Kontakt SalgRegistrer deg gratis

ID-kontroll via ICAO og NFC

Full kontroll av identitetsdokumenter i henhold til ICAO 9303. Inkludert MRZ-skanning, NFC-chipavlesning, PACE/BAC/CAN, SOD-validering, passiv autentisering, aktiv autentisering og chipautentisering.

Hvorfor ICAO/NFC identitetskontroll?

ProjectAssistant integrerer en full ICAO 9303-implementering for verifisering av pass og ID-kort. Ved hjelp av MRZ-skanning og NFC-kommunikasjon leses opplysninger som navn, fødselsdato, nasjonalitet, dokumentnummer og foto direkte fra den sikre brikken. Dette bekrefter dokumentets ekthet i samsvar med lovpålagte krav til identifikasjon og dokumentasjon.

  • Ingen manuell innføring — alle data automatisk fra DG1 og DG2
  • Kontroll i henhold til ICAO 9303 sikkerhetsstandarder
  • Deteksjon av forfalskninger via SOD og hashkjede
  • Støtte for PACE, CAN, BAC
  • Kvalitetskontroll av foto- og dokumentdata

Trinn 1: MRZ-skanning

Kontrollen starter med å skanne den maskinlesbare sonen (MRZ) på et ID-kort eller pass. Mobilappen bruker et live kameraoverlegg med automatisk gjenkjenning av:

  • MRZ-type (TD1, TD2, TD3)
  • Kontrollsumvalidering
  • CAN-avledning for PACE
  • Dokumentnummer, fødselsdato, utløpsdato

Basert på MRZ beregnes nøklene for BAC eller PACE, og NFC-lesingen starter.

Trinn 2: NFC-tilgang (PACE / BAC / CAN)

Appen prøver alltid PACE først — dette er moderne, sikrere og raskere. Hvis dokumentet ikke støtter PACE, faller systemet tilbake på BAC eller CAN.

Rekkefølge av protokoller

  • PACE (foretrukket) – moderne protokoller, ECDH/ECDSA, sikrere
  • CAN – via kortadgangsnummer (for EU-ID-kort)
  • BAC – eldre pass og ID-kort

PACE-flyt (GA1 → GA4)

  1. GA1: Start nøkkelavtale (kartlegging OID → kurve)
  2. GA2: ECDH-utveksling
  3. GA3: Nonce-mapping + gjensidig autentisering
  4. GA4: Sikker meldingsnøkkelutledning

Resultat: ENC-nøkkel og MAC-nøkkel som brukes til å sikre alle påfølgende APDU-er.

Trinn 3: Lesing av datagrupper (DG1-DG15)

Appen leser alle nødvendige datagrupper fra brikken. I din implementering leses blant annet DG1, DG2, DG7, DG11 og DG12, avhengig av land og tilgjengelighet.

  • DG1 – Maskinlesbare data (navn, fødselsdato, dokumentnummer)
  • DG2 - Ansiktsskanning / foto
  • DG7 – Signaturer (i enkelte land)
  • DG11 – Tilleggsopplysninger om personopplysninger
  • DG12 - Dokumentinformasjon
  • SOD – Dokument sikkerhetsobjekt (hash og signaturrot)

Datakartlegging skjer automatisk til din EmployeeIdentityModel.

Trinn 4: SOD-verifisering og passiv autentisering

SOD inneholder hashverdiene for hver datagruppe og en digital signatur fra utstedelsesstaten. ProjectAssistant validerer:

  • Hashkjede: DG1 hash = SOD hash
  • Signatur: PKI-signering med CSCA- og DS-sertifikater
  • Sertifikatets gyldighet og tilbakekalling

Hvis SOD-sjekken er vellykket, er dokumentet kryptografisk autentisk.

Trinn 5: Aktiv autentisering

Hvis dokumentet støtter det, utfører appen aktiv autentisering. Med dette kontrollerer vi om brikken er original og ikke klonet.

  • Utfordring → Respons
  • ECDSA / RSA-verifisering
  • Sikkerhetskontroll mot kopiering

Hvis signaturen er korrekt, er brikken unik og ikke kopiert.

Trinn 6: Chipautentisering

Chip Authentication erstattet Active Authentication bei modernen eIDs. Es bestätigt die Authentizität des Chips über einen neuen ECDH-Austausch.

  • ECDH med privat nøkkel på chip
  • Nye sesjonsnøkler
  • Fullstendig bevis på ekthet

Kobling til medarbeider

Etter vellykket verifisering blir alle opplysningene automatisk knyttet til den ansatte:

  • Navn, fødselsdato, nasjonalitet
  • Dokumentnummer, utløpsdato
  • Foto fra DG2
  • Kontrollogg inkludert PACE/BAC/CAN-detaljer

Dokumentet vises automatisk i medarbeiderdokumentasjonssystemet.