ID-Prüfung über ICAO & NFC
Vollständige Überprüfung von Ausweisdokumenten gemäß ICAO 9303. Einschließlich MRZ-Scan, NFC-Chip-Lesung, PACE/BAC/CAN, SOD-Validierung, passiver Authentifizierung, aktiver Authentifizierung und Chip-Authentifizierung.
Warum ICAO/NFC-Identitätsprüfung?
ProjectAssistant integriert eine vollständige ICAO-9303-Implementierung zur Verifikation von Pässen und Ausweisen. Mittels MRZ-Scan und NFC-Chipkommunikation werden Daten wie Name, Geburtsdatum, Nationalität, Dokumentnummer und Foto direkt aus dem gesicherten Chip ausgelesen. Damit wird die Echtheit des Identitätsdokuments im Rahmen der gesetzlichen Identifikationspflicht bestätigt.
- Keine manuelle Eingabe – alle Daten automatisch aus DG1 und DG2
- Kontrolle gemäß den Sicherheitsstandards ICAO 9303
- Erkennung von Fälschungen mittels SOD und Hash-Kette
- Unterstützung für PACE, CAN, BAC
- Qualitätskontrolle von Foto- und Dokumentdaten
Schritt 1: MRZ-Scan
Die Überprüfung beginnt mit dem Scannen der maschinenlesbaren Zone (MRZ) eines Personalausweises oder Reisepasses. Die mobile App verwendet eine Live-Kamera-Überlagerung mit automatischer Erkennung von:
- MRZ-Typ (TD1, TD2, TD3)
- Prüfsummenvalidierung
- CAN-Ableitung für PACE
- Dokumentennummer, Geburtsdatum, Ablaufdatum
Auf Basis der MRZ werden die Schlüssel für BAC oder PACE berechnet und das NFC-Lesen gestartet.
Schritt 2: NFC-Zugang (PACE / BAC / CAN)
Die App versucht immer zuerst PACE – das ist modern, sicherer und schneller. Wenn das Dokument PACE nicht unterstützt, greift das System auf BAC oder CAN zurück.
Reihenfolge der Protokolle
- PACE (bevorzugt) – moderne Protokolle, ECDH/ECDSA, sicherer
- CAN – über Card Access Number (bei EU-Ausweisen)
- BAC – ältere Reisepässe und Ausweise
PACE-Fluss (GA1 → GA4)
- GA1: Start der Schlüsselvereinbarung (Zuordnung OID → Kurve)
- GA2: ECDH-Austausch
- GA3: Nonce-Mapping + gegenseitige Authentifizierung
- GA4: Sichere Nachrichtenübermittlung – Ableitung von Schlüsseln
Ergebnis: ENC-Schlüssel & MAC-Schlüssel, mit denen alle folgenden APDUs gesichert werden.
Schritt 3: Lesen von Datengruppen (DG1–DG15)
Die App liest alle erforderlichen Datengruppen vom Chip. In Ihrer Implementierung werden je nach Land und Verfügbarkeit unter anderem DG1, DG2, DG7, DG11 und DG12 gelesen.
- DG1 – Maschinenlesbare Daten (Name, Geburtsdatum, Dokumentennummer)
- DG2 – Gesichtsscan / Foto
- DG7 – Unterschriften (in einigen Ländern)
- DG11 – Zusätzliche personenbezogene Daten
- DG12 – Dokumentinfo
- SOD – Dokumentensicherheitsobjekt (Hash & Signatur-Root)
Die Datenzuordnung erfolgt automatisch zu Ihrem EmployeeIdentityModel.
Schritt 4: SOD-Verifizierung & passive Authentifizierung
Die SOD enthält die Hash-Werte jeder Datengruppe und eine digitale Signatur des ausstellenden Staates. ProjectAssistant validiert:
- Hash-Kette: DG1-Hash = SOD-Hash
- Signatur: PKI-Signatur mit CSCA- und DS-Zertifikaten
- Gültigkeit und Widerruf von Zertifikaten
Wenn der SOD-Check erfolgreich ist, ist das Dokument kryptografisch authentisch.
Schritt 5: Aktive Authentifizierung
Wenn das Dokument dies unterstützt, führt die App eine aktive Authentifizierung durch. Damit überprüfen wir, ob der Chip original und nicht geklont ist.
- Herausforderung → Reaktion
- ECDSA/RSA-Verifizierung
- Sicherheitskontrolle gegen Kopien
Wenn die Signatur korrekt ist, ist der Chip einzigartig und nicht kopiert.
Schritt 6: Chip-Authentifizierung
Die Chip-Authentifizierung ersetzt die aktive Authentifizierung bei modernen eIDs. Sie bestätigt die Authentizität des Chips über einen neuen ECDH-Austausch.
- ECDH mit Chip-Privatschlüssel
- Neue Sitzungsschlüssel
- Vollständiger Echtheitsnachweis
Verknüpfung mit Mitarbeiter
Nach erfolgreicher Überprüfung werden alle Daten automatisch mit dem Mitarbeiter verknüpft:
- Name, Geburtsdatum, Staatsangehörigkeit
- Dokumentennummer, Ablaufdatum
- Foto aus DG2
- Kontrollprotokoll einschließlich PACE/BAC/CAN-Details
Das Dokument erscheint automatisch im Mitarbeiter-Dokumentensystem.