Esiste un ID college, statale o governativo che trasmette un blob di dati non crittografabile in linea?

1

Sto cercando un modo per verificare digitalmente un utente, idealmente con una foto e collegare le PII a quell'utente.

Il mio caso d'uso è che un utente estrarrà e invierà un blob di dati crittografato (ad esempio da un passaporto ) al mio server, e il mio server verificherà la sua autenticità e approverà l'accesso.

Da quello che posso dire, l'approccio NFC / passaporto in realtà non crittografa i dati in un modo che funziona nel modo in cui ho bisogno.

Sono curioso di sapere se ci sono altri standard, carte d'identità che supportano questo. Presumo che la Germania o l'Olanda abbiano qualcosa di simile, dal momento che hanno altri progetti simili.

    
posta random65537 13.03.2015 - 21:02
fonte

1 risposta

2

I passaporti non crittografano i dati, ma utilizza il controllo di accesso di base, come livello di autenticazione, per impedire l'accesso ai dati del passaporto senza autorizzazione. I dati di autenticazione necessari per accedere al passaporto sono scritti nella MRZ, quindi idealmente, avresti bisogno di leggere otticamente il passaporto per ottenere la "password" per aprire il chip RFID.

Tuttavia, i dati del passaporto sono firmati x509, quindi puoi ancora utilizzarlo per la verifica se desideri autenticare un utente tramite il suo passaporto, per garantire che le informazioni personali e le foto del passaporto non siano fraudolente. Si noti che è necessario crittografare i dati in transito. Nota anche che qualcuno può copiare i dettagli dal passaporto e inviarlo al tuo server per impersonare un utente se fai solo l'autenticazione statica.

Tuttavia, i passaporti supportano anche una forma di autenticazione dinamica per eseguire l'autenticazione challenge-response del passaporto, per garantire che non sia stata copiata, ma che richiede una collaborazione attiva del server, ad esempio il server deve comunicare attivamente con il passaporto tramite un collegamento, ad esempio un telefono cellulare con NFC che viene tenuto contro il passaporto in diversi secondi durante il processo di "registrazione". Fondamentalmente, è il passaporto che firma la tua sfida usando un certificato che è incorporato nel passaporto, e quindi puoi verificare che la risposta sia firmata correttamente e il certificato utilizzato per la firma sia firmato dal certificato statico che puoi verificare con la radice ICAO .

Un telefono cellulare può essere una risorsa eccellente per consentire a chiunque di registrarsi per il servizio con un passaporto. Fotografano semplicemente la MRZ con la fotocamera, poi tengono il telefono contro il passaporto mentre il server parla con il passaporto per verificarne l'autenticità, e quindi la registrazione è completa. Immagino che tu risparmi solo la foto e il nome dell'utente.

A seconda dei requisiti di sicurezza, potrebbe essere sufficiente con l'autenticazione statica.

Si noti che la password non può essere utilizzata da sola per qualsiasi attività di firma o crittografia, quindi se per esempio si desidera che l'utente sia in grado di utilizzare il proprio passaporto per firmare o crittografare qualsiasi cosa, sarà necessario creare una chiave per l'utente e collegalo all'utente.

    
risposta data 14.03.2015 - 07:22
fonte

Leggi altre domande sui tag