MRTD - Control de acceso básico (BAC)

Según lo definido por la OACI, el Control de Acceso Básico (BAC) permite a un lector leer los datos básicos contenidos en el chip RFID de un pasaporte electrónico (nombre, número de pasaporte, fotografía, etc.) para proteger contra el fraude mediante la alteración física del pasaporte. Para verificar la validez de los datos en el chip, también contiene una firma digital emitida por un firmante de documentos (por ejemplo , PrimeKey SignServer ), cuyo certificado es emitido por una Autoridad de Certificación de Firma de País (CSCA) alojada por el país emisor. Los certificados CSCA y de firmante de documentos son certificados X509 básicos, y las listas de claves públicas requeridas para la verificación pueden intercambiarse físicamente o descargarse de una lista maestra central, mientras que un Directorio Nacional de Claves Públicas (NPKD) permite el fácil intercambio de claves y CRL. Como parte de la solución completa, PrimeKey también ofrece una implementación de NPKD , diseñada para administrar certificados para pasaportes electrónicos de conformidad con los estándares de la Organización de Aviación Civil Internacional ( OACI ).

Control de acceso extendido (EAC)

Una extensión del BAC, el Control de Acceso Extendido también permite que el pasaporte almacene datos biométricos como huellas dactilares y escaneos de iris/retina. Para que los países socios autoricen y controlen el acceso a estos datos, cada país necesita establecer una CA CVC , que a diferencia del CSCA se basa en el estándar del Certificado Verificable de Tarjeta (CVC). Para habilitar el acceso, cada país necesita crear una CA Verificadora de Documentos (DVCA), que es una Sub CA firmada por la CVCA del país socio. La DVCA puede entonces emitir certificados a los Sistemas de Inspección (IS) que a su vez están autorizados para leer los campos protegidos en el chip RFID del pasaporte electrónico. Para facilitar la creación de Sistemas de Inspección entre países, se utiliza un Punto Único de Contacto (SPOC).

Configurar CSCA

Una CSCA es una CA raíz X509 bastante estándar.

→ Cómo crear una CSCA

Configurar perfiles de certificado

Los perfiles de certificado para firmantes de pasaportes son emitidos por la CSCA.

→ Cómo configurar un perfil de certificado para un firmante de pasaportes

Crear CVC CA

Una CA CVC se crea para actuar como una CA BAC/EAC.

→ Cómo crear una CA CVC

Crear CA Verificadora de Documentos

La DVCA es una CA secundaria de la CA CVC y puede crearse en su propia PKI o importarse desde la PKI del país asociado.

→ Cómo crear una CA DV e inscribir un Sistema de Inspección (IS)

Áreas de solución

• Página: Implementación de PKI y servicios de firma en entornos DevOps

• Página: IoT e identidades de dispositivos

• Página: Uso de EJBCA como una PKI empresarial a gran escala

• Página: Implementación de PKI híbrida para fabricantes modernos

• Página: PKI y servicios de firma para microservicios y entornos DevOps

• Página: PKI para 3GPP

• Página: Preparación post-cuántica

• Página: Emisión de certificados TLS

• Página: Cómo proteger su entorno Microsoft con EJBCA