Contact VerkoopRegistreer je gratis

ID-controle via ICAO & NFC

Volledige controle van identiteitsdocumenten volgens ICAO 9303. Inclusief MRZ-scan, NFC-chiplezing, PACE/BAC/CAN, SOD-validatie, Passive Authentication, Active Authentication en Chip Authentication.

Waarom ICAO/NFC identiteitscontrole?

ProjectAssistant integreert een volledige ICAO 9303-implementatie voor verificatie van paspoorten en ID-kaarten. Door middel van MRZ-scanning en NFC-chipcommunicatie worden gegevens zoals naam, geboortedatum, nationaliteit, documentnummer en foto rechtstreeks uit de beveiligde chip gehaald. Hiermee bevestigen we de authenticiteit van het identiteitsdocument voor WID/WKA-vereisten.

  • Geen handmatige invoer — alle gegevens automatisch uit DG1 en DG2
  • Controle volgens ICAO 9303 beveiligingsstandaarden
  • Detectie van vervalsingen via SOD en hashketting
  • Ondersteuning voor PACE, CAN, BAC
  • Kwaliteitscontrole van foto & documentgegevens

Stap 1: MRZ-scanning

De controle begint met het scannen van de Machine Readable Zone (MRZ) van een ID-kaart of paspoort. De mobiele app gebruikt een live-camera overlay met automatische detectie van:

  • MRZ type (TD1, TD2, TD3)
  • Checksum-validatie
  • CAN-afleiding voor PACE
  • Documentnummer, geboortedatum, vervaldatum

Op basis van de MRZ worden de keys voor BAC of PACE berekend en start de NFC-lezing.

Stap 2: NFC toegang (PACE / BAC / CAN)

De app probeert altijd eerst PACE — dit is modern, veiliger en sneller. Indien het document geen PACE ondersteunt, valt het systeem terug op BAC of CAN.

Volgorde van protocollen

  • PACE (preferred) – moderne protocollen, ECDH/ECDSA, veiliger
  • CAN – via Card Access Number (bij EU ID-kaarten)
  • BAC – oudere paspoorten en ID’s

PACE flow (GA1 → GA4)

  1. GA1: Start key agreement (mapping OID → curve)
  2. GA2: ECDH exchange
  3. GA3: Nonce-mapping + mutual authentication
  4. GA4: Secure messaging key derivation

Resultaat: ENC-key & MAC-key waarmee alle volgende APDU’s beveiligd worden.

Stap 3: Lezen van Datagroepen (DG1-DG15)

De app leest alle benodigde datagroepen van de chip. In jouw implementatie worden o.a. DG1, DG2, DG7, DG11 en DG12 gelezen afhankelijk van land en beschikbaarheid.

  • DG1 - Machine Readable Data (naam, geboortedatum, documentnummer)
  • DG2 - Gelaatsscan / foto
  • DG7 - Handtekeningen (bij sommige landen)
  • DG11 - Additionele personal data
  • DG12 - Document info
  • SOD - Document Security Object (hash & signature root)

Gegevensmapping gebeurt automatisch naar jouw EmployeeIdentityModel.

Stap 4: SOD-verificatie & Passive Authentication

De SOD bevat de hashwaarden van elke datagroep en een digitale handtekening van de uitgeverstaat. ProjectAssistant valideert:

  • Hashketting: DG1 hash = SOD hash
  • Signature: PKI-ondertekening met CSCA & DS-certificaten
  • Certificaat geldigheid & revocation

Als de SOD-check slaagt, is het document cryptografisch authentiek.

Stap 5: Active Authentication

Indien ondersteund door het document, voert de app Active Authentication uit. Hiermee controleren we of de chip origineel is en niet gekloond.

  • Challenge → Response
  • ECDSA / RSA verificatie
  • Beveiligingscontrole tegen kopieën

Als de handtekening klopt, is de chip uniek en niet gekopieerd.

Stap 6: Chip Authentication

Chip Authentication vervangt Active Authentication bij moderne eID’s. Het bevestigt de authenticiteit van de chip via een nieuwe ECDH-uitwisseling.

  • ECDH met chip-private key
  • Nieuwe session keys
  • Volledig bewijs van authenticiteit

Koppeling aan medewerker

Na succesvolle verificatie worden alle gegevens automatisch gekoppeld aan de medewerker:

  • Naam, geboortedatum, nationaliteit
  • Documentnummer, vervaldatum
  • Foto uit DG2
  • Controlelog inclusief PACE/BAC/CAN details

Het document verschijnt automatisch in het medewerkersdocumentensysteem.