Интероперабельность электронных паспортов подтверждена международными тестами
Тестирование, проводившееся в рамках конференции Security Document World 2013 в вестминстерском Конференц-центре имени королевы Елизаветы II, ставило целью проверить работу механизма Supplemental Access Control (SAC), который с 31 декабря 2014 года вводится в ряде стран, использующих электронные паспорта.
SAC представляет собой протокол шифрования передачи данных между электронным паспортом и кард-ридером, который реализует асимметричное шифрование, в отличие от ныне использующихся протоколов Basic Access Control (BAC) и Enhanced Access Control (EAC), основанных на симметричных шифрах.
На стадии аутентификации SAC осуществляет шифрование данных на основе общего ключа между считывающим устройством и чипом, в то время как BAC и EAC генерируют ключ на основе данных из машиночитаемой зоны паспорта (к примеру, даты рождения).
Аудит технических аспектов нового протокола проводила компания Security Networks AG. В тестировании приняло участие 26 компаний, предоставивших 47 образцов электронных паспортов с поддержкой SAC; 13 компаний, поставляющих системы верификации электронных документов; а также четыре лаборатории сертификации соответствия.
Тестирование проводилось в два этапа: на первом этапе осуществлялась проверка протокола на соответствие стандартам Международной организации гражданской авиации (ICAO), которая, помимо основной деятельности, занимается стандартизацией машиночитаемых паспортов, а на втором - перекрестное тестирование образцов на читаемость различными моделями кард-ридеров.
Результаты тестирования оказались позитивными. На первом этапе тест на соответствие стандартам прошли 93% образцов электронных паспортов. Из них 25 образцов продемонстрировали стопроцентное соответствие стандартам ICAO; ещё 18 получили от 90% до 100% положительных тестов. Оставшиеся три образца прошли от 50% до 90% тестов, в то время как провалился всего один.
Перекрестное тестирование, при котором 13 различных кард-ридеров по очереди проверяли все 47 образцов, также дало вполне приемлемые результаты. Несмотря на то, что распознать все 47 карт сумел только один кард-ридер, 70% моделей в итоге оказались в состоянии прочесть 72% образцов.
С другой стороны результат оказался симметричным: всего одна карта распознавалась всеми 13 кард-ридерами. При этом 70% кард-ридеров смогли распознать половину образцов карт. 8 моделей кард-ридеров, помимо протокола SAC проверяли карту на использование протокола BAC. 10 моделей также проверяли образцы на использование протокола EAC.
Security Networks AG утверждает, что такие результаты тестов демонстрируют высокую стабильность реализации механизма SAC в большинстве электронных документов.
Среди систем верификации, напротив, ситуация более сложная. Необходимо, чтобы каждый ридер поддерживал любые алгоритмы и конфигурации, использующиеся в электронных паспортах. В то же время, компании-производители зачастую не имеют доступа к образцам карт, которые позволили бы им создать полностью интероперабельное решение.
Это создает необходимость в тестированиях, аналогичных SDW InterOp 2013, но сфокусированных на системах верификации, заявляют в Security Networks.