Technische Richtlinie TR-03127
Technische Richtlinie TR-03127
Technische Richtlinie TR-03127
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>TR</strong>-<strong>03127</strong><br />
3. Ausweiskarte<br />
Kartenkörper<br />
Der elektronische Personalausweis ist ein hoheitliches Ausweisdokument im td-1-Format gemäß<br />
[ICAO 9303]. Das Design der Karte und die physikalischen Sicherheitsmerkmale (z.B. Hologramme)<br />
sind nicht Gegenstand dieser <strong>Richtlinie</strong>.<br />
Chip<br />
In den Personalausweis wird ein kontaktloser Chip integriert. Dieser Chip bzw. die auf ihm realisierten<br />
kryptographischen Protokolle dienen als neuartiges Sicherheitsmerkmal und ermöglicht eine Reihe<br />
neuer Anwendungen für den Personalausweis.<br />
Der kontaktlose Chip kommuniziert mit einem passenden Kartenterminal, welches als Lese- oder<br />
Schreibgerät fungiert. Die Datenübertragung der zwei Komponenten erfolgt mittels induktiver Kopplung<br />
nach [ISO 14443]. Der Unique Identifier (UID, [ISO 14443] Typ A) bzw. der Pseudo-Unique<br />
PICC Identifier (PUPI, [ISO 14443] Typ B) des Chips wird bei jeder Aktivierung des Chips zufällig<br />
erzeugt.<br />
Die Kommunikation zwischen Chip und Terminal erfolgt nach [ISO 7816].<br />
Der Chip speichert personen- und dokumentenbezogenen Daten wie in Kapitel 3.2 beschrieben. Der<br />
Chip ist mit einen kryptographisch starken Zufallszahlengenerator ausgestattet und unterstützt Kryptographie<br />
mittels elliptischer Kurven gemäß [<strong>TR</strong>-03111] sowie AES [FIPS 197]. Ferner ist der elektronische<br />
Personalausweis eine nach Signaturgesetz [SigG] bzw. Signaturverordnung [SigV] bestätigte sichere<br />
Signaturerstellungseinheit.<br />
3.1 Authentisierungsverfahren<br />
Für die Zugriffskontrolle und die Authentisierung des Chips sowie des Terminals werden folgende<br />
kryptographischen Protokolle genutzt und müssen durch Chip bzw. Terminal implementiert werden<br />
(siehe auch [<strong>TR</strong>-03116] Teil 2):<br />
● Password Authenticated Connection Establishment – PACE ([<strong>TR</strong>-03110]),<br />
● Terminalauthentisierung Version 2 – TA2 ([<strong>TR</strong>-03110]);<br />
● Passive Authentisierung – PA ([ICAO 9303]);<br />
● Chipauthentisierung Version 2 – CA2 ([<strong>TR</strong>-03110]).<br />
Die Aktive Authentisierung nach [ICAO 9303] wird aus Datenschutzgründen nicht implementiert (siehe<br />
[<strong>TR</strong>-03110], Anhang I „Challenge Semantics“).<br />
Anhang G aus [<strong>TR</strong>-03110] (Basic Access Control mit Terminalauthentisierung/Chipauthentisierung<br />
Version 1) wird nicht implementiert.<br />
Die Anforderungen an die zugrunde liegenden Algorithmen und an die zu verwendenden Schlüssellängen<br />
werden in [<strong>TR</strong>-03116], Teil 2, und [<strong>TR</strong>-02102] in den jeweils aktuellen Fassungen festgelegt. Zu<br />
den Verfahren der Kryptographie auf elliptischen Kurven ist [<strong>TR</strong>-03111] verbindlich. Bei der Erzeugung<br />
von Zufallszahlen und Schlüsselmaterial sowohl während der Herstellung/Personalisierung als<br />
auch während des Betriebes des elektronischen Personalausweises sind die Anforderungen aus [<strong>TR</strong>-<br />
02102] einzuhalten.<br />
8 Bundesamt für Sicherheit in der Informationstechnik