(ICAO ePassport)

Актуальность разработки

В 1968 ICAO (Международная организация Гражданской Авиации, International Civil Aviation Organisation) начала работы по определению спецификаций и общемирового Стандарта для машинно-читаемых паспортов, под которыми понимаются электронные паспорта с биометрическими атрибутами владельцев (фото, отпечатки пальцев и так далее).

11 июля 2005 ICAO формально утвердила спецификации машинно-читаемого паспорта, разработанные совместно с Организацией Международных Стандартов (ISO), как общего мирового стандарта для паспортов. Эти спецификации определяют новую версию стандартизированного паспорта высокого уровня безопасности, биометрического паспорта, или «ePassport». С утверждением спецификаций как международного стандарта, все 188 стран, членов ICAO, согласились выпустить собственные паспорта, включая новую версию ePassport-ов в соответствии со Стандартом не позднее, чем 1 апреля 2010 – однако еще раньше, до конца октября 2006 г, планируют реализовать ICAO ePassport более 40 стран. В частности :

Евросоюз обязал все 25 Государств-членов ЕС иметь полностью совместимые ICAO ePassport-а, которые должны содержать биометрическое изображение лица, до сентября 2006 г. (пока этот план еще не выполнен);

Соединенные Штаты обязали все 27 безвизовых наций (тех стран, чьи граждане могут путешествовать в США без визы США) выпустить ICAO ePassport до 26 октября 2006 года.

Перечень базовых стандартов по реализации ICAO ePassport:

1. ICAO Technical Report: Development of a Logical Data Structure – LDS for optional capacity expansion technologies, version 1.7, 2004-05-18.

2. ICAO Technical Report: MACHINE READABLE TRAVEL DOCUMENTS -- PKI for Machine Readable Travel Documents offering ICC Read-Only access, version 1.1., October 01, 2004.

3. ICAO Technical Report: MACHINE READABLE TRAVEL DOCUMENTS -- Biometrics Deployment for Machine Readable Travel Documents, Version 2 (draft 2), May 5 2004

4. ICAO: MACHINE READABLE TRAVEL DOCUMENTS -- Guide to Interfacing e-MRTDs and Inspection Systems, Version – 1.0, February 14, 2005.

5. ISO/IEC 7816-4:2005. Identification cards -- Integrated circuit cards -- Part 4: Organization, security and commands for interchange.

6. ISO/IEC 7816-5:2004. Identification cards -- Integrated circuit cards -- Part 5: Registration of application providers.

7. ISO/IEC 7816-8:2004. Identification Cards -- Integrated circuit(s) cards with contacts -- Part 8: Security related interindustry commands.

8. ISO/IEC FCD 19794-5:2005. Information technology -- Biometric data interchange formats -- Part 5: Face image data.

   Соответствующие стандарты Европейского Союза утверждены Постановлением Совета ЕС от 29.12.2004г.(Council Regulation (EC) on standards for security features and biometrics in passports and travel documents issued by Member States, Official Journal L 385 , 29/12/2004 P. 0001 – 0006).

   Стандарты тестирования ICAO:

9. ICAO Technical Report: RF protocol and application test standard for e-Passport - Part 3: TESTS FOR APPLICATION PROTOCOL AND LOGICAL DATA STRUCTURE, Version : 0.9, Mar 17, 2006.

Инструмент тестирования ICAO (IEPT)

Инструмент тестирования «’BKP-cunsulting’ ePassport ICAO Test Tools» (Инструмент IEPT) позволяет эффективно помочь разработчикам в тестировании реализаций спецификаций ICAO ePassport. Тесты, реализованные в инструментарии, соответствуют разделу 3 (Security and Command Tests) указанного выше стандарта [9].

Программное обеспечение IEPT служит в качестве инструмента тестирования совместимости ICAO ePassport со спецификациями ICAO, определенными стандартами [1] [2].

Тестирование образцов паспортов включает:

• Чтение ICAO e-Passport согласно ICAO LDS TR v1.7 [1] и PKI TR v1.1 [2];

• Чтение всех обязательных групп данных (EF.COM, EF.DG1, EF.DG2 и EF.SOD);

• Поддержку функций безопасности:

  • Пассивная аутентификация (Passive Authentication) (обязательная), основанная на алгоритмах цифровых подписей RSA и ECDSA, как определенно в PKI TR v1.1 [2];

  • Базовый контроль доступа (Basic Access Control) как (необязательный/дополнительный) в соответствии с PKI TR v1.1 [2];

• Дополнительная функциональность тестирования (Рис.1):

Рис.1. Инструмент тестировання IePT

• Измерение времени операций – суммарного времени выполнения отдельной команды или блока команд для режима “Start ICAO Test” (поле “Reading time”). При выполнении блока команд время выполнения каждой из них записывается в протокол сообщений;

• Вывод на экран UID, ATR/ATS;

• Детализированный протокол сообщений о ходе выполнения тестов;

• Экспорт протокола сообщений в файл;

• Дополнительная функциональность для разработчиков ICAO e-Passports

  • Выбрать любой из установленных карт-ридеров (в списке “Card Readers”);

• Выбрать любой из апплетов (“Select Applet”), задав его идентификатор (поле “Application ID”);

• Выполнить любую APDU команду, введя ее в поле “COMMAND” и используя команды выполнения “SELECT” и “Get Response”;

• Выбрать (“Select File”) и читать (“Read File”) элементарный файл с любым идентификатором (EFID);

• Модифицировать группы данных (файлы) EF.DG1, EF.DG2 (“Update File”). Данные машинно-читаемой зоны (MRZ) паспорта (EF.DG1) могут быть введены непосредственно в поле “MRZ” или из файла. Фотография личности (Encoded Face, EF.DG2) вводится из файла;

• Выполнить механизм Базового контроля доступа (“Basic Access Control Mechanism”) в соответствии с заданными данными.

Для примера приведем фрагмент протокола сообщений для теста “Test Case 7816_C_10” по стандарту [9] (карта Oberthur Cosmo RSA D V.5.2 64K):

*55* Test Case 7816_C_10: This test checks the Secure Messaging coding of a ** SelectFile and ReadBinary (B0) w/o SFI (positive tests) ** The LDS application MUST be selected and BAC MUST be active. ** 1. Send the given SelectFile APDU encoded as a valid SM APDU to the test object. ** (R = ; C = ). The e-Passport MUST return 90 00 status byte. ** 2. Search for the status word DO encoded in tag 99 and verify status word received. ** The response of step 1 MUST contain a status word encoded in tag 99 that ** MUST equal the received status word of the secured response. ** 3. Search for the cryptographic checksum DO encoded in tag 8E and verify it with current session key. 0C A4 02 0C 15 87 09 01 R 8E 08 C 00 (90 00) COMMAND> Secure Messaging of a SelectFile... Basic Access Control is active APDU: 0c a4 02 0c 15 87 09 01 36 ed b3 99 1f 90 fb 17 8e 08 06 d3 b5 3c 4e 3c 75 26 SW = 61 0e Response: Process completed: SW2 indicates the number of response bytes still available = e COMMAND> Get Response... APDU: 00 c0 00 00 0e Data (14 bytes): 99 02 90 00 8e 08 1b ca 3c d3 85 ce 3b 98 SW: 90 00 Response: OK Process completed Verify RAPDU... Verify RAPDU OK Tag '99' RAPDU is present Status word DO encoded in tag 99 is: 9000 Tag '99' RAPDU is OK No data in RAPDU Response: 9000 Reading time this Test = 2.125 Seconds ---------OK Test------------------------------------------------------------------------------ *56* 4. Send the given ReadBinary APDU encoded as a valid SM APDU to the test object. ** The e-Passport MUST return 90 00 status byte. ** 5. Search for the cryptogram DO encoded in tag 87 and decrypt it with current session key. ** 6. Search for the status word DO encoded in tag 99 and verify status word received. ** 7. Search for the cryptographic checksum DO encoded in tag 8E and verify it with current session key. ** 8. Search for further DO. The response MUST NOT contain any further data but the trailing status word. 0C B0 00 00 0D 97 01 06 8E 08 C 00 (90 00) COMMAND> Read Binary SM (Secure Messaging) (B0)... Building Secure Messanging Object... Read 6 bytes from file fid = '01 00' APDU: 0c b0 00 00 0d 97 01 06 8e 08 d6 89 68 4e 85 eb 8f 6b SW = 61 19 Response: Process completed: SW2 indicates the number of response bytes still available = 19 COMMAND> Get Response... APDU: 00 c0 00 00 19 Data (25 bytes): 87 09 01 89 f3 d8 df 89 f2 67 d0 99 02 90 00 8e 08 2e cb ec 49 9e 07 1d 49 SW: 90 00 Response: OK Process completed Response RAPDU: 87 09 01 89 f3 d8 df 89 f2 67 d0 99 02 90 00 8e 08 2e cb ec 49 9e 07 1d 49 Verify RAPDU and decrypt data in tag 87 with current session key... Verify RAPDU OK Tag '87' RAPDU is present Encrypted data in tag '87' (8 bytes): 89f3d8df89f267d0 Tag '99' RAPDU is present Status word DO encoded in tag 99 is: 9000 Tag '99' RAPDU is OK Decrypted data (6 bytes): 60 16 5f 01 04 30 Decrypted data is OK Response: 9000 Reading time this Test = 2.235 Seconds ---------OK Test------------------------------------------------------------------------------

Инструмент IEPT разработан на языке Java (Version Java Card API: 2.02).

Разработка ICAO ePassport (ePassport)

Апплет ICAO ePassport разработан для Java Card, которые поддерживают спецификации Java Card 2.2 (Sun Microsystems) и Global Platform 2.1.1. (GlobalPlatform Inc.).

Тестирование проведено на смарт-картах Oberthur Card Systems типа Oberthur Cosmo RSA D V.5.2 64K (ATR = 3b 7b 18 00 00 00 31 c0 64 77 e3 03 00 82).