Password Authenticated Connection Establishment

Password Authenticated Connection Establishment (PACE) bezeichnet ein passwortbasiertes Authentisierungs- und Schlüsseleinigungsverfahren. Das Protokoll wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für den Einsatz im neuen Personalausweis entwickelt und wird u. a. in der Technischen Richtlinie TR-03110[1] beschrieben. PACE wird als Nachfolger von Basic Access Control für den Einsatz in maschinenlesbaren Reisedokumenten standardisiert.[2]

Das Protokoll akzeptiert als Eingabe ein Passwort (möglicherweise geringer Entropie), verifiziert das Passwort und leitet Sitzungsschlüssel hoher Entropie ab, um die nachfolgende Kommunikation zu schützen.

PACE zählt zur Familie der Password Authenticated Key Exchange (PAKE) Protokolle. Im Gegensatz zu anderen Protokollen dieser Gruppe wie z. B. Encrypted Key Exchange (EKE), Simple Password Exponential Key Exchange (SPEKE) oder Secure-Remote-Password-Protokoll (SRP) ist das PACE-Protokoll selbst patentfrei und kann sowohl mit Elliptischen Kurven als auch mit Standardkryptographie implementiert werden.

Verfahren

Bearbeiten

Das PACE-Protokoll besteht aus vier Schritten:

  1. Der Chip wählt eine Zufallszahl (Nonce), verschlüsselt sie mit dem Passwort als Schlüssel und sendet die verschlüsselte Zufallszahl an das Terminal, welches die Zufallszahl wieder entschlüsselt.
  2. Der Chip und das Terminal bilden die Zufallszahl mithilfe einer (möglicherweise interaktiven) Mapping-Funktion auf einen Erzeuger der verwendeten mathematischen Gruppe ab.
  3. Der Chip und das Terminal führen einen Diffie-Hellman-Schlüsselaustausch durch, wobei sie den Erzeuger aus Schritt 2 als Basis verwenden.
  4. Der Chip und das Terminal leiten aus dem gemeinsamen Geheimnis Sitzungsschlüssel ab und nutzen diese für eine gegenseitige Authentisierung sowie anschließend für die Absicherung der weiteren Kommunikation.

Mapping-Funktionen

Bearbeiten

Einer der Kernbestandteile von PACE ist eine sogenannte Mapping-Funktion. Diese Funktion wird verwendet, um eine Zufallszahl in die für das asymmetrische Kryptosystem verwendete mathematische Gruppe abzubilden. Derzeit sind zwei Arten von Abbildungen definiert:

Generisches Mapping
Diese Abbildung basiert auf generischen Gruppenoperationen, ist einfach zu implementieren und kann mit allen Diffie-Hellman-Varianten verwendet werden.
Integriertes Mapping
Diese Abbildung integriert die Zufallszahl direkt in die verwendete Gruppe. Bei der Verwendung mit Elliptischen Kurven sind hierfür allerdings patentierte Algorithmen notwendig.
Chip Authentication Mapping
Diese Abbildung verbindet Generisches Mapping mit Chip Authentication, so dass beide Protokolle gemeinsam ausgeführt werden können und die Performanz dadurch erhöht wird.[3]

Sicherheit

Bearbeiten

Die Sicherheit von PACE ist mathematisch nachgewiesen.[4] Die kryptographische Stärke der von PACE erzeugten Sitzungsschlüssel ist nicht von dem verwendeten Passwort abhängig. Daher können mit PACE sehr kurze Passwörter verwendet werden. Wie bei allen Protokollen aus der Gruppe der passwortbasierten Authentisierungsverfahren, kann PACE nicht gegen Brute-Force Angriffe auf das verwendete Passwort schützen. Mögliche Gegenmaßnahmen umfassen die Verlangsamung des Protokolls oder das Blockieren des Passworts nach einer festgelegten Anzahl von Eingaben des falschen Passworts.

Einsatz bei maschinenlesbaren Reisedokumenten

Bearbeiten

PACE wird derzeit als Nachfolger von Basic Access Control für den Einsatz in maschinenlesbaren Reisedokumenten standardisiert. Aufgrund der Patentierung des Integrated Mappings für Elliptische Kurven wurde diese Variante in der aktuellen Version der Spezifikation als optional deklariert und ist somit für Lesegeräte nicht verpflichtend.

PACE soll in einer Übergangsphase zunächst parallel zu Basic Access Control implementiert werden und wird daher übergangsweise auch als Supplemental Access Control bezeichnet. Es wird empfohlen, PACE bis 2015 in maschinenlesbaren Reisedokumenten und Lesegeräten zu implementieren.[2]

Einsatz beim neuen Personalausweis

Bearbeiten

Beim neuen Personalausweis wird PACE in Verbindung mit Extended Access Control anstelle von Basic Access Control verwendet. Basic Access Control wird nicht mehr unterstützt.[5]

PACE kann mit 4 verschiedenen Passwörtern ausgeführt werden. Die aufgedruckte sechsstellige Card Access Number (CAN) und, analog zu Basic Access Control, die maschinenlesbare Zone sind nur bei bestimmten Lesegeräten (üblicherweise von hoheitlichen Stellen) zugelassen. Eine geheime PIN und ein entsprechender PUK, die nur dem rechtmäßigen Inhaber bekannt sind, lassen sich bei jedem Lesegerät verwenden. Letzterer dient, wie der Name suggeriert, lediglich dem Entsperren der PIN nach einer gewissen Anzahl fehlgeschlagener Authentifizierungsversuche.[1]

Einzelnachweise

Bearbeiten
  1. a b BSI Technische Richtlinie TR-03110, Advanced Security Mechanisms for Machine Readable Travel Documents and eIDAS Token, Version 2.20, 2015
  2. a b 19. Treffen der Technical Advisory Group on Machine Readable Travel Documents, 2009@1@2Vorlage:Toter Link/www2.icao.int (Seite nicht mehr abrufbar, festgestellt im Mai 2019. Suche in Webarchiven)  Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. (PDF; 92 kB)
  3. Chip Authentication Mapping, 2015
  4. Security Analysis of the PACE Key-Agreement Protocol, 2009
  5. BSI Technische Richtlinie TR-03116-2, eCard-Projekte der Bundesregierung, Teil 2 – Hoheitliche Ausweisdokumente (PDF; 332 kB)