Identitéitskontroll iwwer ICAO & NFC
Vollstänneg Verifizéierung vun Identitéitsdokumenter no ICAO 9303. Inklusiv MRZ-Scanning, NFC-Chipliesung, PACE/BAC/CAN, SOD-Validatioun, passiv Authentifizéierung, aktiv Authentifizéierung a Chip-Authentifizéierung.
Firwat ICAO/NFC Identitéitsverifizéierung?
ProjectAssistant integréiert eng komplett ICAO-9303-Ëmsetzung fir d’Iwwerpréiwung vu Päss an Identitéitskaarten. Iwwer MRZ-Scanning an NFC-Chip-Kommunikatioun ginn Donnéeë wéi Numm, Gebuertsdatum, Nationalitéit, Dokumentnummer a Foto direkt aus dem gesécherten Chip gelies. Doduerch gëtt d’Authentizitéit vum Identitéitsdokument am Kader vun de gesetzlechen Identifikatiouns- a Dokumentatiounsflichte bestätegt.
- Keng manuell Eingabe — all Daten automatesch vun DG1 an DG2
- Kontroll no den ICAO 9303 Sécherheetsnormen
- Fälschungsdetektioun iwwer SOD an Hashkette
- Ënnerstëtzung fir PACE, CAN, BAC
- Qualitéitskontroll vu Foto- a Dokumentdaten
Schrëtt 1: MRZ-Scanning
D'Kontroll fänkt domat un, datt d'Maschinnliesbar Zon (MRZ) vun enger Identitéitskaart oder engem Pass gescannt gëtt. Déi mobil App benotzt eng Live-Kamera-Overlay mat automatescher Detektioun vun:
- MRZ-Typ (TD1, TD2, TD3)
- Validatioun vum Checksum
- CAN-Ofleedung fir PACE
- Dokumentnummer, Gebuertsdatum, Verfallsdatum
Baséierend op der MRZ ginn d'Schlësselen fir BAC oder PACE berechent an d'NFC-Liesung fänkt un.
Schrëtt 2: NFC-Zougang (PACE / BAC / CAN)
D'App probéiert ëmmer als éischt PACE - dat ass modern, méi sécher a méi séier. Wann den Dokument PACE net ënnerstëtzt, fällt de System op BAC oder CAN zréck.
Reiefolleg vun de Protokoller
- PACE (virgezunn) – modern Protokoller, ECDH/ECDSA, méi sécher
- CAN – iwwer d'Zougangsnummer vun der Kaart (fir EU-Identitéitskaarten)
- BAC – méi al Päss an ID-Kaarte
PACE-Floss (GA1 → GA4)
- GA1: Schlësselkonventioun starten (OID ofbilden → Kurve)
- GA2: ECDH-Austausch
- GA3: Nonce-Mapping + géigesäiteg Authentifikatioun
- GA4: Sécher Messagerie Schlëssel Ofleedung
Resultat: ENC-Schlëssel & MAC-Schlëssel, mat deem all spéider APDUe geséchert ginn.
Schrëtt 3: Datengruppen liesen (DG1-DG15)
D'App liest all néideg Datengruppen vum Chip. An Ärer Implementatioun ginn DG1, DG2, DG7, DG11 an DG12 gelies, ofhängeg vum Land an der Disponibilitéit.
- DG1 - Maschinnliesbar Donnéeën (Numm, Gebuertsdatum, Dokumentnummer)
- DG2 - Gesiichtsscan / Foto
- DG7 - Ënnerschrëften (fir verschidde Länner)
- DG11 - Zousätzlech perséinlech Donnéeën
- DG12 - Dokumentinformatiounen
- SOD - Dokumentsécherheetsobjekt (Hash & Signaturroot)
D'Datenmapping gëtt automatesch op Ären EmployeeIdentityModel gemaach.
Schrëtt 4: SOD-Verifizéierung & Passiv Authentifizéierung
Den SOD enthält d'Hash-Wäerter vun all Datengrupp an eng digital Ënnerschrëft vum Emittent-Staat. ProjectAssistant validéiert:
- Hash-Kette: DG1 Hash = SOD Hash
- Ënnerschrëft: PKI-Ënnerschrëft mat CSCA- & DS-Zertifikater
- Gëltegkeet a Réckzuch vum Zertifikat
Wann d'SOD-Kontroll erfollegräich ass, ass den Dokument kryptographesch authentesch.
Schrëtt 5: Aktiv Authentifikatioun
Wann et vum Dokument ënnerstëtzt gëtt, féiert d'App eng aktiv Authentifikatioun duerch. Dëst verifizéiert, datt den Chip echt ass a net geklont ass.
- Erausfuerderung → Äntwert
- ECDSA/RSA Authentifikatioun
- Sécherheetskontroll géint Kopien
Wann d'Ënnerschrëft korrekt ass, ass de Chip eenzegaarteg an net kopéiert.
Schrëtt 6: Chip-Authentifikatioun
Chip-Authentifikatioun ersetzt aktiv Authentifikatioun a modernen eIDs. Si bestätegt d'Authentizitéit vum Chip iwwer en neien ECDH-Austausch.
- ECDH mat engem Chip-Privatschlëssel
- Nei Sessiounsschlësselen
- Vollstännege Beweis vun der Authentizitéit
Link zum Mataarbechter
Nom erfollegräiche Verifizéierungsprozess ginn all Donnéeën automatesch mam Mataarbechter verlinkt:
- Numm, Gebuertsdatum, Nationalitéit
- Dokumentnummer, Verfallsdatum
- Foto vun DG2
- Kontrollprotokoll inklusiv PACE/BAC/CAN Detailer
D'Dokument erschéngt automatesch am Dokumentesystem vum Mataarbechter.