PACE-Protokoll

PACE (Password Authenticated Connection Establishment) bezeichnet ein passwortbasiertes Authentisierungs- und Schlüsseleinigungsverfahren. Das Protokoll wurde vom Bundesamt für Sicherheit in der Informationstechnik für den Einsatz im neuen Personalausweis entwickelt und wird u.a. in der Technischen Richtlinie TR-03110^[1] beschrieben. PACE wird als Nachfolger von Basic Access Control für den Einsatz in maschinenlesbaren Reisedokumenten standardisiert.^[2]

Das Protokoll akzeptiert als Eingabe ein Passwort (möglicherweise geringer Entropie), verifiziert das Passwort und leitet Sitzungsschlüssel hoher Entropie ab, um die nachfolgende Kommunikation zu schützen.

PACE zählt zur Familie der Password Authenticated Key Exchange (PAKE) Protokolle. Im Gegensatz zu anderen Protokollen dieser Gruppe wie z.B. EKE (Encrypted Key Exchange), SPEKE (Simple Password Exponential Key Exchange) oder SRP (Secure Remote Protocol) ist das PACE-Protokoll selbst patentfrei und kann sowohl mit Elliptischen Kurven als auch mit Standardkryptographie implementiert werden.

Verfahren

Das PACE-Protokoll besteht aus vier Schritten:

1. Der Chip wählt eine Zufallszahl (Nonce), verschlüsselt sie mit dem Passwort als Schlüssel und sendet die verschlüsselte Zufallszahl an das Terminal, welches die Zufallszahl wieder entschlüsselt.
2. Der Chip und das Terminal bilden die Zufallszahl mithilfe einer (möglicherweise interaktiven) Mapping-Funktion auf einen Erzeuger der verwendeten mathematischen Gruppe ab.
3. Der Chip und das Terminal führen einen Diffie-Hellman-Schlüsselaustausch durch, wobei sie den Erzeuger aus Schritt 2 als Basis verwenden.
4. Der Chip und das Terminal leiten aus dem gemeinsamen Geheimnis Sitzungsschlüssel ab und nutzen diese für eine gegenseitige Authentisierung sowie anschließend für die Absicherung der weiteren Kommunikation.

Mapping-Funktionen

Einer der Kernbestandteile von PACE ist eine sogenannte Mapping-Funktion. Diese Funktion wird verwendet, um eine Zufallszahl in die für das asymmetrische Kryptosystem verwendete mathematische Gruppe abzubilden. Derzeit sind zwei Arten von Abbildungen definiert:

Generisches Mapping

Diese Abbildung basiert auf generischen Gruppenoperationen, ist einfach zu implementieren und kann mit allen Diffie-Hellman-Varianten verwendet werden.

Integriertes Mapping

Diese Abbildung integriert die Zufallszahl direkt in die verwendete Gruppe. Bei der Verwendung mit Elliptischen Kurven sind hierfür allerdings patentierte Algorithmen notwendig.

Sicherheit

Die Sicherheit von PACE ist mathematisch nachgewiesen.^[3] Die kryptographische Stärke der von PACE erzeugten Sitzungsschlüssel ist nicht von dem verwendeten Passwort abhängig. Daher können mit PACE sehr kurze Passwörter verwenden werden. Wie bei allen Protokollen aus der Gruppe der passwortbasierten Authentisierungsverfahren, kann PACE nicht gegen Brute-Force Angriffe auf das verwendete Passwort schützen. Mögliche Gegenmaßnahmen umfassen die Verlangsamung des Protokolls oder das Blockieren des Passworts nach einer festgelegten Anzahl von Eingaben des falschen Passworts.

Einsatz bei maschinenlesbaren Reisedokumenten

PACE wird derzeit als Nachfolger von Basic Access Control für den Einsatz in maschinenlesbaren Reisedokumenten standardisiert. Aufgrund der Patentierung des Integrated Mappings für Elliptische Kurven wurde diese Variante in der aktuellen Version der Spezifikation als optional deklariert und ist somit für Lesegeräte nicht verpflichtend.

PACE soll in einer Übergangsphase zunächst parallel zu Basic Access Control implementiert werden und wird daher übergangsweise auch als Supplemental Access Control bezeichnet. Es wird empfohlen PACE bis 2015 in maschinenlesbaren Reisedokumenten und Lesegeräten zu implementieren.^[4]

Einsatz beim neuen Personalausweis

Beim neuen Personalausweis wird PACE in Verbindung mit Extended Access Control anstelle von Basic Access Control verwendet. Basic Access Control wird nicht mehr unterstützt.^[5]

Als Passwort kann für PACE analog zu Basic Access Control neben der maschinenlesbaren Zone auch eine aufgedruckte sechsstellige Nummer, die sogenannte Card Access Number (CAN) als Passwort verwendet werden.

Weiterhin wird PACE zur Verifizierung einer geheimen PIN und PUK verwendet, die nur dem rechtmäßigen Inhaber bekannt ist.

Einzelnachweise

1. ↑ BSI Technische Richtlinie TR-03110, Advanced Security Mechanisms for Machine Readable Travel Documents - Extended Access Control (EAC), Password Authenticated Connection Establishment (PACE), and Restricted Identification (RI), Version 2.03, 2010
2. ↑ 19. Treffen der Technical Advisory Group on Machine Readable Travel Documents, 2009
3. ↑ Security Analysis of the PACE Key-Agreement Protocol, 2009
4. ↑ 19. Treffen der Technical Advisory Group on Machine Readable Travel Documents, 2009
5. ↑ BSI Technische Richtlinie TR-03116-2, eCard-Projekte der Bundesregierung, Teil 2 – Hoheitliche Ausweisdokumente