, Dan (2010-01-26). "Defects in e-passports allow real-time tracking, The Register, Dan Goodin, 26th Jan 2010". Theregister.co.uk. Retrieved 2012-01-15.
^ "A Traceability Attack Against e-Passports, Tom Chothia and Vitaliy Smirnov, 14th International Conference on Financial Cryptography and Data Security 2010" (PDF). Retrieved 2012-01-15.
^ Hancke, Gerhard (2006). "Practical Attacks on Proximity Identification Systems (Short Paper), Security and Privacy, 2006 IEEE Symposium on, Gerhard Hancke, 10 April 2012" (PDF). Security and Privacy, 2006 IEEE Symposium on. Retrieved 2012-05-10.

원천

2006년 3월 15일 회수한 아리 쥬얼스, 데이비드 몰나, 데이비드 바그너의 "전자여권에서의 보안 및 프라이버시 문제"
2006년 3월 15일 회수된 바트 제이콥스의 "생체인식 여권에 대한 보안 검토"(발표 슬라이드)
Dennis Kügler, Federal Office for Information Security (Pervasive Computing 2005-04-07에서 제2차 국제 보안 회의 슬라이드 발표)

외부 링크

2008년 3월 20일 오바마 여권 침해 사건으로 2발 발사

[1] "ICAO Document 9303, Part 1, Volume 2 (e-passports)" (PDF). Retrieved 2012-01-15.^{[데드링크]}

[2] [1] 2007년 12월 30일 웨이백머신에 보관

[3] Goodin, Dan (2010-01-26). "Defects in e-passports allow real-time tracking, The Register, Dan Goodin, 26th Jan 2010". Theregister.co.uk. Retrieved 2012-01-15.

[4] "A Traceability Attack Against e-Passports, Tom Chothia and Vitaliy Smirnov, 14th International Conference on Financial Cryptography and Data Security 2010" (PDF). Retrieved 2012-01-15.

[5] Hancke, Gerhard (2006). "Practical Attacks on Proximity Identification Systems (Short Paper), Security and Privacy, 2006 IEEE Symposium on, Gerhard Hancke, 10 April 2012" (PDF). Security and Privacy, 2006 IEEE Symposium on. Retrieved 2012-05-10.

[1]

[2]

[3]

[4]

Search

기본 접근 제어

네임스페이스

더

목차

내부 작업

보안

참고 항목

참조

원천

외부 링크