Menguak Keamanan eID NFC: Memahami Derivasi Kunci BAC (ID)

Keamanan FundamentalDerivasi kunci BAC (Kontrol Akses Dasar) adalah landasan akses data yang aman untuk eID NFC, mencegah pembacaan tidak sah data chip yang sensitif.

MRZ sebagai Akar KepercayaanZona yang Dapat Dibaca Mesin (MRZ) pada paspor atau kartu identitas sangat penting; datanya (nomor dokumen, tanggal lahir, tanggal kedaluwarsa) digunakan untuk menghasilkan kunci kriptografi.

Proses KriptografiDerivasi kunci melibatkan algoritma hashing aman spesifik (seperti SHA-1) dan fungsi derivasi kunci untuk mengubah data MRZ menjadi kunci sesi untuk komunikasi terenkripsi.

Standar ICAO 9303BAC diamanatkan oleh ICAO 9303, memastikan interoperabilitas global dan mekanisme keamanan standar untuk Dokumen Perjalanan yang Dapat Dibaca Mesin elektronik (eMRTD).

Dalam dunia identitas digital, keamanan dokumen identitas elektronik (eID) yang mendukung NFC seperti e-paspor dan kartu identitas nasional sangatlah penting. Dokumen-dokumen ini berisi data pribadi sensitif yang tersimpan di microchip, dan melindungi informasi ini dari akses tidak sah adalah tantangan kritis. Di sinilah Kontrol Akses Dasar (BAC) berperan, khususnya proses fundamentalnya: derivasi kunci BAC.

BAC adalah garis pertahanan pertama untuk eID, mekanisme keamanan yang diamanatkan oleh Organisasi Penerbangan Sipil Internasional (ICAO) dalam standar Doc 9303-nya. Ini membangun saluran komunikasi yang aman antara chip eID dan perangkat pembaca, memastikan bahwa hanya pembaca yang berwenang yang dapat mengakses konten chip. Inti dari efektivitas BAC adalah proses yang cermat dalam menurunkan kunci kriptografi, yang akan kita jelajahi secara rinci.

Peran Zona yang Dapat Dibaca Mesin (MRZ) dalam Derivasi Kunci BAC

Perjalanan derivasi kunci BAC dimulai dengan komponen eID yang tampaknya sederhana: Zona yang Dapat Dibaca Mesin (MRZ). Ini adalah kode alfanumerik dua atau tiga baris yang dicetak di bagian bawah halaman biodata dokumen identitas. Meskipun tampak sebagai teks biasa, MRZ menyimpan informasi publik penting yang diperlukan untuk memulai protokol komunikasi yang aman.

Secara spesifik, tiga data dari MRZ digunakan:

1. Nomor Dokumen: Pengidentifikasi unik dokumen perjalanan.
2. Tanggal Lahir (DOB): Tanggal lahir pemegang dalam format YYMMDD.
3. Tanggal Kedaluwarsa (DOE): Tanggal kedaluwarsa dokumen dalam format YYMMDD.

Ketiga elemen data ini dipilih karena tersedia secara publik pada dokumen itu sendiri, memungkinkan pembaca yang sah untuk memperolehnya, namun cukup spesifik untuk menghasilkan serangkaian kunci unik untuk setiap dokumen individu. Setiap perbedaan dalam input ini akan mengakibatkan kegagalan dalam membangun saluran yang aman, sehingga melindungi data chip.

Proses Kriptografi: Bagaimana Kunci BAC Diturunkan

Proses kriptografi untuk derivasi kunci BAC adalah prosedur standar yang dirancang untuk menghasilkan dua kunci esensial: Kunci Sandi Simetris (K_ENC) dan Kunci Kode Otentikasi Pesan (K_MAC). Kunci-kunci ini kemudian digunakan untuk mengenkripsi dan mengotentikasi semua komunikasi selanjutnya antara pembaca dan chip eID.

Derivasi melibatkan beberapa langkah, sebagaimana didefinisikan oleh ICAO 9303 Bagian 11 dan standar kriptografi yang relevan:

1. Penggabungan Data MRZ: Tiga elemen data MRZ (Nomor Dokumen, DOB, DOE) pertama-tama diproses. Setiap digit pemeriksa yang terkait dengan bidang-bidang ini disertakan, dan padding dapat diterapkan jika perlu untuk mencapai panjang tertentu (misalnya, nomor dokumen diisi dengan karakter '<' jika lebih pendek dari 9 digit).

2. Hashing dengan SHA-1: Data MRZ yang digabungkan dan diisi kemudian dimasukkan ke dalam algoritma hashing aman, biasanya SHA-1 (Algoritma Hash Aman 1). Ini menghasilkan nilai hash 160-bit (20-byte), sering disebut sebagai K_seed.

   Contoh: K_seed = SHA-1(NomorDokumen && DigitPemeriksaNomorDokumen && TanggalLahir && DigitPemeriksaTanggalLahir && TanggalKedaluwarsa && DigitPemeriksaTanggalKedaluwarsa)

3. Fungsi Derivasi Kunci (KDF): K_seed selanjutnya diproses menggunakan fungsi derivasi kunci untuk menghasilkan K_ENC dan K_MAC. Ini biasanya melibatkan penggunaan K_seed sebagai input ke fungsi kriptografi (seperti Triple DES dalam mode CBC) dengan konstanta spesifik (misalnya, '00000001' dan '00000002') untuk menghasilkan kunci 128-bit (16-byte).

   Contoh (disederhanakan): K_ENC = derive_key(K_seed, konstanta_1) K_MAC = derive_key(K_seed, konstanta_2)

Kunci-kunci yang diturunkan ini bersifat efemeral, artinya dihasilkan untuk setiap sesi dan tidak pernah disimpan di pembaca atau chip. Ini memastikan kerahasiaan ke depan: bahkan jika kunci sesi disusupi, itu tidak dapat digunakan untuk mendekripsi sesi masa lalu atau masa depan.

Kontrol Akses Dasar: Mengamankan Saluran Komunikasi

Setelah K_ENC dan K_MAC berhasil diturunkan oleh pembaca dan chip eID (setelah pembaca menyajikan kunci yang diturunkan ke chip untuk verifikasi), saluran pesan yang aman ditetapkan. Saluran ini menyediakan dua layanan keamanan kritis:

1. Kerahasiaan (Enkripsi): Semua data yang dipertukarkan antara pembaca dan chip dienkripsi menggunakan K_ENC. Ini mencegah penyadapan dan memastikan bahwa informasi sensitif, seperti data biometrik (gambar wajah, sidik jari), tidak dapat dicegat oleh pihak yang tidak berwenang. Ini penting untuk melindungi privasi individu.

2. Integritas dan Otentikasi (MAC): Pesan diotentikasi menggunakan K_MAC. Kode Otentikasi Pesan (MAC) dihitung untuk setiap pesan, memastikan bahwa data belum dirusak selama transmisi dan bahwa data tersebut berasal dari sumber yang sah (baik chip atau pembaca yang berwenang). Ini mencegah manipulasi data dan serangan spoofing.

Pembentukan saluran aman ini merupakan prasyarat untuk mengakses elemen data sensitif apa pun pada chip. Tanpa berhasil menyelesaikan protokol kontrol akses dasar, chip akan menolak untuk mengirimkan informasi yang dilindungi. Mekanisme yang kuat ini adalah mengapa hanya dengan mengetuk eID dengan ponsel berkemampuan NFC tanpa mengetahui data MRZ tidak akan menghasilkan informasi pribadi yang sensitif.

Bagaimana Didit Membantu Keamanan eID NFC

Didit memahami seluk-beluk verifikasi identitas yang aman, terutama saat berhadapan dengan teknologi canggih seperti eID NFC. Platform kami mendukung pembacaan dokumen NFC, yang memanfaatkan proses derivasi kunci BAC standar untuk memastikan tingkat keamanan dan keaslian data tertinggi. Dengan mengintegrasikan kemampuan NFC, Didit menyediakan:

• Jaminan Kelas Pemerintah: Kami membaca data chip kriptografi, yang memberikan tingkat jaminan yang lebih tinggi daripada inspeksi visual saja, karena memvalidasi tanda tangan digital chip sesuai standar ICAO.
• Deteksi Penipuan yang Ditingkatkan: Saluran aman yang dibuat oleh BAC membantu mendeteksi upaya penipuan yang canggih, karena setiap manipulasi data chip atau akses tidak sah dicegah.
• Kepatuhan yang Disederhanakan: Solusi kami mematuhi standar internasional seperti ICAO 9303, membantu bisnis memenuhi persyaratan peraturan yang ketat untuk verifikasi identitas dan anti pencucian uang (AML).
• Pengalaman Pengguna yang Mulus: Meskipun keamanan yang mendasarinya kompleks, platform Didit mengabstraksi kompleksitas ini, menawarkan alur verifikasi yang mulus dan intuitif untuk pengguna akhir, dengan cepat menangkap dan memvalidasi data yang diperlukan.

Dengan menawarkan pembacaan dokumen NFC sebagai bagian dari rangkaian verifikasi identitas komprehensif kami, Didit memberdayakan bisnis untuk memverifikasi identitas dengan keamanan dan keandalan yang tak tertandingi, membangun kepercayaan di dunia yang semakin digital.

Siap Memulai?

Jelajahi bagaimana solusi verifikasi identitas canggih Didit, termasuk pembacaan eID NFC, dapat meningkatkan keamanan dan postur kepatuhan Anda. Kunjungi halaman produk kami untuk detail lebih lanjut atau hubungi kami untuk demo yang dipersonalisasi. Anda juga dapat mencoba pusat demo kami untuk merasakan teknologi kami secara langsung.

FAQ

Apa itu derivasi kunci BAC dalam eID NFC?

Derivasi kunci BAC adalah proses kriptografi yang digunakan dalam eID NFC (seperti e-paspor) untuk menghasilkan kunci enkripsi dan otentikasi simetris. Kunci-kunci ini diturunkan dari data spesifik yang ditemukan di Zona yang Dapat Dibaca Mesin (MRZ) dokumen dan digunakan untuk membangun saluran komunikasi yang aman dan terenkripsi antara chip eID dan pembaca, memastikan kontrol akses dasar dan melindungi data sensitif.

Mengapa MRZ penting untuk derivasi kunci BAC?

MRZ (Zona yang Dapat Dibaca Mesin) sangat penting untuk derivasi kunci BAC karena berisi data publik, namun unik (nomor dokumen, tanggal lahir, dan tanggal kedaluwarsa) yang berfungsi sebagai input untuk proses pembuatan kunci. Ini memastikan bahwa hanya pembaca dengan akses ke dokumen fisik dan MRZ-nya yang dapat menurunkan kunci yang benar untuk membuka konten chip yang dilindungi.

Manfaat keamanan apa yang disediakan oleh Kontrol Akses Dasar (BAC)?

Kontrol Akses Dasar (BAC) menyediakan dua manfaat keamanan utama: kerahasiaan dan integritas. Kerahasiaan dicapai melalui enkripsi saluran komunikasi menggunakan kunci yang diturunkan, mencegah penyadapan. Integritas dipastikan dengan mengotentikasi pesan dengan Kode Otentikasi Pesan (MAC), yang mencegah perusakan data dan memverifikasi asal pesan. Ini melindungi data sensitif pada chip eID dari akses tidak sah.

Apakah derivasi kunci BAC masih aman terhadap serangan modern?

Meskipun BAC menyediakan lapisan keamanan dasar, ketergantungannya pada SHA-1 dan Triple DES untuk derivasi kunci dan enkripsi berarti BAC dianggap kurang kuat terhadap serangan kriptografi modern dibandingkan dengan protokol yang lebih baru seperti PACE (Password Authenticated Connection Establishment). ICAO 9303 merekomendasikan penerapan PACE untuk keamanan yang ditingkatkan, meskipun BAC tetap banyak digunakan dan sesuai hukum untuk keamanan eID NFC.