Extended Access Control für ePässe verabschiedet

Die Europäische Kommission hat auf ihrer Sitzung am 28. Juni das technische Verfahren zur Extended Access Control verabschiedet. Dieses Zugriffsverfahren wird benötigt, damit digital gespeicherte Fingerabdrücke auf den neuen ePässen Einzug halten können. Für die europäischen Mitgliedsstaaten läuft nun der Countdown an, den elektronischen Abgleich von Fingerabdrücken zu verwirklichen, der auf der Ausgabe von digitalen Zertifikaten basiert. Sie haben drei Jahre Zeit, die nötige Technik und die vernetzte Infrastruktur zu realisieren, die gebraucht wird, um die digitalen Zertifikate zu überprüfen. In Deutschland soll diese zweite Entwicklungsstufe des ePasses bereits im Jahre 2007 fertig werden.

Mit der Verabschiedung der Extended Access Control (EAC) entsprach die Europäische Kommission der Regulierungsvorschrift (EC) 2252/2004, die den Einsatz von biometrisch abgesicherten Reisepässen in der EU verpflichtend macht. Zum 28. Februar 2005 wurde das erste Verfahren, die Basic Access Control (BAC), verabschiedet, dem nun die Extended Access Control folgt. Während die Basic Access Control ein relativ einfaches Verfahren ist, bei dem aus dem maschinenlesbaren Teil ein Schlüssel für den Zugriff auf den RFID-Chip des ePasses generiert wird, ist die Extended Access Control wesentlich komplexer angelegt. Neben dem einfach zugänglichen (und mitunter problematischen) Passbild liegt der Fingerabdruck in verschlüsselter Formen vor. Um einen Zugriff auf den Fingerabdruck zu bekommen, müssen sich auch die Lesegeräte authentifizieren, ehe eine Freischaltung erfolgen kann. Das erweiterte Zugriffsverfahren, das federführend in Deutschland entwickelt wurde, setzt dabei auf eine Public Key Infrastruktur, in der das Root-Zertifikat dem jeweiligen Länder-Zertifikat entspricht (siehe dazu auch: Risiko Reisepass?, Schutz der biometrischen Daten im RF-Chip, c't 5/05, S. 84).

Mit der Extended Access Control soll verhindert werden, dass etwa Passfälscher mit gestohlenen Lesegeräten an die Fingerabdrücke kommen. Zur Verabschiedung der EAC erklärte EU-Vizepräsident Franco Frattini, EU-Kommissar für Freiheit, Sicherheit und Justiz: "Europa ist unter den Allerersten in der Welt, mit der Extended Access Control sehr hohen Sicherheitsanforderungen für die Pässe zu realisieren und gleichzeitig den Empfehlungen der internationalen Luftfahrtbehörde (ICAO) zu genügen, damit die Interoperabilität der Pässe gewährleistet ist."

Auf dem unlängst durchgeführten internationalen Interoperabilitätstest zur Basic Access Control in Berlin hatten Fachleute die Befürchtung geäußert, dass der Umgang mit der EAC und den Fingerabdruck-Lesegeräten Grenzkontrollen über Gebühr verlangsamen. Ihre Prognose ging dahin, dass die Überprüfung eines ePasses über die Extended Access Control nur in Ausnahme- und Verdachtsfällen eingesetzt werde. Längst nicht jedes Grenzerhäuschen könne so vernetzt werden, dass die EAC-Prüfung möglich werde.

Zur Einführung des ePasses und den Auseinandersetzungen um Ausweise mit digitalisierten biometrischen Merkmalen siehe den Online-Artikel in c't – Hintergrund (mit Linkliste zu den wichtigsten Artikeln aus der Berichterstattung auf heise online sowie in c't, Technology Review und Telepolis):

• Die Auseinandersetzung um Ausweise mit digitalisierten biometrischen Merkmalen

(Detlef Borchers) / (jk)