Kontakt FörsäljningRegistrera dig gratis

ID-kontroll via ICAO & NFC

Fullständig kontroll av identitetshandlingar enligt ICAO 9303. Inkluderar MRZ-skanning, NFC-chipavläsning, PACE/BAC/CAN, SOD-validering, passiv autentisering, aktiv autentisering och chipautentisering.

Varför ICAO/NFC-identitetskontroll?

ProjectAssistant integrerar en fullständig ICAO 9303-implementering för verifiering av pass och ID-kort. Genom MRZ-skanning och NFC-chipkommunikation läses uppgifter som namn, födelsedatum, nationalitet, dokumentnummer och foto direkt från det säkrade chippet. Detta bekräftar dokumentets äkthet i enlighet med lagstadgade krav på identifikation och dokumentation.

  • Ingen manuell inmatning – alla data hämtas automatiskt från DG1 och DG2
  • Kontroll enligt ICAO 9303 säkerhetsstandarder
  • Detektering av förfalskningar via SOD och hashkedja
  • Stöd för PACE, CAN, BAC
  • Kvalitetskontroll av foto- och dokumentuppgifter

Steg 1: MRZ-skanning

Kontrollen börjar med att skanna den maskinläsbara zonen (MRZ) på ett ID-kort eller pass. Mobilappen använder en live-kameraöverläggning med automatisk detektering av:

  • MRZ-typ (TD1, TD2, TD3)
  • Kontrollsummevalidering
  • CAN-avledning för PACE
  • Dokumentnummer, födelsedatum, giltighetstid

Baserat på MRZ beräknas nycklarna för BAC eller PACE och NFC-avläsningen startar.

Steg 2: NFC-åtkomst (PACE / BAC / CAN)

Appen försöker alltid först med PACE – det är modernt, säkrare och snabbare. Om dokumentet inte stöder PACE faller systemet tillbaka på BAC eller CAN.

Ordningsföljd för protokoll

  • PACE (föredraget) – moderna protokoll, ECDH/ECDSA, säkrare
  • CAN – via kortåtkomstnummer (för EU-ID-kort)
  • BAC – äldre pass och ID-kort

PACE-flöde (GA1 → GA4)

  1. GA1: Starta nyckelöverenskommelse (mappning OID → kurva)
  2. GA2: ECDH-utbyte
  3. GA3: Nonce-mapping + ömsesidig autentisering
  4. GA4: Säker nyckelgenerering för meddelanden

Resultat: ENC-nyckel och MAC-nyckel som används för att säkra alla efterföljande APDU:er.

Steg 3: Läsning av datagrupper (DG1-DG15)

Appen läser alla nödvändiga datagrupper från chipet. I din implementering läses bland annat DG1, DG2, DG7, DG11 och DG12 beroende på land och tillgänglighet.

  • DG1 – Maskinläsbar data (namn, födelsedatum, dokumentnummer)
  • DG2 - Ansiktsskanning/foto
  • DG7 – Signaturer (i vissa länder)
  • DG11 – Ytterligare personuppgifter
  • DG12 - Dokumentinfo
  • SOD – Dokument säkerhetsobjekt (hash & signaturrot)

Datamappningen sker automatiskt till din EmployeeIdentityModel.

Steg 4: SOD-verifiering och passiv autentisering

SOD innehåller hashvärden för varje datagrupp och en digital signatur från utgivarstaten. ProjectAssistant validerar:

  • Hashkedja: DG1 hash = SOD hash
  • Signatur: PKI-signering med CSCA- och DS-certifikat
  • Certifikatets giltighet och återkallande

Om SOD-kontrollen lyckas är dokumentet kryptografiskt autentiskt.

Steg 5: Aktiv autentisering

Om dokumentet stöder det, utför appen aktiv autentisering. På så sätt kontrollerar vi att chipet är originalt och inte klonat.

  • Utmaning → Svar
  • ECDSA/RSA-verifiering
  • Säkerhetskontroll mot kopior

Om signaturen stämmer är chipet unikt och inte kopierat.

Steg 6: Chipautentisering

Chip Authentication ersätter Active Authentication i moderna eID:er. Det bekräftar chipets äkthet via en ny ECDH-utbyte.

  • ECDH med chip-privat nyckel
  • Nya sessionsnycklar
  • Fullständigt äkthetsbevis

Länk till medarbetare

Efter lyckad verifiering kopplas alla uppgifter automatiskt till medarbetaren:

  • Namn, födelsedatum, nationalitet
  • Dokumentnummer, giltighetsdatum
  • Foto från DG2
  • Kontrollogg inklusive PACE/BAC/CAN-detaljer

Dokumentet visas automatiskt i medarbetarnas dokumentsystem.