Έλεγχος ταυτότητας μέσω ICAO & NFC

Πλήρης έλεγχος των εγγράφων ταυτότητας σύμφωνα με το πρότυπο ICAO 9303. Περιλαμβάνει σάρωση MRZ, ανάγνωση τσιπ NFC, PACE/BAC/CAN, επικύρωση SOD, παθητική πιστοποίηση, ενεργή πιστοποίηση και πιστοποίηση τσιπ.

Γιατί έλεγχος ταυτότητας ICAO/NFC;

Το ProjectAssistant ενσωματώνει πλήρη υλοποίηση ICAO 9303 για την επαλήθευση διαβατηρίων και δελτίων ταυτότητας. Μέσω σάρωσης MRZ και επικοινωνίας NFC διαβάζονται απευθείας από το ασφαλές chip στοιχεία όπως όνομα, ημερομηνία γέννησης, ιθαγένεια, αριθμός εγγράφου και φωτογραφία. Με αυτόν τον τρόπο επιβεβαιώνεται η γνησιότητα του εγγράφου σύμφωνα με τις νόμιμες απαιτήσεις ταυτοποίησης και τεκμηρίωσης.

Χωρίς χειροκίνητη εισαγωγή — όλα τα δεδομένα εισάγονται αυτόματα από τα DG1 και DG2
Έλεγχος σύμφωνα με τα πρότυπα ασφαλείας ICAO 9303
Ανίχνευση πλαστών μέσω SOD και αλυσίδας κατακερματισμού
Υποστήριξη για PACE, CAN, BAC
Έλεγχος ποιότητας φωτογραφιών και δεδομένων εγγράφων

Βήμα 1: Σάρωση MRZ

Ο έλεγχος ξεκινά με τη σάρωση της Μηχανικά Αναγνώσιμης Ζώνης (MRZ) μιας ταυτότητας ή διαβατηρίου. Η εφαρμογή για κινητά χρησιμοποιεί μια ζωντανή επικάλυψη κάμερας με αυτόματη ανίχνευση:

Τύπος MRZ (TD1, TD2, TD3)
Επικύρωση αθροίσματος ελέγχου
CAN παράγωγο για PACE
Αριθμός εγγράφου, ημερομηνία γέννησης, ημερομηνία λήξης

Με βάση το MRZ υπολογίζονται τα κλειδιά για BAC ή PACE και ξεκινά η ανάγνωση NFC.

Βήμα 2: Πρόσβαση NFC (PACE / BAC / CAN)

Η εφαρμογή προσπαθεί πάντα πρώτα να χρησιμοποιήσει το PACE — είναι πιο σύγχρονο, ασφαλέστερο και ταχύτερο. Εάν το έγγραφο δεν υποστηρίζει το PACE, το σύστημα επιστρέφει στο BAC ή στο CAN.

Σειρά πρωτοκόλλων

PACE (προτιμώμενο) – σύγχρονα πρωτόκολλα, ECDH/ECDSA, ασφαλέστερο
CAN – μέσω αριθμού πρόσβασης κάρτας (για κάρτες ταυτότητας της ΕΕ)
BAC – παλαιότερα διαβατήρια και ταυτότητες

Ροή PACE (GA1 → GA4)

GA1: Έναρξη συμφωνίας κλειδιού (αντιστοίχιση OID → καμπύλη)
GA2: Ανταλλαγή ECDH
GA3: Αντιστοίχιση nonce + αμοιβαία πιστοποίηση
GA4: Ασφαλής παράγωγο κλειδιού μηνυμάτων

Αποτέλεσμα: Κλειδί ENC & κλειδί MAC με τα οποία προστατεύονται όλα τα επόμενα APDU.

Βήμα 3: Ανάγνωση ομάδων δεδομένων (DG1-DG15)

Η εφαρμογή διαβάζει όλες τις απαραίτητες ομάδες δεδομένων από το τσιπ. Στην εφαρμογή σας διαβάζονται, μεταξύ άλλων, οι DG1, DG2, DG7, DG11 και DG12, ανάλογα με τη χώρα και τη διαθεσιμότητα.

DG1 - Μηχανικά αναγνώσιμα δεδομένα (όνομα, ημερομηνία γέννησης, αριθμός εγγράφου)
DG2 - Σάρωση προσώπου / φωτογραφία
DG7 - Υπογραφές (σε ορισμένες χώρες)
DG11 - Πρόσθετα προσωπικά δεδομένα
DG12 - Πληροφορίες εγγράφου
SOD - Αντικείμενο ασφάλειας εγγράφων (hash & root υπογραφής)

Η αντιστοίχιση δεδομένων πραγματοποιείται αυτόματα στο EmployeeIdentityModel σας.

Βήμα 4: Επαλήθευση SOD & Παθητική πιστοποίηση

Το SOD περιέχει τις τιμές κατακερματισμού κάθε ομάδας δεδομένων και μια ψηφιακή υπογραφή της χώρας έκδοσης. Το ProjectAssistant επικυρώνει:

Αλυσίδα κατακερματισμού: Κατακερματισμός DG1 = Κατακερματισμός SOD
Υπογραφή: Υπογραφή PKI με πιστοποιητικά CSCA & DS
Ισχύς πιστοποιητικού & ανάκληση

Εάν ο έλεγχος SOD είναι επιτυχής, το έγγραφο είναι κρυπτογραφικά αυθεντικό.

Βήμα 5: Ενεργή πιστοποίηση

Εάν υποστηρίζεται από το έγγραφο, η εφαρμογή εκτελεί ενεργή επαλήθευση ταυτότητας. Με αυτόν τον τρόπο ελέγχουμε αν το τσιπ είναι γνήσιο και δεν έχει κλωνοποιηθεί.

Πρόκληση → Απάντηση
ECDSA / RSA επαλήθευση
Έλεγχος ασφαλείας κατά των αντιγράφων

Εάν η υπογραφή είναι σωστή, το τσιπ είναι μοναδικό και δεν έχει αντιγραφεί.

Βήμα 6: Αυθεντικοποίηση τσιπ

Η πιστοποίηση τσιπ αντικαθιστά την ενεργή πιστοποίηση στις σύγχρονες ηλεκτρονικές ταυτότητες. Επιβεβαιώνει την αυθεντικότητα του τσιπ μέσω μιας νέας ανταλλαγής ECDH.

ECDH με ιδιωτικό κλειδί chip
Νέα κλειδιά συνεδρίας
Πλήρης απόδειξη γνησιότητας

Σύνδεση με υπάλληλο

Μετά την επιτυχή επαλήθευση, όλα τα στοιχεία συνδέονται αυτόματα με τον υπάλληλο:

Όνομα, ημερομηνία γέννησης, εθνικότητα
Αριθμός εγγράφου, ημερομηνία λήξης
Φωτογραφία από DG2
Λογιστικό ελέγχου, συμπεριλαμβανομένων λεπτομερειών PACE/BAC/CAN

Το έγγραφο εμφανίζεται αυτόματα στο σύστημα εγγράφων των υπαλλήλων.