Ota yhteyttä MyyntiRekisteröidy ilmaiseksi

Henkilöllisyyden tarkastus ICAO:n ja NFC:n kautta

Täydellinen henkilöllisyystodistusten tarkastus ICAO 9303 -standardin mukaisesti. Sisältää MRZ-skannauksen, NFC-sirun lukemisen, PACE/BAC/CAN, SOD-validoinnin, passiivisen todennuksen, aktiivisen todennuksen ja sirun todennuksen.

Miksi ICAO/NFC-tunnistustarkastus?

ProjectAssistant integroi täyden ICAO 9303 -toteutuksen passien ja henkilökorttien tarkistamiseen. MRZ-skannauksen ja NFC-siruyhteyden avulla suojatulta sirulta luetaan suoraan tiedot, kuten nimi, syntymäaika, kansalaisuus, asiakirjan numero ja valokuva. Näin vahvistetaan henkilöllisyysasiakirjan aitous lakisääteisten tunnistamis- ja dokumentointivaatimusten mukaisesti.

  • Ei manuaalista syöttöä — kaikki tiedot automaattisesti DG1:stä ja DG2:sta
  • Tarkastus ICAO 9303 -turvallisuusstandardien mukaisesti
  • Väärennösten havaitseminen SOD:n ja hajautusketjun avulla
  • Tuki PACE-, CAN- ja BAC-protokollille
  • Valokuvien ja asiakirjojen tietojen laadunvalvonta

Vaihe 1: MRZ-skannaus

Tarkastus alkaa skannaamalla henkilötodistuksen tai passin koneellisesti luettavan alueen (MRZ). Mobiilisovellus käyttää live-kameran overlay-toimintoa, joka tunnistaa automaattisesti:

  • MRZ-tyyppi (TD1, TD2, TD3)
  • Tarkistussumman vahvistus
  • CAN-johdotus PACE:lle
  • Asiakirjan numero, syntymäaika, voimassaoloaika

MRZ:n perusteella lasketaan avaimet BAC:lle tai PACE:lle ja NFC-lukeminen käynnistyy.

Vaihe 2: NFC-pääsy (PACE / BAC / CAN)

Sovellus yrittää aina ensin PACE:tä — se on moderni, turvallisempi ja nopeampi. Jos asiakirja ei tue PACE:tä, järjestelmä siirtyy BAC:hen tai CAN:iin.

Protokollien järjestys

  • PACE (suositeltava) – modernit protokollat, ECDH/ECDSA, turvallisempi
  • CAN – kortin tunnusnumeron kautta (EU:n henkilökorttien tapauksessa)
  • BAC – vanhat passit ja henkilötodistukset

PACE-virtaus (GA1 → GA4)

  1. GA1: Aloita avainten sopimus (OID:n ja käyrän välinen kartoitus)
  2. GA2: ECDH-vaihto
  3. GA3: Nonce-mapping + keskinäinen todennus
  4. GA4: Turvallisen viestinvälityksen avaimen johdanto

Tulos: ENC-avain ja MAC-avain, joilla kaikki seuraavat APDU:t suojataan.

Vaihe 3: Dataryhmien lukeminen (DG1-DG15)

Sovellus lukee kaikki tarvittavat dataryhmät sirulta. Käyttöönotossasi luetaan mm. DG1, DG2, DG7, DG11 ja DG12 maasta ja saatavuudesta riippuen.

  • DG1 – Koneellisesti luettavat tiedot (nimi, syntymäaika, asiakirjan numero)
  • DG2 - Kasvokannaus / valokuva
  • DG7 – Allekirjoitukset (joissakin maissa)
  • DG11 – Lisähenkilötiedot
  • DG12 - Asiakirjan tiedot
  • SOD - Dokumentin suojausobjekti (hash & allekirjoituksen juuritunnus)

Tietojen kartoitus tapahtuu automaattisesti EmployeeIdentityModel-malliisi.

Vaihe 4: SOD-todennus ja passiivinen todennus

SOD sisältää jokaisen dataryhmän hash-arvot ja julkaisijan digitaalisen allekirjoituksen. ProjectAssistant validoi:

  • Hash-ketju: DG1-hash = SOD-hash
  • Allekirjoitus: PKI-allekirjoitus CSCA- ja DS-sertifikaateilla
  • Sertifikaatin voimassaolo ja peruuttaminen

Jos SOD-tarkistus onnistuu, asiakirja on kryptografisesti aito.

Vaihe 5: Aktiivinen todennus

Jos asiakirja tukee sitä, sovellus suorittaa aktiivisen todennuksen. Tällä tarkistamme, että siru on alkuperäinen eikä kloonattu.

  • Haaste → Vastaus
  • ECDSA / RSA-todennus
  • Kopioinnin estävä suojaus

Jos allekirjoitus on oikea, siru on ainutlaatuinen eikä sitä ole kopioitu.

Vaihe 6: Sirun todentaminen

Chip Authentication korvaa Active Authenticationin nykyaikaisissa eID-tunnisteissa. Se vahvistaa sirun aitouden uuden ECDH-vaihdon avulla.

  • ECDH ja yksityinen avain
  • Uudet istunnon avaimet
  • Täydellinen aitoustodistus

Yhteys työntekijään

Tunnistamisen onnistuttua kaikki tiedot liitetään automaattisesti työntekijään:

  • Nimi, syntymäaika, kansalaisuus
  • Asiakirjan numero, voimassaoloaika
  • Kuva DG2:sta
  • Tarkastusloki, mukaan lukien PACE/BAC/CAN-tiedot

Asiakirja ilmestyy automaattisesti työntekijöiden asiakirjajärjestelmään.