如何在智能卡上执行终端身份验证？

Question

我正在尝试使用智能卡eSign应用程序对文档进行数字签名。这是一张国家身份证，我遵守ICAO 9303和TR-03110的规定。如果我没有弄错，在选择eSign应用程序之前，我应该先执行Terminal Authentication作为Signature Terminal。

在ICAO 9303中指出：

The following sequence of commands SHALL be used with secure messaging to implement Terminal Authentication:

MSE:Set DST
PSO:Verify Certificate
MSE:Set AT
Get Challenge
External Authenticate

Steps 1 and 2 are repeated for every CV certificate to be verified (CVCA Link Certificates, DV Certificate, Terminal Certificate).

要执行MSE:Set DST，应该使用以下APDU：

INS - 0x22
P1/P2 - 0x81B6
Data - 0x83 Reference of a public key, ISO 8859-1 encoded name of the public key to be set

这是我不明白的Data部分。我到底需要在那里提供什么？我如何找到公钥或它的名字？

Answer 1

我到底需要在那里提供什么？我如何找到公钥或它的名字？

在启动TA之前，您应该确保终端有自己的有效的简历链-证书+适当的私钥：

对应于IS证书cetitificate

• IS 的terminal

• private密钥的

1. DV

证书

TA的第一步是证书链验证：

1. 读取EF.CVCA并找到切屑
2. 已知的根证书的CHRs，选择终端DV证书的父证书。来自DV certificate.
3. Send MSE的CHR必须等于DV certificate
4. Send MSE:使用选择的CHR
5. 发送DST :用终端的DV certificate
6. Send MSE验证证书:用终端DV证书的CHR设置DST (它必须等于certificate)
7. Send Now :使用终端的证书验证证书现在芯片知道终端的公钥，并可以使用它来验证终端用其私钥签名的密码。

)

证书持有人引用(CHR)和证书真实性引用(CAR)是以字符串值编码的ID。