Zoveel documenten, zoveel soorten controle, maar wat betekenen al die termen nu eigenlijk

Om te beginnen maken we onderscheid tussen het controleren van de verkregen data en het controleren van de identiteitsdocumenten zelf.

Verkregen data

data die een ID-Scanner verzamelt vanaf het identiteitsdocument.

De data die de ID-Scanner van een identiteitsdocument leest kan op verschillende niveaus en manieren worden gecontroleerd. De meest voorkomende diepen we hier uit.
Het document zelf

de bron van de data; het identiteitsdocument

Het aangeboden identiteitsdocument is de bron van de verkregen data. Controle van het fysieke identiteitsdocument betekent controle van de echtheidskenmerken. Bekijk de pagina over echtheidscontrole voor meer informatie.

Belangrijk om te weten: De controle van data verkregen door de ID-Scanner, zegt niet altijd wat over de echtheid van de bron van die data (het aangeboden document).

Team van RestPort Technologies

Geldigheidscontrole Controle of het identiteitsdocument verlopen is.

Bij geldigheidscontrole wordt de door de ID-Scanner gelezen verloop datum van het identiteitsdocument vergeleken met de huidige datum.

Na controle weet men:

  • of het identiteitsdocument al dan niet verlopen is op het moment van scannen.

MRZcontrole Controle van de leesbare MRZ op het identiteitsdocument.

De MRZ op het identiteitsdocument bestaat uit 2 of 3 regels OCR tekst. Elke regel omvat een aantal elementen welke informatie bevatten over de houder of het identiteitsdocument. Een deel van deze elementen, evenals de gehele MRZ, wordt gevolgd door een controle getal.

Deze controlegetallen zijn een 'checksum' over de voorgaande data. Een gewogen rekenproef over de getallen die resulteert in een uitkomst. De software verifieert of de controlegetallen overeenkomen met de rest van de data in de MRZ.

mrz controle 500

Na controle weet men:

  • is de MRZ data correct gelezen vanaf het identiteitsdocument.
  • of is de MRZ data op het identiteitsdocument mogelijk veranderd.

RFIDchipcontrole Controle van de data op de chip in het identiteitsdocument.

Controle van de data op een RFID chip kent verschillende niveaus:

Basic Access Control (BAC)

De ID-Scanner maakt een tijdelijke encryptie sleutel van een deel van de MRZ informatie. Vervolgens spreken de ID-Scanner en de chip, via een challenge / response een communicatie encryptie key af voor deze uitlees sessie.

Passieve Authenticatie (PA)

Op de chip is een lijst van hashes en een hash algoritme opgeslagen. Deze is ondertekend met een digitale handtekening. Voor elke datagroep kan de gewenste hash nagerekend worden en vergeleken met de op de chip aanwezige hash.

Actieve Authenticatie (AA)

Dit mechanisme maakt gebruik van een challenge-response protocol op basis van asymmetrische cryptografie. Tijdens de inspectie, gebruikt de chip zijn (onvoorspelbare) private sleutel om een willekeurig, door het controlesysteem gekozen, bitreeks te ondertekenen. Het inspectiesysteem verifieert de signatuur met de publieke sleutel die is gelezen uit de chip. De authenticiteit van de publieke sleutel wordt beschermd door de passieve authenticatie.

chip controle 500

Na controle weet men:

  • BAC - De originele MRZ data kon worden gebruikt om succesvol verbinding te maken met de chip een een encryptie sleutel voor communicatie af te spreken.
  • PA - De integriteit van de data in de data groepen is gewaarborgd t.o.v. de in de chip opgeslagen hashes over die data Let Op! dit beschermt niet tegen gekloonde vervalsingen waar zowel de datagroepen als de opgeslagen hashes beide op de juiste manier vervalst zijn.
  • AA - De chip is niet gekloond, de verborgen private sleutel is bewezen correct door uitvoering van de geslaagde challenge response.