Kontakt SprzedażZarejestruj się za darmo

Kontrola tożsamości za pomocą ICAO i NFC

Pełna kontrola dokumentów tożsamości zgodnie z normą ICAO 9303. Obejmuje skanowanie MRZ, odczyt chipów NFC, PACE/BAC/CAN, walidację SOD, uwierzytelnianie pasywne, uwierzytelnianie aktywne i uwierzytelnianie chipowe.

Dlaczego kontrola tożsamości ICAO/NFC?

ProjectAssistant integruje pełną implementację ICAO 9303 do weryfikacji paszportów i dowodów tożsamości. Za pomocą skanowania MRZ oraz komunikacji NFC odczytywane są bezpośrednio z zabezpieczonego chipa dane takie jak imię i nazwisko, data urodzenia, obywatelstwo, numer dokumentu oraz zdjęcie. Pozwala to potwierdzić autentyczność dokumentu zgodnie z prawnymi wymogami identyfikacyjnymi i dokumentacyjnymi.

  • Brak ręcznego wprowadzania danych — wszystkie dane są automatycznie pobierane z DG1 i DG2.
  • Kontrola zgodnie z normami bezpieczeństwa ICAO 9303
  • Wykrywanie fałszerstw za pomocą SOD i łańcucha skrótów
  • Obsługa protokołów PACE, CAN, BAC
  • Kontrola jakości zdjęć i danych dokumentów

Krok 1: Skanowanie MRZ

Kontrola rozpoczyna się od zeskanowania strefy nadającej się do odczytu maszynowego (MRZ) dowodu osobistego lub paszportu. Aplikacja mobilna wykorzystuje nakładkę z kamerą na żywo z automatycznym wykrywaniem:

  • Typ MRZ (TD1, TD2, TD3)
  • Weryfikacja sumy kontrolnej
  • Odprowadzenie CAN dla PACE
  • Numer dokumentu, data urodzenia, data ważności

Na podstawie MRZ obliczane są klucze dla BAC lub PACE i rozpoczyna się odczyt NFC.

Krok 2: Dostęp NFC (PACE / BAC / CAN)

Aplikacja zawsze najpierw próbuje użyć protokołu PACE — jest on nowoczesny, bezpieczniejszy i szybszy. Jeśli dokument nie obsługuje protokołu PACE, system przechodzi na protokół BAC lub CAN.

Kolejność protokołów

  • PACE (preferowane) – nowoczesne protokoły, ECDH/ECDSA, bezpieczniejsze
  • CAN – poprzez numer dostępu karty (w przypadku kart identyfikacyjnych UE)
  • BAC – starsze paszporty i dowody tożsamości

Przepływ PACE (GA1 → GA4)

  1. GA1: Rozpoczęcie uzgadniania klucza (mapowanie OID → krzywa)
  2. GA2: Wymiana ECDH
  3. GA3: Mapowanie nonce + wzajemna autoryzacja
  4. GA4: Wyprowadzanie klucza bezpiecznej komunikacji

Wynik: klucz ENC i klucz MAC, które zabezpieczają wszystkie kolejne APDU.

Krok 3: Odczyt grup danych (DG1–DG15)

Aplikacja odczytuje wszystkie niezbędne grupy danych z chipa. W Twojej implementacji odczytywane są m.in. DG1, DG2, DG7, DG11 i DG12, w zależności od kraju i dostępności.

  • DG1 – Dane nadające się do odczytu maszynowego (imię i nazwisko, data urodzenia, numer dokumentu)
  • DG2 – skan twarzy / zdjęcie
  • DG7 – Podpisy (w niektórych krajach)
  • DG11 – Dodatkowe dane osobowe
  • DG12 – Informacje o dokumencie
  • SOD – obiekt bezpieczeństwa dokumentu (hash i podpis root)

Mapowanie danych odbywa się automatycznie do Twojego EmployeeIdentityModel.

Krok 4: Weryfikacja SOD i uwierzytelnianie pasywne

SOD zawiera wartości skrótu każdej grupy danych oraz podpis cyfrowy państwa wydającego. ProjectAssistant weryfikuje:

  • Łańcuch skrótów: skrót DG1 = skrót SOD
  • Podpis: Podpis PKI za pomocą certyfikatów CSCA i DS
  • Ważność certyfikatu i jego unieważnienie

Jeśli kontrola SOD zakończy się powodzeniem, dokument jest autentyczny pod względem kryptograficznym.

Krok 5: Aktywna autoryzacja

Jeśli dokument to potwierdza, aplikacja przeprowadza aktywne uwierzytelnianie. Dzięki temu sprawdzamy, czy chip jest oryginalny i nie został sklonowany.

  • Wyzwanie → Odpowiedź
  • Weryfikacja ECDSA / RSA
  • Kontrola zabezpieczeń przed kopiowaniem

Jeśli podpis jest prawidłowy, chip jest unikalny i nie został skopiowany.

Krok 6: Uwierzytelnianie chipów

Uwierzytelnianie chipowe zastępuje uwierzytelnianie aktywne w nowoczesnych identyfikatorach eID. Potwierdza ono autentyczność chipa poprzez nową wymianę ECDH.

  • ECDH z prywatnym kluczem chipowym
  • Nowe klucze sesji
  • Pełny dowód autentyczności

Powiązanie z pracownikiem

Po pomyślnej weryfikacji wszystkie dane zostaną automatycznie powiązane z pracownikiem:

  • Imię i nazwisko, data urodzenia, narodowość
  • Numer dokumentu, data ważności
  • Zdjęcie z DG2
  • Dziennik kontroli zawierający szczegóły dotyczące PACE/BAC/CAN

Dokument pojawia się automatycznie w systemie dokumentów pracowników.