Kontakt PredajZaregistrujte sa zadarmo

Kontrola totožnosti prostredníctvom ICAO a NFC

Úplná kontrola identifikačných dokladov podľa ICAO 9303. Vrátane skenovania MRZ, čítania čipov NFC, PACE/BAC/CAN, validácie SOD, pasívnej autentifikácie, aktívnej autentifikácie a autentifikácie čipov.

Prečo kontrola totožnosti ICAO/NFC?

ProjectAssistant integruje úplnú implementáciu ICAO 9303 na overovanie pasov a občianskych preukazov. Pomocou skenovania MRZ a komunikácie NFC sa zo zabezpečeného čipu priamo čítajú údaje ako meno, dátum narodenia, štátna príslušnosť, číslo dokladu a fotografia. Tým sa potvrdzuje pravosť dokladu v súlade s právnymi požiadavkami na identifikáciu a dokumentáciu.

  • Žiadne ručné zadávanie údajov — všetky údaje sa automaticky načítajú z DG1 a DG2.
  • Kontrola podľa bezpečnostných noriem ICAO 9303
  • Detekcia falzifikátov prostredníctvom SOD a hash reťazca
  • Podpora pre PACE, CAN, BAC
  • Kontrola kvality fotografií a údajov v dokumentoch

Krok 1: Skenovanie MRZ

Kontrola začína skenovaním strojovo čitateľnej zóny (MRZ) identifikačnej karty alebo pasu. Mobilná aplikácia používa živý kamerový overlay s automatickou detekciou:

  • Typ MRZ (TD1, TD2, TD3)
  • Overovanie kontrolného súčtu
  • CAN derivácia pre PACE
  • Číslo dokumentu, dátum narodenia, dátum platnosti

Na základe MRZ sa vypočítajú kľúče pre BAC alebo PACE a spustí sa čítanie NFC.

Krok 2: Prístup NFC (PACE / BAC / CAN)

Aplikácia vždy najskôr vyskúša PACE – je to moderné, bezpečnejšie a rýchlejšie. Ak dokument nepodporuje PACE, systém prejde na BAC alebo CAN.

Poradie protokolov

  • PACE (preferované) – moderné protokoly, ECDH/ECDSA, bezpečnejšie
  • CAN – prostredníctvom čísla prístupovej karty (v prípade identifikačných kariet EÚ)
  • BAC – staršie pasy a preukazy totožnosti

PACE tok (GA1 → GA4)

  1. GA1: Spustenie dohody o kľúči (mapovanie OID → krivka)
  2. GA2: Výmena ECDH
  3. GA3: Mapovanie nonce + vzájomná autentifikácia
  4. GA4: Odvod kľúča pre zabezpečené zasielanie správ

Výsledok: ENC kľúč a MAC kľúč, ktorými sú zabezpečené všetky nasledujúce APDU.

Krok 3: Čítanie dátových skupín (DG1-DG15)

Aplikácia číta všetky potrebné skupiny údajov z čipu. V tvojej implementácii sa čítajú napríklad DG1, DG2, DG7, DG11 a DG12 v závislosti od krajiny a dostupnosti.

  • DG1 – strojovo čitateľné údaje (meno, dátum narodenia, číslo dokladu)
  • DG2 – Skenovanie tváre / fotografia
  • DG7 – Podpisy (v niektorých krajinách)
  • DG11 – Dodatočné osobné údaje
  • DG12 – Informácie o dokumente
  • SOD – Dokumentový bezpečnostný objekt (hash a podpisový koreň)

Mapovanie údajov sa vykonáva automaticky do vášho EmployeeIdentityModel.

Krok 4: Overenie SOD a pasívne overenie

SOD obsahuje hash hodnoty každej skupiny údajov a digitálny podpis vydávajúceho štátu. ProjectAssistant overuje:

  • Hash reťazec: DG1 hash = SOD hash
  • Podpis: PKI podpis s certifikátmi CSCA a DS
  • Platnosť certifikátu a jeho zrušenie

Ak je kontrola SOD úspešná, dokument je kryptograficky autentický.

Krok 5: Aktívne overenie

Ak to dokument podporuje, aplikácia vykoná aktívnu autentifikáciu. Týmto spôsobom overujeme, či je čip originálny a nie je klonovaný.

  • Výzva → Odpoveď
  • ECDSA / RSA overenie
  • Bezpečnostná kontrola proti kopírovaniu

Ak je podpis správny, čip je jedinečný a nebol skopírovaný.

Krok 6: Overenie čipu

Chip Authentication nahrádza Active Authentication v moderných eID. Potvrdzuje autentickosť čipu prostredníctvom novej výmeny ECDH.

  • ECDH s čipovým súkromným kľúčom
  • Nové kľúče relácie
  • Úplný dôkaz pravosti

Prepojenie so zamestnancom

Po úspešnej overení sa všetky údaje automaticky priradia k zamestnancovi:

  • Meno, dátum narodenia, štátna príslušnosť
  • Číslo dokumentu, dátum platnosti
  • Fotografia z DG2
  • Kontrolný protokol vrátane podrobností PACE/BAC/CAN

Dokument sa automaticky zobrazí v systéme dokumentov zamestnancov.