電子護(hù)照安全機(jī)制及測(cè)試

　　SAC基于PACE協(xié)議技術(shù)并通過(guò)引入非對(duì)稱(chēng)算法建立跟密碼無(wú)關(guān)的更強(qiáng)的會(huì)話密鑰。當(dāng)卡片既支持PACE又支持BAC時(shí)，必須使用PACE，通關(guān)檢查系統(tǒng)必須具有PACE功能。PACE協(xié)議中使用了DH或ECDH算法，這種算法也在EAC的CA（Chip Authentication）中使用，可以認(rèn)為SAC正是ICAO將CA通過(guò)PACE協(xié)議形式引入的，這種技術(shù)仍是基于芯片運(yùn)算的（需支持AES），故該功能在電子護(hù)照推廣中對(duì)芯片運(yùn)算功能有要求。SAC的特點(diǎn)是采用密鑰交換算法，其有效性依賴(lài)于計(jì)算離散對(duì)數(shù)的難度，需要防重演攻擊和中間人攻擊，SAC采取的措施是通過(guò)隨機(jī)數(shù)來(lái)協(xié)商一個(gè)臨時(shí)全局參數(shù)用來(lái)防重演攻擊，認(rèn)證令牌用來(lái)防中間人攻擊。

　　EAC的特點(diǎn)是加入了證書(shū)期限并進(jìn)行了管理，包括芯片認(rèn)證（CA）和終端認(rèn)證（TA）兩個(gè)步驟，其中CA是類(lèi)似AA的技術(shù)，用于驗(yàn)證電子護(hù)照中芯片的真實(shí)性，支持算法有：DH算法和ECDH算法，需要讀取DG14中公鑰信息通過(guò)密鑰交換算法產(chǎn)生新的加密通道用的密鑰對(duì)（KENC，KMAC）；