web-dev-qa-db-ja.com

オフラインで検証可能な暗号化可能なデータBLOBを送信する大学、州、または政府のIDはありますか?

私は、理想的には写真を使用してユーザーをデジタルで確認し、PIIをそのユーザーにリンクする方法を探しています。

私の使用例は、ユーザーが暗号化されたデータBLOB(たとえば、 パスポートから )を抽出してサーバーに送信し、サーバーがその真正性を検証してアクセスを承認することです。

私の知る限り、NFC /パスポートのアプローチでは、必要な方法でデータを暗号化することはできません。

これをサポートする他の規格、IDカードがあるかどうか知りたいです。ドイツやオランダにも同様のプロジェクトがあるので、このようなものがあると思います。

1

Passportsはデータを暗号化せず、代わりに認証レイヤーとしてBasic Access Controlを使用して、許可なしにPassportデータにアクセスできないようにします。パスポートにアクセスするために必要な認証データはMRZに書き込まれるため、理想的には、パスポートを光学的に読み取って「パスワード」を取得し、RFIDチップを開く必要があります。

ただし、パスポートデータはx509で署名されているため、パスポートを介してユーザーを認証する場合は、個人情報やパスポート写真が不正でないことを確認するために、パスポートデータを検証に使用できます。転送中のデータを暗号化する必要があることに注意してください。また、静的認証のみを行う場合、誰かがパスポートから詳細をコピーしてサーバーに送信し、ユーザーになりすますことができることにも注意してください。

ただし、パスポートは、パスポートがコピーされていないことを確認するために、パスポートのチャレンジレスポンス認証を行う動的認証の形式もサポートしますが、サーバーの積極的な協力が必要です。たとえば、サーバーはリンクを介してパスポートと積極的に通信する必要がありますたとえば、NFCの携帯電話は、「サインアップ」プロセス中に数秒でパスポートに対して保持されます。基本的に、パスポートは、に埋め込まれている証明書を使用してチャレンジに署名します。パスポート。これにより、応答が正しく署名されていることを確認できます。署名に使用される証明書は、ICAOルートに対して確認できる静的証明書によって署名されています。

携帯電話は、誰でもパスポートを使ってサービスにサインアップできる優れたリソースになる可能性があります。彼らはカメラでMRZを撮影し、サーバーがパスポートと通信してその真正性を確認している間、電話をパスポートにかざし、サインアップが完了します。その後、ユーザーの写真と名前のみを保存すると思います。

セキュリティ要件によっては、静的認証で十分な場合があります。

パスワード自体を署名または暗号化アクティビティに使用することはできないため、たとえば、ユーザーがパスポートを使用して署名または暗号化できるようにする場合は、ユーザーのキーを作成してリンクする必要があります。ユーザーに。

2