Verificação de identidade através da ICAO e NFC
Controle total de documentos de identidade de acordo com a ICAO 9303. Inclui digitalização MRZ, leitura de chip NFC, PACE/BAC/CAN, validação SOD, autenticação passiva, autenticação ativa e autenticação por chip.
Por que a verificação de identidade ICAO/NFC?
O ProjectAssistant integra uma implementação completa da norma ICAO 9303 para a verificação de passaportes e cartões de identidade. Através da leitura MRZ e da comunicação NFC do chip, são lidos diretamente do chip seguro dados como nome, data de nascimento, nacionalidade, número do documento e fotografia. Isto confirma a autenticidade do documento de identidade de acordo com os requisitos legais de identificação e documentação.
- Sem entrada manual — todos os dados automaticamente do DG1 e DG2
- Controle de acordo com as normas de segurança ICAO 9303
- Detecção de falsificações através de SOD e cadeia de hash
- Suporte para PACE, CAN, BAC
- Controle de qualidade de fotos e dados de documentos
Etapa 1: digitalização MRZ
A verificação começa com a digitalização da Zona Legível por Máquina (MRZ) de um cartão de identidade ou passaporte. O aplicativo móvel usa uma sobreposição de câmera ao vivo com detecção automática de:
- Tipo MRZ (TD1, TD2, TD3)
- Validação da soma de verificação
- Derivação CAN para PACE
- Número do documento, data de nascimento, data de validade
Com base na MRZ, as chaves para BAC ou PACE são calculadas e a leitura NFC é iniciada.
Etapa 2: Acesso NFC (PACE / BAC / CAN)
O aplicativo sempre tenta primeiro o PACE — que é mais moderno, seguro e rápido. Se o documento não suportar o PACE, o sistema recorre ao BAC ou CAN.
Ordem dos protocolos
- PACE (preferencial) – protocolos modernos, ECDH/ECDSA, mais seguro
- CAN – através do número de acesso ao cartão (no caso dos cartões de identificação da UE)
- BAC – passaportes e identidades antigos
Fluxo PACE (GA1 → GA4)
- GA1: Iniciar acordo de chave (mapeamento OID → curva)
- GA2: Troca ECDH
- GA3: Mapeamento de nonce + autenticação mútua
- GA4: Derivação de chave de mensagens seguras
Resultado: chave ENC e chave MAC com as quais todos os APDUs seguintes são protegidos.
Etapa 3: Leitura dos grupos de dados (DG1–DG15)
O aplicativo lê todos os grupos de dados necessários do chip. Na sua implementação, são lidos, entre outros, DG1, DG2, DG7, DG11 e DG12, dependendo do país e da disponibilidade.
- DG1 - Dados legíveis por máquina (nome, data de nascimento, número do documento)
- DG2 - Digitalização facial / foto
- DG7 - Assinaturas (em alguns países)
- DG11 - Dados pessoais adicionais
- DG12 - Informações sobre o documento
- SOD - Objeto de segurança de documento (hash e raiz de assinatura)
O mapeamento de dados é feito automaticamente para o seu EmployeeIdentityModel.
Etapa 4: Verificação SOD e autenticação passiva
O SOD contém os valores hash de cada grupo de dados e uma assinatura digital do estado emissor. O ProjectAssistant valida:
- Cadeia de hash: hash DG1 = hash SOD
- Assinatura: Assinatura PKI com certificados CSCA e DS
- Validade e revogação do certificado
Se a verificação SOD for bem-sucedida, o documento é criptograficamente autêntico.
Etapa 5: Autenticação ativa
Se for compatível com o documento, o aplicativo executa a autenticação ativa. Com isso, verificamos se o chip é original e não foi clonado.
- Desafio → Resposta
- Verificação ECDSA/RSA
- Controle de segurança contra cópias
Se a assinatura estiver correta, o chip é único e não foi copiado.
Etapa 6: Autenticação do chip
A autenticação por chip substitui a autenticação ativa nas identidades eletrônicas modernas. Ela confirma a autenticidade do chip por meio de uma nova troca ECDH.
- ECDH com chave privada de chip
- Novas chaves de sessão
- Prova completa de autenticidade
Ligação ao funcionário
Após a verificação bem-sucedida, todos os dados são automaticamente vinculados ao funcionário:
- Nome, data de nascimento, nacionalidade
- Número do documento, data de validade
- Foto da DG2
- Registro de controle incluindo detalhes PACE/BAC/CAN
O documento aparece automaticamente no sistema de documentos dos funcionários.