Kontakt ProdejZaregistrujte se zdarma

Kontrola totožnosti prostřednictvím ICAO a NFC

Kompletní kontrola identifikačních dokladů podle normy ICAO 9303. Včetně skenování MRZ, čtení čipů NFC, PACE/BAC/CAN, validace SOD, pasivní autentizace, aktivní autentizace a autentizace čipů.

Proč kontrola totožnosti ICAO/NFC?

ProjectAssistant integruje kompletní implementaci ICAO 9303 pro ověřování pasů a průkazů totožnosti. Pomocí MRZ skenování a NFC komunikace se ze zabezpečeného čipu přímo načítají údaje jako jméno, datum narození, státní příslušnost, číslo dokladu a fotografie. Tím je potvrzena pravost dokladu v souladu se zákonnými povinnostmi identifikace a dokumentace.

  • Žádné ruční zadávání — všechna data automaticky z DG1 a DG2
  • Kontrola podle bezpečnostních standardů ICAO 9303
  • Detekce padělků pomocí SOD a hash řetězce
  • Podpora pro PACE, CAN, BAC
  • Kontrola kvality fotografií a údajů v dokumentech

Krok 1: Skenování MRZ

Kontrola začíná skenováním strojově čitelné zóny (MRZ) identifikační karty nebo pasu. Mobilní aplikace používá živý kamerový překryv s automatickou detekcí:

  • Typ MRZ (TD1, TD2, TD3)
  • Ověření kontrolního součtu
  • CAN odvod pro PACE
  • Číslo dokladu, datum narození, datum platnosti

Na základě MRZ se vypočítají klíče pro BAC nebo PACE a spustí se čtení NFC.

Krok 2: Přístup NFC (PACE / BAC / CAN)

Aplikace se vždy nejprve pokusí použít PACE — je to modernější, bezpečnější a rychlejší. Pokud dokument nepodporuje PACE, systém se vrátí k BAC nebo CAN.

Pořadí protokolů

  • PACE (preferované) – moderní protokoly, ECDH/ECDSA, bezpečnější
  • CAN – prostřednictvím čísla pro přístup ke kartě (u karet EU ID)
  • BAC – starší pasy a průkazy totožnosti

PACE flow (GA1 → GA4)

  1. GA1: Spuštění dohody o klíči (mapování OID → křivka)
  2. GA2: Výměna ECDH
  3. GA3: Mapování nonce + vzájemná autentizace
  4. GA4: Odvození klíče pro zabezpečené zasílání zpráv

Výsledek: ENC klíč a MAC klíč, kterými jsou zabezpečeny všechny následující APDU.

Krok 3: Čtení datových skupin (DG1-DG15)

Aplikace načte všechny potřebné datové skupiny z čipu. Ve vaší implementaci se načtou mimo jiné DG1, DG2, DG7, DG11 a DG12 v závislosti na zemi a dostupnosti.

  • DG1 – strojově čitelné údaje (jméno, datum narození, číslo dokladu)
  • DG2 – Skenování obličeje / fotografie
  • DG7 – Podpisy (u některých zemí)
  • DG11 – Dodatečné osobní údaje
  • DG12 – Informace o dokumentu
  • SOD – Dokumentový bezpečnostní objekt (hash & podpisový kořen)

Mapování dat se provádí automaticky do vašeho EmployeeIdentityModel.

Krok 4: Ověření SOD a pasivní autentizace

SOD obsahuje hash hodnoty každé skupiny dat a digitální podpis vydávajícího státu. ProjectAssistant ověřuje:

  • Hash řetězec: DG1 hash = SOD hash
  • Podpis: Podpis PKI s certifikáty CSCA a DS
  • Platnost certifikátu a jeho zrušení

Pokud je kontrola SOD úspěšná, je dokument kryptograficky autentický.

Krok 5: Aktivní ověřování

Pokud to dokument podporuje, aplikace provede aktivní ověření. Tím ověříme, zda je čip originální a nebyl naklonován.

  • Výzva → Odpověď
  • ECDSA / RSA ověření
  • Ochrana proti kopírování

Pokud je podpis správný, čip je jedinečný a nebyl zkopírován.

Krok 6: Ověření čipu

Chip Authentication nahrazuje Active Authentication u moderních eID. Potvrzuje pravost čipu prostřednictvím nové výměny ECDH.

  • ECDH s čipovým soukromým klíčem
  • Nové klíče relace
  • Úplný doklad o pravosti

Propojení se zaměstnancem

Po úspěšném ověření budou všechny údaje automaticky přiřazeny k zaměstnanci:

  • Jméno, datum narození, státní příslušnost
  • Číslo dokumentu, datum platnosti
  • Foto z DG2
  • Kontrolní protokol včetně podrobností PACE/BAC/CAN

Dokument se automaticky zobrazí v systému dokumentů zaměstnanců.