zurück |
3.5.7 PSO: VERIFY CERTIFICATE
Dieser Befehl entspricht den Festlegungen von ISO/IEC 7816-8, seine Verwendung ist jedoch im Vergleich zu dem in der Norm definierten Befehl eingeschränkt.
Der Befehl VERIFY CERTIFICATE wird von der Karte zur Einholung eines öffentlichen Schlüssels von außen und zur Prüfung seiner Gültigkeit verwendet.
3.5.7.1 Befehl-Antwort-Paar der 1. Generation
TCS_81 Diese Befehlsvariante wird lediglich durch eine Fahrtenschreiberanwendung der 1. Generation unterstützt.
TCS_82 Ist der Befehl VERIFY CERTIFICATE erfolgreich, wird der öffentliche Schlüssel zur künftigen Verwendung in der Sicherheitsumgebung gespeichert. Dieser Schlüssel wird explizit zur Verwendung in sicherheitsbezogenen Befehlen (INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE oder VERIFY CERTIFICATE) durch den Befehl MSE (siehe Abschnitt 3.5.11) unter Verwendung seines Schlüsselbezeichners gesetzt.
TCS_83 Auf jeden Fall verwendet der Befehl VERIFY CERTIFICATE den zuvor vom Befehl MSE zur Eröffnung des Zertifikats ausgewählten öffentlichen Schlüssel. Dabei muss es sich um den öffentlichen Schlüssel eines Mitgliedstaates oder Europas handeln.
TCS_84 Befehlsnachricht
Byte | Länge | Wert | Beschreibung |
CLA | 1 | '00h' | |
INS | 1 | '2Ah' | Perform Security Operation |
P1 | 1 | '00h' | P1 |
P2 | 1 | 'AEh' | P2: nicht BER-TLV kodierte Daten (Verkettung von Datenelementen) |
Lc | 1 | 'C2h' | Lc: Länge des Zertifikats, 194 Bytes |
#6-#199 | 194 | 'XX..XXh' | Zertifikat: Verkettung von Datenelementen (gemäß Beschreibung in Anlage 11) |
TCS_85 Antwortnachricht
Byte | Länge | Wert | Beschreibung |
SW | 2 | 'XXXXh' | Statusbytes (SW1, SW2) |
3.5.7.2 Befehl-Antwort-Paar der 2. Generation
Je nach Kurvengröße können ECC-Zertifikate so lang sein, dass sie sich nicht in einem einzigen APDU übermitteln lassen. In einem solchen Fall muss eine Befehlsverkettung gemäß ISO/IEC 7816-4 erfolgen und das Zertifikat in zwei aufeinander folgenden PSO: Verify Certificate APDU-Befehlen übermittelt werden.
Zertifikatstruktur und Domänenparameter werden in Anlage 11 definiert.
TCS_86 Der Befehl kann in MF, DF Tachograph und DF Tachograph_G2 ausgeführt werden, siehe auch TCS_34.
TCS_87 Befehlsnachricht
Byte | Länge | Wert | Beschreibung |
CLA | 1 | 'X0h' | CLA-Byte zur Angabe einer Befehlsverkettung: '00h' als einziger oder letzter Befehl der Kette '10h' nicht als letzter Befehl einer Kette |
INS | 1 | '2Ah' | Perform Security Operation |
P1 | 1 | '00h' | |
P2 | 1 | 'BEh' | Selbstbeschreibendes Zertifikat verifizieren |
Lc | 1 | 'XXh' | Länge des Befehlsdatenfelds, siehe TCS_88 und TCS_89. |
#6-#5+L | L | 'XX..XXh' | DER-TLV-kodierte Daten: Datenobjekt "ECC Certificate body" als erstes Datenobjekt, verkettet mit dem Datenobjekt "ECC Certificate Signature" als zweites Datenobjekt oder als Teil dieser Verkettung. Der Tag '7F21' und die damit einhergehende Länge sind nicht zu übermitteln. Die Reihenfolge dieser Datenobjekte ist fest. |
(Stand: 24.08.2023)
Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)
(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)
Die Zugangskennung wird kurzfristig übermittelt
? Fragen ?
Abonnentenzugang/Volltextversion