Személyazonosság-ellenőrzés az ICAO és az NFC segítségével

Az ICAO 9303 szerint teljes körű személyazonosító okmányok ellenőrzése. Beleértve MRZ-szkennelést, NFC-chipolvasást, PACE/BAC/CAN, SOD-érvényesítést, passzív hitelesítést, aktív hitelesítést és chip-hitelesítést.

Miért van szükség az ICAO/NFC személyazonosság-ellenőrzésre?

A ProjectAssistant teljes ICAO 9303 implementációt integrál az útlevelek és személyazonosító igazolványok ellenőrzésére. MRZ-szkennelés és NFC-chip kommunikáció segítségével közvetlenül a biztonságos chipből olvashatók ki az olyan adatok, mint a név, születési dátum, állampolgárság, okmányszám és a fénykép. Ez megerősíti a személyazonosító dokumentum hitelességét a jogszabályi azonosítási és dokumentációs kötelezettségeknek megfelelően.

Nincs kézi bevitel — minden adat automatikusan a DG1-ből és a DG2-ből származik
Ellenőrzés az ICAO 9303 biztonsági szabványok szerint
Hamisítások felismerése SOD és hash lánc segítségével
Támogatás PACE, CAN, BAC számára
Fotó- és dokumentumadatok minőség-ellenőrzése

1. lépés: MRZ-beolvasás

Az ellenőrzés az azonosító kártya vagy útlevél géppel olvasható zónájának (MRZ) beolvasásával kezdődik. A mobilalkalmazás élő kamerás átfedést használ, amely automatikusan felismeri:

MRZ típus (TD1, TD2, TD3)
Ellenőrző összeg validálása
CAN-elterelés a PACE számára
Dokumentumszám, születési dátum, lejárati dátum

Az MRZ alapján kiszámításra kerülnek a BAC vagy PACE kulcsok, és elindul az NFC-olvasás.

2. lépés: NFC hozzáférés (PACE / BAC / CAN)

Az alkalmazás mindig először a PACE-t próbálja meg – ez modern, biztonságosabb és gyorsabb. Ha a dokumentum nem támogatja a PACE-t, a rendszer visszatér a BAC-ra vagy a CAN-ra.

Protokollok sorrendje

PACE (előnyben részesített) – modern protokollok, ECDH/ECDSA, biztonságosabb
CAN – kártyás hozzáférési számmal (EU személyi igazolványok esetén)
BAC – régebbi útlevelek és személyi igazolványok

PACE áramlás (GA1 → GA4)

GA1: Kulcsmegállapodás indítása (OID → görbe leképezés)
GA2: ECDH csere
GA3: Nonce-mapping + kölcsönös hitelesítés
GA4: Biztonságos üzenetküldés kulcsderivációja

Eredmény: ENC-kulcs és MAC-kulcs, amelyekkel az összes következő APDU biztonságos lesz.

3. lépés: Adatcsoportok (DG1-DG15) olvasása

Az alkalmazás minden szükséges adatcsoportot kiolvas a chipből. Az Ön implementációjában többek között a DG1, DG2, DG7, DG11 és DG12 adatcsoportokat olvassa ki, az országtól és a rendelkezésre állástól függően.

DG1 – Géppel olvasható adatok (név, születési dátum, dokumentumszám)
DG2 – Arcszkennelés / fénykép
DG7 – Aláírások (egyes országokban)
DG11 – További személyes adatok
DG12 – Dokumentum információk
SOD – Dokumentumbiztonsági objektum (hash és aláírás gyökér)

Az adatok automatikusan az EmployeeIdentityModel-hez kerülnek hozzárendelésre.

4. lépés: SOD-hitelesítés és passzív hitelesítés

A SOD tartalmazza az egyes adatcsoportok hash-értékeit és a kiadó állam digitális aláírását. A ProjectAssistant ellenőrzi:

Hash lánc: DG1 hash = SOD hash
Aláírás: PKI-aláírás CSCA és DS tanúsítványokkal
Tanúsítvány érvényessége és visszavonása

Ha a SOD-ellenőrzés sikeres, a dokumentum kriptográfiailag hiteles.

5. lépés: Aktív hitelesítés

Ha a dokumentum ezt támogatja, az alkalmazás elvégzi az aktív hitelesítést. Ezzel ellenőrizzük, hogy a chip eredeti-e és nem klónozott-e.

Kihívás → Válasz
ECDSA / RSA hitelesítés
Biztonsági ellenőrzés másolatok ellen

Ha az aláírás helyes, akkor a chip egyedi és nem másolt.

6. lépés: Chip hitelesítés

A chip hitelesítés felváltja az aktív hitelesítést a modern eID-k esetében. Ez egy új ECDH-csere segítségével igazolja a chip hitelességét.

ECDH chipes privát kulccsal
Új munkamenet kulcsok
Teljes hitelességi igazolás

Kapcsolat az alkalmazottal

A sikeres ellenőrzés után az összes adat automatikusan összekapcsolódik az alkalmazottal:

Név, születési dátum, állampolgárság
Dokumentumszám, lejárati dátum
Fotó a DG2-ből
Ellenőrzési napló, beleértve a PACE/BAC/CAN adatokat

A dokumentum automatikusan megjelenik a munkavállalói dokumentumkezelő rendszerben.