¿Existe algún ID de universidad, estado o gobierno que transmita un blob de datos encriptable y verificable sin conexión?

Question

¿Existe algún ID de universidad, estado o gobierno que transmita un blob de datos encriptable y verificable sin conexión?

#1 de sebastian nielsen (2 votos)

1

Estoy buscando cualquier forma de verificar digitalmente a un usuario, idealmente con una foto y un enlace de PII a ese usuario.

Mi caso de uso es que un usuario extraerá y enviará un blob de datos cifrados (por ejemplo, de un pasaporte ) a mi servidor, y mi servidor verificará su autenticidad y aprobará el acceso.

Por lo que puedo decir, el enfoque de NFC / pasaporte no encripta realmente los datos de una manera que funcione de la manera que lo necesito.

Tengo curiosidad por saber si hay otros estándares, tarjetas de identificación que lo admitan. Supongo que Alemania o los Países Bajos tienen algo como esto, ya que tienen otros proyectos similares.

physical-access encryption identity identification

pregunta random65537 13.03.2015 - 21:02

fuente

1 respuesta

Lea otras preguntas en las etiquetas physical-access encryption identity identification

Migre una clave x509 usando KSP (CNG) a CSP (CryptoAPI) en Windows Usar scrypt para cifrar datos en una variable de sesión

score 2 · Answer 1

Los pasaportes no cifran los datos, en su lugar utilizan el control de acceso básico, como capa de autenticación, para evitar el acceso a los datos del pasaporte sin autorización. Los datos de autenticación necesarios para acceder al pasaporte están escritos en la MRZ, por lo que lo ideal sería leer el pasaporte de forma óptica para obtener la "contraseña" para abrir el chip RFID.

Sin embargo, los datos del pasaporte están firmados x509, por lo que aún puede usarlos para la verificación si desea autenticar a un usuario a través de su pasaporte, para garantizar que la información personal y la fotografía del pasaporte no sean fraudulentas. Tenga en cuenta que debe cifrar los datos en tránsito. Tenga en cuenta también que alguien puede copiar los detalles del pasaporte y enviarlos a su servidor para hacerse pasar por un usuario si solo realiza la autenticación estática.

Sin embargo, los pasaportes también admiten una forma de autenticación dinámica para realizar la autenticación de desafío-respuesta del pasaporte, para garantizar que no se copie, pero eso requiere una cooperación activa de su servidor, por ejemplo, su servidor debe hablar activamente con el pasaporte. a través de un enlace, por ejemplo, un teléfono móvil con NFC que se coloca contra el pasaporte en varios segundos durante el proceso de "registro". Básicamente, es el pasaporte que firma su impugnación usando un certificado que está incrustado en el pasaporte y, por lo tanto, puede verificar que la respuesta esté correctamente firmada, y el certificado utilizado para firmar está firmado por el certificado estático que puede verificar con la raíz de la OACI. .

Un teléfono móvil puede ser un excelente recurso para permitir que cualquier persona se suscriba a su servicio con un pasaporte. Solo toman una foto de la MRZ con la cámara, luego sostienen el teléfono contra el pasaporte mientras el servidor habla con el pasaporte para verificar su autenticidad y, a continuación, se completa el registro. Supongo que luego solo guardas la foto y el nombre del usuario.

Dependiendo de sus requisitos de seguridad, podría ser suficiente con la autenticación estática.

Tenga en cuenta que la contraseña no se puede usar por sí misma para ninguna actividad de firma o cifrado, por lo que si, por ejemplo, desea que el usuario pueda usar su pasaporte para firmar o cifrar cualquier cosa, deberá crear una clave para el usuario. y vincularlo al usuario.