Supplemental access control とは

補足アクセス制御(Supplemental Access Control、SAC)は、電子旅券(電子パスポートなど)に含まれるデータを保護するためにICAOによって定義された一連のセキュリティ機能です。 SACは、ICAOのBasic Access Control(BAC)を補足し、改善するPassword Authenticated Connection Establishment(PACE)プロトコルを指定します。 PACEは、BACのように、次の2種類の攻撃を防ぎます。
 スキミング(文書への物理的アクセスなしで、所有者の承認なしにRFIDチップを読むことからなるオンライン攻撃)。チップを読み取る前に、検査システムは、文書(例えば、MRZ)上に印刷されたいくつかのデータまたは所有者にのみ知られているキー(個人識別番号(PIN))を知る必要があり、これは彼が喜んで手渡した検査のための書類。 BACはMRZのみで動作しますが、PACEではカードアクセス番号(文書に印刷されている短いキー)とPINを使用できます。盗聴(読者とチップの間で交換されたデータを記録することによって開始され、後で分析されるオフライン攻撃)。検査システムは、PACEを使用して非接触チップとの安全な通信チャネルを確立しますが、BACよりも強力な暗号を使用します。 PACEはオフライン攻撃に対する優れた保護機能を提供し、非接触チップを含むドキュメントのセキュリティをコンタクトチップを使用したドキュメントのレベルまで上げます。
PACEの導入により、第3世代の電子パスポートが始まります。 EU加盟国は、2014年末までに電子パスポートにPACEを実装しなければならない。世界的な相互運用性のために、BACを実装しないとPACEを実装してはならない。したがって、グローバルな相互運用性が達成され、文書検証プロセスの信頼性を確実にすることが重要です。相互運用性を実現するために、いわゆる相互運用性テストがあります。 SACに焦点を当てた最後のテストの結果は、現場での現在の実装状況を示しています。
ICAOの「補足的アクセス制御」技術報告のバージョン1.1(April 2014)は、アクティブ認証の代替としてチップ認証プロトコルを導入し、これをPACEと統合し、新しいプロトコル(チップ認証マッピング、PACE-CAM)別々のプロトコル。