I passaporti non crittografano i dati, ma utilizza il controllo di accesso di base, come livello di autenticazione, per impedire l'accesso ai dati del passaporto senza autorizzazione. I dati di autenticazione necessari per accedere al passaporto sono scritti nella MRZ, quindi idealmente, avresti bisogno di leggere otticamente il passaporto per ottenere la "password" per aprire il chip RFID.
Tuttavia, i dati del passaporto sono firmati x509, quindi puoi ancora utilizzarlo per la verifica se desideri autenticare un utente tramite il suo passaporto, per garantire che le informazioni personali e le foto del passaporto non siano fraudolente.
Si noti che è necessario crittografare i dati in transito. Nota anche che qualcuno può copiare i dettagli dal passaporto e inviarlo al tuo server per impersonare un utente se fai solo l'autenticazione statica.
Tuttavia, i passaporti supportano anche una forma di autenticazione dinamica per eseguire l'autenticazione challenge-response del passaporto, per garantire che non sia stata copiata, ma che richiede una collaborazione attiva del server, ad esempio il server deve comunicare attivamente con il passaporto tramite un collegamento, ad esempio un telefono cellulare con NFC che viene tenuto contro il passaporto in diversi secondi durante il processo di "registrazione".
Fondamentalmente, è il passaporto che firma la tua sfida usando un certificato che è incorporato nel passaporto, e quindi puoi verificare che la risposta sia firmata correttamente e il certificato utilizzato per la firma sia firmato dal certificato statico che puoi verificare con la radice ICAO .
Un telefono cellulare può essere una risorsa eccellente per consentire a chiunque di registrarsi per il servizio con un passaporto. Fotografano semplicemente la MRZ con la fotocamera, poi tengono il telefono contro il passaporto mentre il server parla con il passaporto per verificarne l'autenticità, e quindi la registrazione è completa. Immagino che tu risparmi solo la foto e il nome dell'utente.
A seconda dei requisiti di sicurezza, potrebbe essere sufficiente con l'autenticazione statica.
Si noti che la password non può essere utilizzata da sola per qualsiasi attività di firma o crittografia, quindi se per esempio si desidera che l'utente sia in grado di utilizzare il proprio passaporto per firmare o crittografare qualsiasi cosa, sarà necessario creare una chiave per l'utente e collegalo all'utente.