Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Voltar para o blog
Blog · 14 de março de 2026

Desvendando a Segurança NFC eID: Entendendo a Derivação de Chaves BAC (PT-BR)

Mergulhe na derivação de chaves BAC, o processo criptográfico que protege os eIDs NFC. Entenda como os padrões ICAO 9303 utilizam dados MRZ para gerar chaves de sessão, protegendo dados de identidade contra acesso não autorizado.

Por DiditAtualizado
bac-key-derivation-nfc-eids-security.png

Segurança FundamentalA derivação de chaves BAC (Basic Access Control) é o alicerce da segurança no acesso a dados para eIDs NFC, impedindo a leitura não autorizada de dados sensíveis do chip.

MRZ como Raiz de ConfiançaA Zona de Leitura Ótica (MRZ) em um passaporte ou cartão de identidade é essencial; seus dados (número do documento, data de nascimento, data de expiração) são usados para gerar as chaves criptográficas.

Processo CriptográficoA derivação de chaves envolve algoritmos de hash seguro específicos (como SHA-1) e funções de derivação de chaves para transformar dados MRZ em chaves de sessão para comunicação criptografada.

Padrão ICAO 9303O BAC é exigido pela ICAO 9303, garantindo interoperabilidade global e um mecanismo de segurança padronizado para Documentos de Viagem Legíveis por Máquina eletrônicos (eMRTDs).

No mundo da identidade digital, a segurança de documentos de identidade eletrônicos (eIDs) habilitados para NFC, como e-passaportes e carteiras de identidade nacionais, é primordial. Esses documentos contêm dados pessoais sensíveis armazenados em um microchip, e proteger essas informações contra acesso não autorizado é um desafio crítico. É aqui que o Basic Access Control (BAC) entra em jogo, especificamente seu processo fundamental: a derivação de chaves BAC.

O BAC é a primeira linha de defesa para eIDs, um mecanismo de segurança mandatório pela Organização da Aviação Civil Internacional (ICAO) em seu padrão Doc 9303. Ele estabelece um canal de comunicação seguro entre o chip eID e um dispositivo de leitura, garantindo que apenas leitores autorizados possam acessar o conteúdo do chip. No cerne da eficácia do BAC está o meticuloso processo de derivação de chaves criptográficas, que exploraremos em detalhes.

O Papel da Zona de Leitura Ótica (MRZ) na Derivação de Chaves BAC

A jornada da derivação de chaves BAC começa com um componente aparentemente simples de todo eID: a Zona de Leitura Ótica (MRZ). Este é o código alfanumérico de duas ou três linhas impresso na parte inferior da página de dados biográficos do documento de identidade. Embora apareça como texto simples, a MRZ contém as informações públicas cruciais necessárias para iniciar o protocolo de comunicação segura.

Especificamente, três dados da MRZ são usados:

  1. Número do Documento: O identificador único do documento de viagem.
  2. Data de Nascimento (DOB): A data de nascimento do titular no formato AAMMDD.
  3. Data de Expiração (DOE): A data de expiração do documento no formato AAMMDD.

Esses três elementos de dados são escolhidos porque estão publicamente disponíveis no próprio documento, permitindo que um leitor legítimo os obtenha, mas são específicos o suficiente para gerar um conjunto único de chaves para cada documento individual. Qualquer discrepância nessas entradas resultará em falha ao estabelecer o canal seguro, protegendo assim os dados do chip.

O Processo Criptográfico: Como as Chaves BAC São Derivadas

O processo criptográfico para derivação de chaves BAC é um procedimento padronizado projetado para gerar duas chaves essenciais: a Chave de Cifra Simétrica (K_ENC) e a Chave de Código de Autenticação de Mensagem (K_MAC). Essas chaves são então usadas para criptografar e autenticar toda a comunicação subsequente entre o leitor e o chip eID.

A derivação envolve várias etapas, conforme definido pela ICAO 9303 Parte 11 e padrões criptográficos relevantes:

  1. Concatenação de Dados MRZ: Os três elementos de dados MRZ (Número do Documento, DOB, DOE) são primeiramente processados. Quaisquer dígitos de verificação associados a esses campos são incluídos, e o preenchimento pode ser aplicado se necessário para atingir um comprimento específico (por exemplo, o número do documento é preenchido com caracteres '<' se for menor que 9 dígitos).

  2. Hashing com SHA-1: Os dados MRZ concatenados e preenchidos são então alimentados em um algoritmo de hash seguro, tipicamente SHA-1 (Secure Hash Algorithm 1). Isso produz um valor de hash de 160 bits (20 bytes), frequentemente referido como K_seed.

    Exemplo: K_seed = SHA-1(NumeroDocumento && DigitoVerificadorNumeroDocumento && DataNascimento && DigitoVerificadorDataNascimento && DataExpiracao && DigitoVerificadorDataExpiracao)

  3. Função de Derivação de Chaves (KDF): O K_seed é processado adicionalmente usando uma função de derivação de chaves para gerar K_ENC e K_MAC. Isso tipicamente envolve o uso de K_seed como entrada para uma função criptográfica (como Triple DES no modo CBC) com constantes específicas (por exemplo, '00000001' e '00000002') para produzir as chaves de 128 bits (16 bytes).

    Exemplo (simplificado): K_ENC = derivar_chave(K_seed, constante_1) K_MAC = derivar_chave(K_seed, constante_2)

Essas chaves derivadas são efêmeras, o que significa que são geradas para cada sessão e nunca são armazenadas no leitor ou no chip. Isso garante sigilo de encaminhamento: mesmo que uma chave de sessão seja comprometida, ela não pode ser usada para descriptografar sessões passadas ou futuras.

Controle de Acesso Básico: Protegendo o Canal de Comunicação

Uma vez que K_ENC e K_MAC são derivados com sucesso tanto pelo leitor quanto pelo chip eID (depois que o leitor apresenta suas chaves derivadas ao chip para verificação), um canal de mensagens seguro é estabelecido. Este canal fornece dois serviços de segurança críticos:

  1. Confidencialidade (Criptografia): Todos os dados trocados entre o leitor e o chip são criptografados usando K_ENC. Isso impede a espionagem e garante que informações sensíveis, como dados biométricos (imagem facial, impressões digitais), não possam ser interceptadas por partes não autorizadas. Isso é crucial para proteger a privacidade do indivíduo.

  2. Integridade e Autenticidade (MAC): As mensagens são autenticadas usando K_MAC. Um Código de Autenticação de Mensagem (MAC) é calculado para cada mensagem, garantindo que os dados não foram adulterados durante a transmissão e que se originam de uma fonte legítima (seja o chip ou o leitor autorizado). Isso impede a manipulação de dados e ataques de spoofing.

O estabelecimento deste canal seguro é um pré-requisito para acessar quaisquer elementos de dados sensíveis no chip. Sem completar com sucesso o protocolo de controle de acesso básico, o chip recusará a transmitir informações protegidas. Este mecanismo robusto é a razão pela qual simplesmente tocar um eID com um telefone habilitado para NFC sem conhecer os dados da MRZ não fornecerá nenhuma informação pessoal sensível.

Como a Didit Ajuda na Segurança de eIDs NFC

A Didit compreende as complexidades da verificação de identidade segura, especialmente ao lidar com tecnologias avançadas como eIDs NFC. Nossa plataforma suporta a leitura de documentos NFC, que aproveita o processo padronizado de derivação de chaves BAC para garantir o mais alto nível de segurança e autenticidade dos dados. Ao integrar capacidades NFC, a Didit oferece:

  • Garantia de Nível Governamental: Lemos os dados do chip criptográfico, o que proporciona um nível de garantia superior à inspeção visual, pois valida a assinatura digital do chip de acordo com os padrões da ICAO.
  • Detecção Aprimorada de Fraudes: O canal seguro estabelecido pelo BAC ajuda a detectar tentativas de fraude sofisticadas, pois qualquer manipulação dos dados do chip ou acesso não autorizado é impedido.
  • Conformidade Simplificada: Nossa solução adere a padrões internacionais como o ICAO 9303, ajudando as empresas a cumprir requisitos regulatórios rigorosos para verificação de identidade e antilavagem de dinheiro (AML).
  • Experiência de Usuário Fluida: Embora a segurança subjacente seja complexa, a plataforma da Didit abstrai essa complexidade, oferecendo um fluxo de verificação suave e intuitivo para os usuários finais, capturando e validando rapidamente os dados necessários.

Ao oferecer a leitura de documentos NFC como parte de nosso abrangente conjunto de verificação de identidade, a Didit capacita as empresas a verificar identidades com segurança e confiabilidade inigualáveis, construindo confiança em um mundo cada vez mais digital.

Pronto para Começar?

Explore como as soluções avançadas de verificação de identidade da Didit, incluindo a leitura de eIDs NFC, podem aprimorar sua segurança e postura de conformidade. Visite nossa página de produto para mais detalhes ou entre em contato conosco para uma demonstração personalizada. Você também pode experimentar nosso centro de demonstrações para vivenciar nossa tecnologia em primeira mão.

FAQ

O que é derivação de chaves BAC em eIDs NFC?

A derivação de chaves BAC é o processo criptográfico usado em eIDs NFC (como e-passaportes) para gerar chaves de criptografia e autenticação simétricas. Essas chaves são derivadas de dados específicos encontrados na Zona de Leitura Ótica (MRZ) do documento e são usadas para estabelecer um canal de comunicação seguro e criptografado entre o chip eID e um leitor, garantindo o controle de acesso básico e protegendo dados sensíveis.

Por que a MRZ é importante para a derivação de chaves BAC?

A MRZ (Zona de Leitura Ótica) é crucial para a derivação de chaves BAC porque contém os dados públicos, porém únicos (número do documento, data de nascimento e data de expiração), que servem como entrada para o processo de geração de chaves. Isso garante que apenas um leitor com acesso ao documento físico e sua MRZ possa derivar as chaves corretas para desbloquear o conteúdo protegido do chip.

Quais os benefícios de segurança que o Basic Access Control (BAC) oferece?

O Basic Access Control (BAC) oferece dois benefícios de segurança primários: confidencialidade e integridade. A confidencialidade é alcançada através da criptografia do canal de comunicação usando chaves derivadas, prevenindo a espionagem. A integridade é garantida pela autenticação de mensagens com um Código de Autenticação de Mensagem (MAC), que impede a adulteração de dados e verifica a origem das mensagens. Isso protege dados sensíveis no chip eID contra acesso não autorizado.

A derivação de chaves BAC ainda é segura contra ataques modernos?

Embora o BAC forneça uma camada fundamental de segurança, sua dependência de SHA-1 e Triple DES para derivação e criptografia de chaves significa que é considerado menos robusto contra ataques criptográficos modernos em comparação com protocolos mais novos como o PACE (Password Authenticated Connection Establishment). A ICAO 9303 recomenda a implementação do PACE para segurança aprimorada, embora o BAC permaneça amplamente utilizado e legalmente compatível para a segurança de eIDs NFC.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Comece grátisFale conosco
Peça para uma IA resumir esta página
Derivação de Chaves BAC para eIDs NFC: Segurança da.