Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 12. März 2026

ePass-Sicherheit: Ein tiefer Einblick in BAC, PACE und SAC (DE)

ePässe nutzen fortschrittliche kryptografische Protokolle wie Basic Access Control (BAC), Password Authenticated Connection Establishment (PACE) und Supplemental Access Control (SAC), um sensible biometrische Daten zu schützen.

Von DiditAktualisiert
epassport-security-a-deep-dive-into-bac-pac-and-sac.png

Fortschrittliche Kryptografie in ePässenePässe nutzen hoch entwickelte Sicherheitsprotokolle wie Basic Access Control (BAC), Password Authenticated Connection Establishment (PACE) und Supplemental Access Control (SAC), um die auf ihren eingebetteten Chips gespeicherten Daten zu schützen. Diese Protokolle sind grundlegend, um unbefugten Zugriff und Datenmanipulation zu verhindern.

Die Rolle von ZugriffssteuerungsmechanismenBAC, PACE und SAC bieten jeweils unterschiedliche Sicherheitsebenen, die steuern, wie und wann auf die Daten des ePass-Chips zugegriffen werden kann. BAC stützt sich für die anfängliche Authentifizierung auf die maschinenlesbare Zone (MRZ), während PACE und SAC stärkere, modernere kryptografische Schutzmaßnahmen gegen Abhören und Klonen bieten.

Wichtigkeit der kryptografischen ValidierungDie Überprüfung der kryptografischen Signaturen und der Integrität von ePass-Daten direkt von staatlichen Ausstellern ist von größter Bedeutung. Dies stellt sicher, dass das Dokument authentisch ist und nicht manipuliert wurde, und bietet ein Höchstmaß an Sicherheit bei der Identitätsprüfung.

Didits NFC-Verifizierung für verbesserte SicherheitDidits NFC-Verifizierungstechnologie nutzt diese ePass-Sicherheitsfunktionen, um ein Höchstmaß an ID-Verifizierung zu gewährleisten. Durch das Auslesen des sicheren Chips und die Durchführung kryptografischer Validierung stellt Didit manipulationssichere Prüfungen sicher und extrahiert umfassende Daten, was es zu einem führenden Anbieter sicherer Identitätslösungen macht.

ePass-Sicherheit verstehen: Das Fundament

ePässe oder elektronische Reisepässe sind wichtige Werkzeuge in der modernen Grenzkontrolle und Identitätsprüfung, die darauf ausgelegt sind, hochsicher und manipulationsresistent zu sein. Im Gegensatz zu herkömmlichen Pässen enthalten ePässe einen kontaktlosen Mikrochip, der biometrische und biografische Daten speichert, die den auf der Datenseite gedruckten Informationen entsprechen. Die Integrität und Vertraulichkeit dieser Daten werden durch eine Reihe ausgeklügelter kryptografischer Protokolle geschützt, hauptsächlich Basic Access Control (BAC), Password Authenticated Connection Establishment (PACE) und Supplemental Access Control (SAC).

Diese Protokolle sind nicht nur technisches Fachjargon; sie sind das Fundament, auf dem das Vertrauen in die digitale Identität aufbaut. Sie legen fest, wie ein Passlesegerät (z. B. an einem Flughafen oder einem Finanzinstitut, das KYC durchführt) auf den Inhalt des Chips zugreifen kann, und stellen sicher, dass nur autorisierte Entitäten die sensiblen Informationen abrufen und überprüfen können. Ohne diese Mechanismen wäre der ePass anfällig für Klonen, Datenänderungen und unbefugten Zugriff, was seinen Zweck als sicheres Reisedokument untergraben würde.

Die Entwicklung von BAC zu PACE und SAC spiegelt ein kontinuierliches Bestreben wider, die Sicherheit gegen immer ausgefeiltere Bedrohungen zu verbessern. Jedes Protokoll behebt spezifische Schwachstellen und führt stärkere kryptografische Primitive ein, wodurch ePässe zunehmend schwerer zu kompromittieren sind. Für jede Organisation, die an der Identitätsprüfung beteiligt ist, ist das Verständnis dieser Schutzschichten nicht nur vorteilhaft, sondern unerlässlich für die Implementierung robuster und konformer Verifizierungsprozesse.

Basic Access Control (BAC): Die erste Verteidigungslinie

Basic Access Control (BAC) war der erste Sicherheitsmechanismus, der für ePässe eingeführt wurde. Seine Hauptfunktion besteht darin, einen sicheren, verschlüsselten Kommunikationskanal zwischen dem ePass-Chip und dem Lesegerät herzustellen. Dies verhindert unbefugtes Abhören und Skimming der Chipdaten während der Übertragung. Der Schlüssel zur Initiierung einer BAC-Sitzung wird aus den Daten der maschinenlesbaren Zone (MRZ) generiert, die auf der Identitätsseite des Passes gedruckt sind. Insbesondere werden die Dokumentennummer, das Geburtsdatum und das Ablaufdatum verwendet, um einen Sitzungsschlüssel zu generieren.

Obwohl BAC ein bedeutender Fortschritt war, hat es bekannte Einschränkungen. Die Sicherheit von BAC ist direkt an die Geheimhaltung der MRZ-Daten gebunden. Wenn ein Betrüger die MRZ lesen kann (z. B. durch einfaches Betrachten der Datenseite des Passes), kann er möglicherweise eine BAC-Sitzung initiieren. Diese Schwachstelle, bekannt als passiver Angriff, bedeutet, dass BAC allein für höchste Sicherheitsanwendungen nicht ausreicht. Es bietet jedoch immer noch eine entscheidende Schutzschicht, indem es den Kommunikationskanal verschlüsselt und den gelegentlichen Zugriff auf den Chipinhalt verhindert.

Für Systeme wie Didits ID-Verifizierung, die sich auf eine genaue OCR der MRZ verlassen, spielt BAC eine grundlegende Rolle beim initialen sicheren Handshake mit dem ePass-Chip. Auch mit seinen Einschränkungen bleibt BAC ein Teil der ePass-Sicherheitsarchitektur und dient oft als Fallback oder als erster Schritt, bevor fortschrittlichere Protokolle aktiviert werden.

Password Authenticated Connection Establishment (PACE) und Supplemental Access Control (SAC): Verbesserte Sicherheit

Angesichts der Einschränkungen von BAC haben neuere Generationen von ePässen robustere Protokolle eingeführt: Password Authenticated Connection Establishment (PACE) und Supplemental Access Control (SAC). PACE bietet einen deutlich stärkeren kryptografischen Mechanismus zur Etablierung eines sicheren Kanals. Anstatt sich ausschließlich auf die MRZ zu verlassen, kann PACE verschiedene Authentifizierungsmechanismen verwenden, darunter ein gemeinsames Geheimnis, das aus der MRZ abgeleitet wird, eine auf dem Dokument aufgedruckte CAN (Card Access Number) oder sogar eine biometrische Vorlage. Diese Flexibilität ermöglicht eine stärkere Schlüsselableitung und gegenseitige Authentifizierung zwischen Chip und Lesegerät, wodurch es wesentlich widerstandsfähiger gegen passive Angriffe und Abhören wird.

Supplemental Access Control (SAC) ist ein umfassendes Framework, das PACE mit anderen Sicherheitsfunktionen wie Extended Access Control (EAC) integriert. SAC schreibt die Verwendung von PACE für die sichere Nachrichtenübermittlung vor und schichtet dann zusätzliche Schutzmaßnahmen auf. Es stellt sicher, dass kritische Daten, insbesondere sensible biometrische Informationen wie Fingerabdrücke, nur von autorisierten Lesegeräten mit den richtigen kryptografischen Zertifikaten gelesen werden können. Dies verhindert, dass unbefugte Entitäten die sensibelsten Datenelemente auf dem Chip lesen oder klonen, selbst wenn sie es schaffen, eine PACE-Sitzung zu initiieren.

Die Kombination von PACE und SAC bietet eine beeindruckende Verteidigung gegen fortgeschrittene Angriffe, einschließlich ausgeklügelter Klonversuche und Datenmanipulation. Sie gehen über die bloße Verschlüsselung der Kommunikation hinaus und stellen die Authentizität sowohl des Dokuments als auch des Lesegeräts sicher, wodurch eine hochvertrauenswürdige Umgebung für den Datenaustausch geschaffen wird. Didits NFC-Verifizierung nutzt diese fortschrittlichen Protokolle, um kryptografische Validierungen durchzuführen und sicherzustellen, dass die extrahierten Daten nicht nur sicher, sondern auch tatsächlich von der ausstellenden Behörde stammen.

Die Datenelemente innerhalb des ePass-Chips

Neben den Sicherheitsprotokollen ist es wichtig zu verstehen, welche Datenelemente tatsächlich auf dem ePass-Chip gespeichert sind. Dazu gehören typischerweise:

  • Biografische Daten: Name, Geburtsdatum, Nationalität, Passnummer, ausstellende Behörde und Ablaufdatum (spiegeln die MRZ wider).
  • Gesichtsbild: Ein hochauflösendes digitales Bild des Gesichts des Passinhabers, normalerweise im JPEG2000-Format. Dies ist entscheidend für 1:1-Gesichtsabgleich und Liveness Detection während der Identitätsprüfung.
  • Fingerabdruckdaten (optional): Einige ePässe speichern Fingerabdruckvorlagen, die einen zusätzlichen biometrischen Identifikator darstellen.
  • Digitale Signaturen: Kryptografische Signaturen des ausstellenden Staates und der Internationalen Zivilluftfahrtorganisation (ICAO) zur Überprüfung der Authentizität und Integrität der Chipdaten. Diese Signaturen sind entscheidend für die Erkennung von Manipulationen.

Die Sicherheitsauswirkungen dieser Datenelemente sind tiefgreifend. Das Gesichtsbild wird beispielsweise in Verbindung mit der Liveness Detection verwendet, um zu bestätigen, dass die Person, die das Dokument vorlegt, dessen rechtmäßiger Eigentümer ist und kein Deepfake oder Betrüger. Die digitalen Signaturen sind der ultimative Beweis für die Authentizität und ermöglichen es einem Lesegerät, kryptografisch zu bestätigen, dass die Daten auf dem Chip seit ihrer Ausstellung durch die Regierung nicht verändert wurden.

Wenn eine Identitätsprüfungslösung wie Didits NFC-Verifizierung einen ePass-Chip ausliest, werden nicht nur Daten extrahiert; es wird eine Reihe kryptografischer Prüfungen durchgeführt, um sicherzustellen, dass jedes Datenelement gültig und unverändert ist. Dies geht weit über das hinaus, was mit einer bloßen OCR des gedruckten Dokuments erreicht werden kann, und bietet ein unübertroffenes Maß an Sicherheit bei der Identitätsprüfung.

Wie Didit hilft

Didit bietet eine KI-native, entwicklerfreundliche Identitätsplattform, die die fortschrittlichen Sicherheitsfunktionen von ePässen optimal nutzt. Unser NFC-Verifizierungsprodukt wurde speziell für die Interaktion mit ePass-Chips entwickelt und bietet das höchste verfügbare Sicherheitsniveau für die ID-Verifizierung. Durch das Auslesen des sicheren Chips, der in modernen Pässen und Ausweisen eingebettet ist, mithilfe der NFC-Funktionen eines Mobiltelefons führt Didit kryptografische Validierungen direkt von staatlichen Ausstellern durch.

Unsere Lösung bietet manipulationssichere Prüfungen, die für das menschliche Auge unsichtbare Dokumentenmanipulationen erkennen. Sie extrahiert umfassende Daten, einschließlich des Gesichtsbildes und biografischer Details, die dann in Verbindung mit unserem 1:1-Gesichtsabgleich und der passiven und aktiven Lebendigkeitserkennung verwendet werden, um sicherzustellen, dass die Person, die das Dokument vorlegt, der rechtmäßige Eigentümer ist. Die modulare Architektur von Didit ermöglicht es Unternehmen, diese hochsichere Verifizierung einfach in ihre bestehenden Arbeitsabläufe zu integrieren und so die Einhaltung von Vorschriften zu gewährleisten und Betrug zu verhindern.

Mit Didit profitieren Sie von kostenlosem Core KYC, keinen Einrichtungsgebühren und einem Pay-per-Successful-Check-Modell, das Identitätsprüfungen auf Unternehmensniveau für Unternehmen jeder Größe zugänglich macht. Unsere Plattform ist ISO 27001-zertifiziert, DSGVO-konform und iBeta Level 1-zertifiziert für die Erkennung von biometrischen Präsentationsangriffen, was unser Engagement für Sicherheit und Genauigkeit bestätigt. Durch die Bereitstellung einer wirklich globalen und skalierbaren Lösung ermöglicht Didit Unternehmen, Vertrauen mit Zuversicht zu automatisieren.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Fordern Sie noch heute eine kostenlose Demo an.

Beginnen Sie kostenlos mit der Identitätsprüfung mit Didits kostenlosem Tarif.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenKontaktiere uns
Lass dir diese Seite von einer KI zusammenfassen
ePass-Sicherheit: BAC, PACE und SAC im Detail.