एनएफसी ई-आईडी सुरक्षा को समझना: बीएसी कुंजी व्युत्पत्ति का अनावरण (HI)

मौलिक सुरक्षाबीएसी (बेसिक एक्सेस कंट्रोल) कुंजी व्युत्पत्ति एनएफसी ई-आईडी के लिए सुरक्षित डेटा एक्सेस की आधारशिला है, जो संवेदनशील चिप डेटा को अनधिकृत पढ़ने से रोकती है।

विश्वास के मूल के रूप में एमआरजेडपासपोर्ट या आईडी कार्ड पर मशीन रीडेबल ज़ोन (एमआरजेड) आवश्यक है; इसके डेटा (दस्तावेज़ संख्या, जन्म तिथि, समाप्ति तिथि) का उपयोग क्रिप्टोग्राफिक कुंजियाँ उत्पन्न करने के लिए किया जाता है।

क्रिप्टोग्राफिक प्रक्रियाकुंजी व्युत्पत्ति में एन्क्रिप्टेड संचार के लिए सत्र कुंजियाँ में एमआरजेड डेटा को बदलने के लिए विशिष्ट सुरक्षित हैशिंग एल्गोरिदम (जैसे SHA-1) और कुंजी व्युत्पत्ति फ़ंक्शन शामिल हैं।

आईसीएओ 9303 मानकबीएसी आईसीएओ 9303 द्वारा अनिवार्य है, जो वैश्विक अंतरसंचालनीयता और इलेक्ट्रॉनिक मशीन रीडेबल ट्रैवल डॉक्यूमेंट्स (ईएमआरटीडी) के लिए एक मानकीकृत सुरक्षा तंत्र सुनिश्चित करता है।

डिजिटल पहचान की दुनिया में, ई-पासपोर्ट और राष्ट्रीय आईडी कार्ड जैसे एनएफसी-सक्षम इलेक्ट्रॉनिक पहचान दस्तावेजों (ई-आईडी) की सुरक्षा सर्वोपरि है। इन दस्तावेजों में एक माइक्रोचिप पर संग्रहीत संवेदनशील व्यक्तिगत डेटा होता है, और इस जानकारी को अनधिकृत पहुंच से बचाना एक महत्वपूर्ण चुनौती है। यहीं पर बेसिक एक्सेस कंट्रोल (बीएसी) की भूमिका आती है, विशेष रूप से इसकी मौलिक प्रक्रिया: बीएसी कुंजी व्युत्पत्ति।

बीएसी ई-आईडी के लिए रक्षा की पहली पंक्ति है, एक सुरक्षा तंत्र जिसे अंतर्राष्ट्रीय नागरिक उड्डयन संगठन (आईसीएओ) ने अपने डॉक 9303 मानक में अनिवार्य किया है। यह ई-आईडी चिप और एक पढ़ने वाले उपकरण के बीच एक सुरक्षित संचार चैनल स्थापित करता है, यह सुनिश्चित करता है कि केवल अधिकृत पाठक ही चिप की सामग्री तक पहुंच सकते हैं। बीएसी की प्रभावशीलता के केंद्र में क्रिप्टोग्राफिक कुंजियों को व्युत्पन्न करने की सावधानीपूर्वक प्रक्रिया है, जिसे हम विस्तार से देखेंगे।

बीएसी कुंजी व्युत्पत्ति में मशीन रीडेबल ज़ोन (एमआरजेड) की भूमिका

बीएसी कुंजी व्युत्पत्ति की यात्रा प्रत्येक ई-आईडी के एक साधारण घटक से शुरू होती है: मशीन रीडेबल ज़ोन (एमआरजेड)। यह पहचान दस्तावेज़ के बायोडाटा पृष्ठ के निचले भाग में मुद्रित दो या तीन-पंक्ति का अल्फ़ान्यूमेरिक कोड है। जबकि यह सादे पाठ के रूप में दिखाई देता है, एमआरजेड सुरक्षित संचार प्रोटोकॉल शुरू करने के लिए आवश्यक महत्वपूर्ण सार्वजनिक जानकारी रखता है।

विशेष रूप से, एमआरजेड से डेटा के तीन टुकड़े उपयोग किए जाते हैं:

1. दस्तावेज़ संख्या: यात्रा दस्तावेज़ का अद्वितीय पहचानकर्ता।
2. जन्म तिथि (डीओबी): धारक की जन्म तिथि YYMMDD प्रारूप में।
3. समाप्ति तिथि (डीओई): दस्तावेज़ की समाप्ति तिथि YYMMDD प्रारूप में।

ये तीन डेटा तत्व इसलिए चुने गए हैं क्योंकि वे दस्तावेज़ पर ही सार्वजनिक रूप से उपलब्ध हैं, जिससे एक वैध पाठक उन्हें प्राप्त कर सकता है, फिर भी वे प्रत्येक व्यक्तिगत दस्तावेज़ के लिए अद्वितीय कुंजियों का एक सेट उत्पन्न करने के लिए पर्याप्त विशिष्ट हैं। इन इनपुट में कोई भी विसंगति सुरक्षित चैनल स्थापित करने में विफलता का कारण बनेगी, इस प्रकार चिप के डेटा की रक्षा होगी।

क्रिप्टोग्राफिक प्रक्रिया: बीएसी कुंजियाँ कैसे व्युत्पन्न की जाती हैं

बीएसी कुंजी व्युत्पत्ति के लिए क्रिप्टोग्राफिक प्रक्रिया दो आवश्यक कुंजियाँ उत्पन्न करने के लिए डिज़ाइन की गई एक मानकीकृत प्रक्रिया है: सममित सिफर कुंजी (K_ENC) और संदेश प्रमाणीकरण कोड कुंजी (K_MAC)। इन कुंजियों का उपयोग तब पाठक और ई-आईडी चिप के बीच सभी बाद के संचार को एन्क्रिप्ट और प्रमाणित करने के लिए किया जाता है।

व्युत्पत्ति में कई चरण शामिल हैं, जैसा कि आईसीएओ 9303 भाग 11 और प्रासंगिक क्रिप्टोग्राफिक मानकों द्वारा परिभाषित किया गया है:

1. एमआरजेड डेटा का संयोजन: तीन एमआरजेड डेटा तत्वों (दस्तावेज़ संख्या, डीओबी, डीओई) को पहले संसाधित किया जाता है। इन क्षेत्रों से जुड़े किसी भी चेक अंक को शामिल किया जाता है, और यदि आवश्यक हो तो एक विशिष्ट लंबाई तक पहुंचने के लिए पैडिंग लागू की जा सकती है (उदाहरण के लिए, यदि दस्तावेज़ संख्या 9 अंकों से कम है तो '<' वर्णों के साथ पैड किया जाता है)।

2. SHA-1 के साथ हैशिंग: संयुक्त और पैडेड एमआरजेड डेटा को तब एक सुरक्षित हैशिंग एल्गोरिदम, आमतौर पर SHA-1 (सिक्योर हैश एल्गोरिदम 1) में फीड किया जाता है। यह एक 160-बिट (20-बाइट) हैश मान उत्पन्न करता है, जिसे अक्सर K_seed के रूप में संदर्भित किया जाता है।

   उदाहरण:
   K_seed = SHA-1(DocumentNumber && DocumentNumberCheckDigit && DateOfBirth && DateOfBirthCheckDigit && DateOfExpiry && DateOfExpiryCheckDigit)

3. कुंजी व्युत्पत्ति फ़ंक्शन (केडीएफ): K_seed को K_ENC और K_MAC उत्पन्न करने के लिए एक कुंजी व्युत्पत्ति फ़ंक्शन का उपयोग करके आगे संसाधित किया जाता है। इसमें आमतौर पर विशिष्ट स्थिरांक (जैसे, '00000001' और '00000002') के साथ एक क्रिप्टोग्राफिक फ़ंक्शन (जैसे सीबीसी मोड में ट्रिपल डीईएस) के इनपुट के रूप में K_seed का उपयोग करना शामिल है ताकि 128-बिट (16-बाइट) कुंजियाँ उत्पन्न हो सकें।

   उदाहरण (सरलीकृत):
   K_ENC = derive_key(K_seed, constant_1)
K_MAC = derive_key(K_seed, constant_2)

ये व्युत्पन्न कुंजियाँ क्षणभंगुर होती हैं, जिसका अर्थ है कि वे प्रत्येक सत्र के लिए उत्पन्न होती हैं और पाठक या चिप पर कभी संग्रहीत नहीं होती हैं। यह फॉरवर्ड सीक्रेसी सुनिश्चित करता है: भले ही एक सत्र कुंजी से समझौता किया जाए, इसका उपयोग पिछले या भविष्य के सत्रों को डिक्रिप्ट करने के लिए नहीं किया जा सकता है।

बेसिक एक्सेस कंट्रोल: संचार चैनल को सुरक्षित करना

एक बार जब K_ENC और K_MAC पाठक और ई-आईडी चिप दोनों द्वारा सफलतापूर्वक व्युत्पन्न हो जाते हैं (पाठक द्वारा सत्यापन के लिए चिप को अपनी व्युत्पन्न कुंजियाँ प्रस्तुत करने के बाद), एक सुरक्षित संदेश चैनल स्थापित हो जाता है। यह चैनल दो महत्वपूर्ण सुरक्षा सेवाएँ प्रदान करता है:

1. गोपनीयता (एन्क्रिप्शन): पाठक और चिप के बीच आदान-प्रदान किया गया सभी डेटा K_ENC का उपयोग करके एन्क्रिप्ट किया जाता है। यह ईव्सड्रॉपिंग को रोकता है और सुनिश्चित करता है कि संवेदनशील जानकारी, जैसे बायोमेट्रिक डेटा (चेहरे की छवि, फिंगरप्रिंट), अनधिकृत पार्टियों द्वारा इंटरसेप्ट नहीं की जा सकती है। यह व्यक्ति की गोपनीयता की रक्षा के लिए महत्वपूर्ण है।

2. अखंडता और प्रामाणिकता (एमएसी): संदेशों को K_MAC का उपयोग करके प्रमाणित किया जाता है। प्रत्येक संदेश के लिए एक संदेश प्रमाणीकरण कोड (एमएसी) की गणना की जाती है, यह सुनिश्चित करते हुए कि संचरण के दौरान डेटा के साथ छेड़छाड़ नहीं की गई है और यह एक वैध स्रोत (या तो चिप या अधिकृत पाठक) से उत्पन्न होता है। यह डेटा हेरफेर और स्पूफिंग हमलों को रोकता है।

इस सुरक्षित चैनल की स्थापना चिप पर किसी भी संवेदनशील डेटा तत्वों तक पहुंचने के लिए एक शर्त है। बेसिक एक्सेस कंट्रोल प्रोटोकॉल को सफलतापूर्वक पूरा किए बिना, चिप संरक्षित जानकारी प्रसारित करने से इनकार कर देगी। यह मजबूत तंत्र ही कारण है कि एमआरजेड डेटा को जाने बिना एनएफसी-सक्षम फोन के साथ ई-आईडी को टैप करने से कोई संवेदनशील व्यक्तिगत जानकारी प्राप्त नहीं होगी।

डिडिट एनएफसी ई-आईडी सुरक्षा में कैसे मदद करता है

डिडिट सुरक्षित पहचान सत्यापन की पेचीदगियों को समझता है, खासकर जब एनएफसी ई-आईडी जैसी उन्नत तकनीकों से निपट रहा हो। हमारा मंच एनएफसी दस्तावेज़ पढ़ने का समर्थन करता है, जो डेटा सुरक्षा और प्रामाणिकता के उच्चतम स्तर को सुनिश्चित करने के लिए मानकीकृत बीएसी कुंजी व्युत्पत्ति प्रक्रिया का लाभ उठाता है। एनएफसी क्षमताओं को एकीकृत करके, डिडिट प्रदान करता है:

• सरकारी-ग्रेड आश्वासन: हम क्रिप्टोग्राफिक चिप डेटा पढ़ते हैं, जो अकेले दृश्य निरीक्षण से उच्च स्तर का आश्वासन प्रदान करता है, क्योंकि यह आईसीएओ मानकों के अनुसार चिप के डिजिटल हस्ताक्षर को मान्य करता है।
• बढ़ी हुई धोखाधड़ी का पता लगाना: बीएसी द्वारा स्थापित सुरक्षित चैनल परिष्कृत धोखाधड़ी के प्रयासों का पता लगाने में मदद करता है, क्योंकि चिप डेटा के किसी भी हेरफेर या अनधिकृत पहुंच को रोका जाता है।
• सुव्यवस्थित अनुपालन: हमारा समाधान आईसीएओ 9303 जैसे अंतर्राष्ट्रीय मानकों का पालन करता है, जिससे व्यवसायों को पहचान सत्यापन और एंटी-मनी लॉन्ड्रिंग (एएमएल) के लिए कठोर नियामक आवश्यकताओं को पूरा करने में मदद मिलती है।
• सहज उपयोगकर्ता अनुभव: जबकि अंतर्निहित सुरक्षा जटिल है, डिडिट का मंच इस जटिलता को सारगर्भित करता है, जो अंतिम-उपयोगकर्ताओं के लिए एक सहज और सहज सत्यापन प्रवाह प्रदान करता है, आवश्यक डेटा को जल्दी से कैप्चर और मान्य करता है।

हमारे व्यापक पहचान सत्यापन सूट के हिस्से के रूप में एनएफसी दस्तावेज़ पढ़ने की पेशकश करके, डिडिट व्यवसायों को अद्वितीय सुरक्षा और विश्वसनीयता के साथ पहचान सत्यापित करने, तेजी से डिजिटल दुनिया में विश्वास बनाने का अधिकार देता है।

शुरू करने के लिए तैयार हैं?

जानें कि डिडिट के उन्नत पहचान सत्यापन समाधान, जिनमें एनएफसी ई-आईडी रीडिंग शामिल है, आपकी सुरक्षा और अनुपालन स्थिति को कैसे बढ़ा सकते हैं। अधिक जानकारी के लिए हमारे उत्पाद पृष्ठ पर जाएं या व्यक्तिगत डेमो के लिए हमसे संपर्क करें। आप हमारी तकनीक का प्रत्यक्ष अनुभव करने के लिए हमारे डेमो सेंटर को भी आजमा सकते हैं।

अक्सर पूछे जाने वाले प्रश्न

एनएफसी ई-आईडी में बीएसी कुंजी व्युत्पत्ति क्या है?

बीएसी कुंजी व्युत्पत्ति एनएफसी ई-आईडी (जैसे ई-पासपोर्ट) में सममित एन्क्रिप्शन और प्रमाणीकरण कुंजियाँ उत्पन्न करने के लिए उपयोग की जाने वाली क्रिप्टोग्राफिक प्रक्रिया है। ये कुंजियाँ दस्तावेज़ के मशीन रीडेबल ज़ोन (एमआरजेड) में पाए गए विशिष्ट डेटा से प्राप्त होती हैं और ई-आईडी चिप और एक पाठक के बीच एक सुरक्षित, एन्क्रिप्टेड संचार चैनल स्थापित करने के लिए उपयोग की जाती हैं, जो बेसिक एक्सेस कंट्रोल और संवेदनशील डेटा की सुरक्षा सुनिश्चित करती हैं।

एमआरजेड बीएसी कुंजी व्युत्पत्ति के लिए क्यों महत्वपूर्ण है?

एमआरजेड (मशीन रीडेबल ज़ोन) बीएसी कुंजी व्युत्पत्ति के लिए महत्वपूर्ण है क्योंकि इसमें सार्वजनिक, फिर भी अद्वितीय, डेटा (दस्तावेज़ संख्या, जन्म तिथि और समाप्ति तिथि) होता है जो कुंजी पीढ़ी प्रक्रिया के लिए इनपुट के रूप में कार्य करता है। यह सुनिश्चित करता है कि केवल भौतिक दस्तावेज़ और उसके एमआरजेड तक पहुंच वाला एक पाठक ही चिप की संरक्षित सामग्री को अनलॉक करने के लिए सही कुंजियाँ प्राप्त कर सकता है।

बेसिक एक्सेस कंट्रोल (बीएसी) क्या सुरक्षा लाभ प्रदान करता है?

बेसिक एक्सेस कंट्रोल (बीएसी) दो प्राथमिक सुरक्षा लाभ प्रदान करता है: गोपनीयता और अखंडता। गोपनीयता व्युत्पन्न कुंजियों का उपयोग करके संचार चैनल के एन्क्रिप्शन के माध्यम से प्राप्त की जाती है, जिससे ईव्सड्रॉपिंग को रोका जा सके। अखंडता को एक संदेश प्रमाणीकरण कोड (एमएसी) के साथ संदेशों को प्रमाणित करके सुनिश्चित किया जाता है, जो डेटा के साथ छेड़छाड़ को रोकता है और संदेशों के मूल की पुष्टि करता है। यह ई-आईडी चिप पर संवेदनशील डेटा को अनधिकृत पहुंच से बचाता है।

क्या बीएसी कुंजी व्युत्पत्ति अभी भी आधुनिक हमलों के खिलाफ सुरक्षित है?

जबकि बीएसी सुरक्षा की एक मूलभूत परत प्रदान करता है, कुंजी व्युत्पत्ति और एन्क्रिप्शन के लिए SHA-1 और ट्रिपल डीईएस पर इसकी निर्भरता का मतलब है कि इसे PACE (पासवर्ड प्रमाणित कनेक्शन स्थापना) जैसे नए प्रोटोकॉल की तुलना में आधुनिक क्रिप्टोग्राफिक हमलों के खिलाफ कम मजबूत माना जाता है। आईसीएओ 9303 बढ़ी हुई सुरक्षा के लिए PACE को लागू करने की सिफारिश करता है, हालांकि बीएसी एनएफसी ई-आईडी सुरक्षा के लिए व्यापक रूप से उपयोग और कानूनी रूप से अनुपालन योग्य बना हुआ है।