zurück

3.5.7 PSO: VERIFY CERTIFICATE

Dieser Befehl entspricht den Festlegungen von ISO/IEC 7816-8, seine Verwendung ist jedoch im Vergleich zu dem in der Norm definierten Befehl eingeschränkt.

Der Befehl VERIFY CERTIFICATE wird von der Karte zur Einholung eines öffentlichen Schlüssels von außen und zur Prüfung seiner Gültigkeit verwendet.

3.5.7.1 Befehl-Antwort-Paar der 1. Generation

TCS_81 Diese Befehlsvariante wird lediglich durch eine Fahrtenschreiberanwendung der 1. Generation unterstützt.

TCS_82 Ist der Befehl VERIFY CERTIFICATE erfolgreich, wird der öffentliche Schlüssel zur künftigen Verwendung in der Sicherheitsumgebung gespeichert. Dieser Schlüssel wird explizit zur Verwendung in sicherheitsbezogenen Befehlen (INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE oder VERIFY CERTIFICATE) durch den Befehl MSE (siehe Abschnitt 3.5.11) unter Verwendung seines Schlüsselbezeichners gesetzt.

TCS_83 Auf jeden Fall verwendet der Befehl VERIFY CERTIFICATE den zuvor vom Befehl MSE zur Eröffnung des Zertifikats ausgewählten öffentlichen Schlüssel. Dabei muss es sich um den öffentlichen Schlüssel eines Mitgliedstaates oder Europas handeln.

TCS_84 Befehlsnachricht

Byte Länge Wert Beschreibung
CLA 1 '00h'
INS 1 '2Ah' Perform Security Operation
P1 1 '00h' P1
P2 1 'AEh' P2: nicht BER-TLV kodierte Daten (Verkettung von Datenelementen)
Lc 1 'C2h' Lc: Länge des Zertifikats, 194 Bytes
#6-#199 194 'XX..XXh' Zertifikat: Verkettung von Datenelementen (gemäß Beschreibung in Anlage 11)

TCS_85 Antwortnachricht

Byte Länge Wert Beschreibung
SW 2 'XXXXh' Statusbytes (SW1, SW2)

3.5.7.2 Befehl-Antwort-Paar der 2. Generation

Je nach Kurvengröße können ECC-Zertifikate so lang sein, dass sie sich nicht in einem einzigen APDU übermitteln lassen. In einem solchen Fall muss eine Befehlsverkettung gemäß ISO/IEC 7816-4 erfolgen und das Zertifikat in zwei aufeinander folgenden PSO: Verify Certificate APDU-Befehlen übermittelt werden.

Zertifikatstruktur und Domänenparameter werden in Anlage 11 definiert.

TCS_86 Der Befehl kann in MF, DF Tachograph und DF Tachograph_G2 ausgeführt werden, siehe auch TCS_34.

TCS_87 Befehlsnachricht

Byte Länge Wert Beschreibung
CLA 1 'X0h' CLA-Byte zur Angabe einer Befehlsverkettung:
'00h' als einziger oder letzter Befehl der Kette
'10h' nicht als letzter Befehl einer Kette
INS 1 '2Ah' Perform Security Operation
P1 1 '00h'
P2 1 'BEh' Selbstbeschreibendes Zertifikat verifizieren
Lc 1 'XXh' Länge des Befehlsdatenfelds, siehe TCS_88 und TCS_89.
#6-#5+L L 'XX..XXh' DER-TLV-kodierte Daten: Datenobjekt "ECC Certificate body" als erstes Datenobjekt, verkettet mit dem Datenobjekt "ECC Certificate Signature" als zweites Datenobjekt oder als Teil dieser Verkettung. Der Tag '7F21' und die damit einhergehende Länge sind nicht zu übermitteln.
Die Reihenfolge dieser Datenobjekte ist fest.

TCS_88

umwelt-online - Demo-Version


(Stand: 24.08.2023)

Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)

(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)

Preise & Bestellung

Die Zugangskennung wird kurzfristig übermittelt

? Fragen ?
Abonnentenzugang/Volltextversion