Kontakt SalgRegistrer dig gratis

ID-kontrol via ICAO & NFC

Fuld kontrol af identitetsdokumenter i henhold til ICAO 9303. Inkluderer MRZ-scanning, NFC-chiplezning, PACE/BAC/CAN, SOD-validering, passiv autentificering, aktiv autentificering og chipautentificering.

Hvorfor ICAO/NFC-identitetskontrol?

ProjectAssistant integrerer en fuld ICAO 9303-implementering til verificering af pas og ID-kort. Ved hjælp af MRZ-scanning og NFC-chipkommunikation udlæses oplysninger som navn, fødselsdato, nationalitet, dokumentnummer og foto direkte fra den sikrede chip. Dermed bekræftes dokumentets ægthed i overensstemmelse med de lovpligtige identifikations- og dokumentationskrav.

  • Ingen manuel indtastning — alle data hentes automatisk fra DG1 og DG2
  • Kontrol i henhold til ICAO 9303 sikkerhedsstandarder
  • Detektion af forfalskninger via SOD og hash-kæde
  • Understøttelse af PACE, CAN, BAC
  • Kvalitetskontrol af foto- og dokumentdata

Trin 1: MRZ-scanning

Kontrollen starter med at scanne den maskinlæsbare zone (MRZ) på et ID-kort eller pas. Mobilappen bruger et live-kameraoverlay med automatisk registrering af:

  • MRZ-type (TD1, TD2, TD3)
  • Checksum-validering
  • CAN-afledning til PACE
  • Dokumentnummer, fødselsdato, udløbsdato

Baseret på MRZ beregnes nøglerne til BAC eller PACE, og NFC-aflæsningen starter.

Trin 2: NFC-adgang (PACE / BAC / CAN)

Appen forsøger altid først PACE — dette er moderne, sikrere og hurtigere. Hvis dokumentet ikke understøtter PACE, falder systemet tilbage på BAC eller CAN.

Rækkefølge af protokoller

  • PACE (foretrukket) – moderne protokoller, ECDH/ECDSA, mere sikker
  • CAN – via kortadgangsnummer (ved EU-ID-kort)
  • BAC – ældre pas og ID-kort

PACE-flow (GA1 → GA4)

  1. GA1: Start nøgleaftale (kortlægning OID → kurve)
  2. GA2: ECDH-udveksling
  3. GA3: Nonce-mapping + gensidig autentificering
  4. GA4: Derivation af sikker messaging-nøgle

Resultat: ENC-nøgle og MAC-nøgle, som alle efterfølgende APDU'er bliver beskyttet med.

Trin 3: Læsning af datagrupper (DG1-DG15)

Appen læser alle nødvendige datagrupper fra chippen. I din implementering læses blandt andet DG1, DG2, DG7, DG11 og DG12 afhængigt af land og tilgængelighed.

  • DG1 - Maskinlæsbare data (navn, fødselsdato, dokumentnummer)
  • DG2 - Ansigtsscanning / foto
  • DG7 - Underskrifter (i nogle lande)
  • DG11 - Yderligere personoplysninger
  • DG12 - Dokumentoplysninger
  • SOD - Dokument sikkerhedsobjekt (hash & signatur rod)

Data mapping sker automatisk til din EmployeeIdentityModel.

Trin 4: SOD-verifikation og passiv autentificering

SOD indeholder hashværdierne for hver datagruppe og en digital signatur fra udstedelsesstaten. ProjectAssistant validerer:

  • Hashkæde: DG1 hash = SOD hash
  • Signatur: PKI-signatur med CSCA- og DS-certifikater
  • Certifikatets gyldighed og tilbagekaldelse

Hvis SOD-kontrollen er vellykket, er dokumentet kryptografisk autentisk.

Trin 5: Aktiv autentificering

Hvis dokumentet understøtter det, udfører appen Active Authentication. Hermed kontrollerer vi, om chippen er original og ikke klonet.

  • Udfordring → Svar
  • ECDSA / RSA-verifikation
  • Sikkerhedskontrol mod kopier

Hvis signaturen er korrekt, er chippen unik og ikke kopieret.

Trin 6: Chipgodkendelse

Chipautentificering erstatter aktiv autentificering i moderne eID'er. Den bekræfter chipens ægthed via en ny ECDH-udveksling.

  • ECDH med chip-privat nøgle
  • Nye sessionsnøgler
  • Fuldstændig bevis for ægthed

Kobling til medarbeider

Efter vellykket verifikation knyttes alle oplysninger automatisk til medarbejderen:

  • Navn, fødselsdato, nationalitet
  • Dokumentnummer, udløbsdato
  • Foto fra DG2
  • Kontrollog inklusive PACE/BAC/CAN-detaljer

Dokumentet vises automatisk i medarbejderdokumentationssystemet.