電子護(hù)照安全機(jī)制及測試

　　SAC基于PACE協(xié)議技術(shù)并通過引入非對稱算法建立跟密碼無關(guān)的更強(qiáng)的會話密鑰。當(dāng)卡片既支持PACE又支持BAC時，必須使用PACE，通關(guān)檢查系統(tǒng)必須具有PACE功能。PACE協(xié)議中使用了DH或ECDH算法，這種算法也在EAC的CA（Chip Authentication）中使用，可以認(rèn)為SAC正是ICAO將CA通過PACE協(xié)議形式引入的，這種技術(shù)仍是基于芯片運(yùn)算的（需支持AES），故該功能在電子護(hù)照推廣中對芯片運(yùn)算功能有要求。SAC的特點(diǎn)是采用密鑰交換算法，其有效性依賴于計算離散對數(shù)的難度，需要防重演攻擊和中間人攻擊，SAC采取的措施是通過隨機(jī)數(shù)來協(xié)商一個臨時全局參數(shù)用來防重演攻擊，認(rèn)證令牌用來防中間人攻擊。

　　EAC的特點(diǎn)是加入了證書期限并進(jìn)行了管理，包括芯片認(rèn)證（CA）和終端認(rèn)證（TA）兩個步驟，其中CA是類似AA的技術(shù)，用于驗(yàn)證電子護(hù)照中芯片的真實(shí)性，支持算法有：DH算法和ECDH算法，需要讀取DG14中公鑰信息通過密鑰交換算法產(chǎn)生新的加密通道用的密鑰對（KENC，KMAC）；