ICAOおよびNFCによるID確認
ICAO 9303に基づく身分証明書の完全な検証。MRZスキャン、NFCチップ読み取り、PACE/BAC/CAN、SOD検証、パッシブ認証、アクティブ認証、チップ認証を含む。
なぜICAO/NFCによる本人確認が必要なのか?
ProjectAssistant は、パスポートおよび身分証明書を検証するための完全な ICAO 9303 実装を統合しています。MRZ スキャンおよび NFC チップ通信により、氏名、生年月日、国籍、文書番号、写真などの情報が安全なチップから直接読み取られます。これにより、法的な本人確認および文書管理要件に基づいて、身分証明書の真正性が確認されます。
- 手動入力不要 — DG1およびDG2からすべてのデータを自動的に取得
- ICAO 9303保安基準に基づく検査
- SODおよびハッシュチェーンによる偽造検出
- PACE、CAN、BACのサポート
- 写真および文書データの品質管理
ステップ1:MRZスキャン
チェックは、IDカードまたはパスポートの機械読み取り可能領域(MRZ)のスキャンから始まります。モバイルアプリはライブカメラオーバーレイを使用し、以下の項目を自動検出します:
- MRZタイプ(TD1、TD2、TD3)
- チェックサム検証
- PACE用CAN派生
- 文書番号、生年月日、有効期限
MRZに基づいて、BACまたはPACEのキーが計算され、NFC読み取りが開始されます。
ステップ2:NFCアクセス(PACE / BAC / CAN)
アプリは常にまずPACEを試みます。これは最新で、より安全かつ高速です。文書がPACEをサポートしていない場合、システムはBACまたはCANにフォールバックします。
プロトコルの順序
- PACE(推奨)– 現代的なプロトコル、ECDH/ECDSA、より安全
- CAN– カードアクセス番号(EU IDカードの場合)
- BAC– 古いパスポートと身分証明書
PACEフロー(GA1 → GA4)
- GA1: 鍵合意の開始(OID → 曲線のマッピング)
- GA2: ECDH交換
- GA3: ノンセマッピング + 相互認証
- GA4: セキュアメッセージング鍵導出
結果:以降のすべてのAPDUを保護するENCキーとMACキー。
ステップ3:データグループ(DG1-DG15)の読み取り
アプリはチップから必要なデータグループをすべて読み取ります。実装では、国や利用可能性に応じて、DG1、DG2、DG7、DG11、DG12などが読み取られます。
- DG1- 機械可読データ(氏名、生年月日、文書番号)
- DG2- 顔スキャン / 写真
- DG7- 署名(一部の国)
- DG11- 追加の個人データ
- DG12- 文書情報
- SOD- ドキュメントセキュリティオブジェクト(ハッシュ&署名ルート)
データマッピングは自動的にあなたのEmployeeIdentityModelに実行されます。
ステップ4:SOD検証とパッシブ認証
SODには、各データグループのハッシュ値と発行国のデジタル署名が含まれています。ProjectAssistantは以下を検証します:
- ハッシュチェーン: DG1ハッシュ = SODハッシュ
- 署名:CSCAおよびDS証明書によるPKI署名
- 証明書の有効性および失効
SODチェックが成功した場合、その文書は暗号的に真正である。
ステップ5: アクティブ認証
文書でサポートされている場合、アプリはアクティブ認証を実行します。これにより、チップがオリジナルであり、複製されていないことを確認します。
- 挑戦 → 応答
- ECDSA / RSA 認証
- コピー防止セキュリティチェック
署名が正しい場合、チップは唯一無二であり、複製されていません。
ステップ6: チップ認証
チップ認証は、現代の電子IDにおいてアクティブ認証に取って代わります。新しいECDH交換を通じてチップの真正性を確認します。
- ECDHとチップ内秘密鍵
- 新しいセッションキー
- 完全な真正性の証明
従業員との連携
検証が成功すると、すべてのデータは自動的に従業員に関連付けられます:
- 氏名、生年月日、国籍
- 文書番号、有効期限
- DG2からの写真
- PACE/BAC/CANの詳細を含む制御ログ
その文書は自動的に社員文書システムに表示されます。