Verificarea identității prin ICAO și NFC
Verificare completă a documentelor de identitate conform ICAO 9303. Include scanare MRZ, citire cip NFC, PACE/BAC/CAN, validare SOD, autentificare pasivă, autentificare activă și autentificare cip.
De ce verificarea identității ICAO/NFC?
ProjectAssistant integrează o implementare completă ICAO 9303 pentru verificarea pașapoartelor și a cărților de identitate. Prin scanare MRZ și comunicare NFC, date precum numele, data nașterii, naționalitatea, numărul documentului și fotografia sunt citite direct din cipul securizat. Astfel se confirmă autenticitatea documentului de identitate în conformitate cu cerințele legale de identificare și documentare.
- Fără introducere manuală — toate datele sunt preluate automat din DG1 și DG2
- Control conform standardelor de securitate ICAO 9303
- Detectarea falsificărilor prin SOD și lanțuri hash
- Suport pentru PACE, CAN, BAC
- Controlul calității datelor fotografice și documentare
Pasul 1: Scanarea MRZ
Verificarea începe cu scanarea zonei lizibile de către mașină (MRZ) a unui card de identitate sau pașaport. Aplicația mobilă utilizează o suprapunere live a camerei cu detectare automată a:
- Tip MRZ (TD1, TD2, TD3)
- Validarea sumelor de control
- Derivare CAN pentru PACE
- Numărul documentului, data nașterii, data expirării
Pe baza MRZ, se calculează cheile pentru BAC sau PACE și începe citirea NFC.
Pasul 2: Acces NFC (PACE / BAC / CAN)
Aplicația încearcă întotdeauna mai întâi PACE — acesta este modern, mai sigur și mai rapid. Dacă documentul nu acceptă PACE, sistemul revine la BAC sau CAN.
Ordinea protocoalelor
- PACE (preferat) – protocoale moderne, ECDH/ECDSA, mai sigure
- CAN – prin intermediul numărului de acces al cardului (în cazul cardurilor de identitate UE)
- BAC – pașapoarte și acte de identitate vechi
Flux PACE (GA1 → GA4)
- GA1: Începe acordul privind cheia (maparea OID → curbă)
- GA2: Schimb ECDH
- GA3: Mapare nonce + autentificare reciprocă
- GA4: Derivarea cheii de mesagerie securizată
Rezultat: cheie ENC și cheie MAC cu care sunt securizate toate APDU-urile următoare.
Pasul 3: Citirea grupurilor de date (DG1-DG15)
Aplicația citește toate grupurile de date necesare de pe cip. În implementarea dvs., se citesc, printre altele, DG1, DG2, DG7, DG11 și DG12, în funcție de țară și disponibilitate.
- DG1 - Date care pot fi citite automat (nume, data nașterii, numărul documentului)
- DG2 - Scanare facială / fotografie
- DG7 - Semnături (în cazul anumitor țări)
- DG11 - Date personale suplimentare
- DG12 - Informații despre document
- SOD - Obiect de securitate a documentelor (hash și semnătură rădăcină)
Datele sunt mapate automat în modelul dvs. EmployeeIdentityModel.
Pasul 4: Verificarea SOD și autentificarea pasivă
SOD conține valorile hash ale fiecărui grup de date și o semnătură digitală a statului emitent. ProjectAssistant validează:
- Lanț hash: DG1 hash = SOD hash
- Semnătură: semnătură PKI cu certificate CSCA și DS
- Valabilitatea certificatului și revocarea
Dacă verificarea SOD are succes, documentul este autentic din punct de vedere criptografic.
Pasul 5: Autentificare activă
Dacă este acceptat de document, aplicația execută autentificarea activă. Astfel verificăm dacă cipul este original și nu a fost clonat.
- Provocare → Răspuns
- Verificare ECDSA / RSA
- Control de securitate împotriva copiilor
Dacă semnătura este corectă, cipul este unic și nu a fost copiat.
Pasul 6: Autentificarea cipului
Autentificarea cipului înlocuiește autentificarea activă în cazul eID-urilor moderne. Aceasta confirmă autenticitatea cipului printr-un nou schimb ECDH.
- ECDH cu cheie privată cu cip
- Chei de sesiune noi
- Dovadă completă de autenticitate
Legătură cu angajatul
După verificarea cu succes, toate datele sunt asociate automat cu angajatul:
- Nume, data nașterii, cetățenie
- Număr document, dată de expirare
- Foto din DG2
- Jurnal de control, inclusiv detalii PACE/BAC/CAN
Documentul apare automat în sistemul de documente al angajaților.