NFC eID 보안 강화: BAC 키 파생 이해하기 (KO)

기반 보안BAC(기본 접근 제어) 키 파생은 NFC eID의 안전한 데이터 접근을 위한 초석으로, 민감한 칩 데이터의 무단 읽기를 방지합니다.

신뢰의 뿌리인 MRZ여권 또는 신분증의 기계 판독 영역(MRZ)은 필수적입니다. 문서 번호, 생년월일, 만료일 등의 데이터는 암호화 키를 생성하는 데 사용됩니다.

암호화 프로세스키 파생은 특정 보안 해싱 알고리즘(예: SHA-1)과 키 파생 함수를 사용하여 MRZ 데이터를 암호화된 통신을 위한 세션 키로 변환합니다.

ICAO 9303 표준BAC는 ICAO 9303에 의해 의무화되어 있으며, 전자 기계 판독 여행 문서(eMRTD)에 대한 글로벌 상호 운용성과 표준화된 보안 메커니즘을 보장합니다.

디지털 신원 세계에서 e-여권 및 국가 신분증과 같은 NFC 지원 전자 신분증(eID)의 보안은 매우 중요합니다. 이러한 문서에는 마이크로칩에 저장된 민감한 개인 데이터가 포함되어 있으며, 무단 접근으로부터 이 정보를 보호하는 것은 중요한 과제입니다. 바로 이 지점에서 기본 접근 제어(BAC)가 중요한 역할을 하며, 특히 그 근본적인 프로세스인 BAC 키 파생이 중요합니다.

BAC는 ICAO(국제 민간 항공 기구)가 Doc 9303 표준에서 의무화한 eID의 첫 번째 방어선이자 보안 메커니즘입니다. 이는 eID 칩과 판독 장치 간에 보안 통신 채널을 설정하여 승인된 판독기만 칩 내용에 접근할 수 있도록 보장합니다. BAC의 효과의 핵심은 암호화 키를 파생시키는 세심한 프로세스이며, 이에 대해 자세히 살펴보겠습니다.

BAC 키 파생에서 기계 판독 영역(MRZ)의 역할

BAC 키 파생의 여정은 모든 eID의 겉보기에는 단순한 구성 요소인 기계 판독 영역(MRZ)에서 시작됩니다. 이는 신분증의 개인 정보 페이지 하단에 인쇄된 두 줄 또는 세 줄의 영숫자 코드입니다. 일반 텍스트로 보이지만, MRZ는 보안 통신 프로토콜을 시작하는 데 필요한 중요한 공개 정보를 담고 있습니다.

특히, MRZ의 세 가지 데이터 요소가 사용됩니다:

1. 문서 번호: 여행 문서의 고유 식별자입니다.
2. 생년월일(DOB): 소지자의 생년월일(YYMMDD 형식)입니다.
3. 만료일(DOE): 문서의 만료일(YYMMDD 형식)입니다.

이 세 가지 데이터 요소는 문서 자체에 공개적으로 제공되어 합법적인 판독기가 이를 얻을 수 있도록 하면서도, 각 개별 문서에 대한 고유한 키 세트를 생성할 수 있을 만큼 충분히 구체적이기 때문에 선택됩니다. 이러한 입력에 불일치가 발생하면 보안 채널 설정이 실패하여 칩의 데이터를 보호합니다.

암호화 프로세스: BAC 키가 파생되는 방법

BAC 키 파생을 위한 암호화 프로세스는 대칭 암호화 키(K_ENC)와 메시지 인증 코드 키(K_MAC)라는 두 가지 필수 키를 생성하도록 설계된 표준화된 절차입니다. 이 키들은 판독기와 eID 칩 간의 모든 후속 통신을 암호화하고 인증하는 데 사용됩니다.

파생은 ICAO 9303 Part 11 및 관련 암호화 표준에 정의된 여러 단계를 포함합니다:

1. MRZ 데이터 연결: 세 가지 MRZ 데이터 요소(문서 번호, DOB, DOE)가 먼저 처리됩니다. 이 필드와 관련된 체크 숫자가 포함되며, 특정 길이(예: 문서 번호가 9자리보다 짧으면 '<' 문자로 채워짐)에 도달하기 위해 패딩이 적용될 수 있습니다.

2. SHA-1을 이용한 해싱: 연결되고 패딩된 MRZ 데이터는 일반적으로 SHA-1(Secure Hash Algorithm 1)과 같은 보안 해싱 알고리즘에 공급됩니다. 이는 160비트(20바이트) 해시 값(종종 K_seed라고 함)을 생성합니다.

   예시: K_seed = SHA-1(DocumentNumber && DocumentNumberCheckDigit && DateOfBirth && DateOfBirthCheckDigit && DateOfExpiry && DateOfExpiryCheckDigit)

3. 키 파생 함수(KDF): K_seed는 키 파생 함수를 사용하여 K_ENC 및 K_MAC을 생성하기 위해 추가로 처리됩니다. 이는 일반적으로 K_seed를 특정 상수(예: '00000001' 및 '00000002')와 함께 암호화 함수(예: CBC 모드의 Triple DES)에 대한 입력으로 사용하여 128비트(16바이트) 키를 생성하는 것을 포함합니다.

   예시(간략화): K_ENC = derive_key(K_seed, constant_1) K_MAC = derive_key(K_seed, constant_2)

이러한 파생된 키는 일시적이며, 각 세션에 대해 생성되고 판독기 또는 칩에 저장되지 않습니다. 이는 순방향 보안을 보장합니다. 즉, 세션 키가 손상되더라도 과거 또는 미래 세션을 해독하는 데 사용할 수 없습니다.

기본 접근 제어: 통신 채널 보호

K_ENC와 K_MAC이 판독기와 eID 칩 모두에 의해 성공적으로 파생되면(판독기가 파생된 키를 칩에 제시하여 확인한 후), 보안 메시징 채널이 설정됩니다. 이 채널은 두 가지 중요한 보안 서비스를 제공합니다:

1. 기밀성(암호화): 판독기와 칩 간에 교환되는 모든 데이터는 K_ENC를 사용하여 암호화됩니다. 이는 도청을 방지하고 생체 인식 데이터(얼굴 이미지, 지문)와 같은 민감한 정보가 승인되지 않은 당사자에 의해 가로채이지 않도록 보장합니다. 이는 개인의 프라이버시를 보호하는 데 중요합니다.

2. 무결성 및 인증(MAC): 메시지는 K_MAC을 사용하여 인증됩니다. 각 메시지에 대해 메시지 인증 코드(MAC)가 계산되어 전송 중 데이터가 변조되지 않았으며 합법적인 출처(칩 또는 승인된 판독기)에서 비롯되었음을 보장합니다. 이는 데이터 조작 및 스푸핑 공격을 방지합니다.

이 보안 채널의 설정은 칩의 민감한 데이터 요소에 접근하기 위한 전제 조건입니다. 기본 접근 제어 프로토콜을 성공적으로 완료하지 않으면 칩은 보호된 정보를 전송하기를 거부합니다. 이러한 강력한 메커니즘 덕분에 MRZ 데이터를 알지 못하고 NFC 지원 전화로 eID를 단순히 탭하는 것만으로는 민감한 개인 정보를 얻을 수 없습니다.

Didit이 NFC eID 보안에 어떻게 도움이 되는가

Didit은 특히 NFC eID와 같은 고급 기술을 다룰 때 안전한 신원 확인의 복잡성을 이해합니다. 당사의 플랫폼은 NFC 문서 읽기를 지원하며, 이는 최고 수준의 데이터 보안 및 인증을 보장하기 위해 표준화된 BAC 키 파생 프로세스를 활용합니다. NFC 기능을 통합함으로써 Didit은 다음을 제공합니다:

• 정부 수준의 보증: 시각적 검사만으로는 얻을 수 없는 더 높은 수준의 보증을 제공하는 암호화 칩 데이터를 읽고, ICAO 표준에 따라 칩의 디지털 서명을 검증합니다.
• 향상된 사기 탐지: BAC에 의해 설정된 보안 채널은 칩 데이터의 조작이나 무단 접근이 방지되므로 정교한 사기 시도를 탐지하는 데 도움이 됩니다.
• 간소화된 규정 준수: 당사의 솔루션은 ICAO 9303과 같은 국제 표준을 준수하여 기업이 신원 확인 및 자금 세탁 방지(AML)에 대한 엄격한 규제 요구 사항을 충족하도록 돕습니다.
• 원활한 사용자 경험: 기본 보안은 복잡하지만, Didit의 플랫폼은 이러한 복잡성을 추상화하여 최종 사용자에게 원활하고 직관적인 확인 흐름을 제공하며 필요한 데이터를 신속하게 캡처하고 검증합니다.

Didit은 포괄적인 신원 확인 제품군의 일부로 NFC 문서 읽기를 제공함으로써 기업이 타의 추종을 불허하는 보안 및 신뢰성으로 신원을 확인하고, 점점 더 디지털화되는 세상에서 신뢰를 구축할 수 있도록 지원합니다.

시작할 준비가 되셨습니까?

NFC eID 읽기를 포함한 Didit의 고급 신원 확인 솔루션이 귀사의 보안 및 규정 준수 태세를 어떻게 향상시킬 수 있는지 알아보십시오. 자세한 내용은 제품 페이지를 방문하거나 문의하여 맞춤형 데모를 요청하십시오. 또한 데모 센터에서 당사의 기술을 직접 경험해 볼 수 있습니다.

FAQ

NFC eID에서 BAC 키 파생이란 무엇입니까?

BAC 키 파생은 NFC eID(예: e-여권)에서 대칭 암호화 및 인증 키를 생성하는 데 사용되는 암호화 프로세스입니다. 이 키는 문서의 기계 판독 영역(MRZ)에서 발견되는 특정 데이터에서 파생되며, eID 칩과 판독기 간에 보안 암호화 통신 채널을 설정하여 기본 접근 제어를 보장하고 민감한 데이터를 보호하는 데 사용됩니다.

MRZ가 BAC 키 파생에 중요한 이유는 무엇입니까?

MRZ(기계 판독 영역)는 BAC 키 파생에 매우 중요합니다. 이는 키 생성 프로세스의 입력으로 사용되는 공개적이지만 고유한 데이터(문서 번호, 생년월일, 만료일)를 포함하고 있기 때문입니다. 이는 물리적 문서와 MRZ에 접근할 수 있는 판독기만이 칩의 보호된 콘텐츠를 잠금 해제하는 올바른 키를 파생할 수 있도록 보장합니다.

기본 접근 제어(BAC)는 어떤 보안 이점을 제공합니까?

기본 접근 제어(BAC)는 기밀성과 무결성이라는 두 가지 주요 보안 이점을 제공합니다. 기밀성은 파생된 키를 사용하여 통신 채널을 암호화하여 도청을 방지함으로써 달성됩니다. 무결성은 메시지 인증 코드(MAC)로 메시지를 인증하여 데이터 변조를 방지하고 메시지의 출처를 확인함으로써 보장됩니다. 이는 eID 칩의 민감한 데이터를 무단 접근으로부터 보호합니다.

BAC 키 파생은 최신 공격에 대해 여전히 안전합니까?

BAC는 기본적인 보안 계층을 제공하지만, 키 파생 및 암호화에 SHA-1 및 Triple DES에 의존한다는 것은 PACE(Password Authenticated Connection Establishment)와 같은 최신 프로토콜에 비해 최신 암호화 공격에 대해 덜 강력한 것으로 간주된다는 것을 의미합니다. ICAO 9303은 향상된 보안을 위해 PACE 구현을 권장하지만, BAC는 NFC eID 보안을 위해 여전히 널리 사용되고 법적으로 준수됩니다.