Saltar para o conteúdo principal
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Voltar ao blog
Blog · 13 de março de 2026

Segurança de ePassaportes: Uma Análise Detalhada dos Protocolos BAC, PACE e SAC (PT-PT-1)

Os ePassaportes utilizam protocolos criptográficos avançados como BAC, PACE e SAC para proteger dados biométricos sensíveis. Estes mecanismos garantem a autenticidade e integridade do documento, prevenindo acessos não autorizados.

Por DiditAtualizado
epassport-security-a-deep-dive-into-bac-pac-and-sac.png

Criptografia Avançada em ePassaportesOs ePassaportes utilizam protocolos de segurança sofisticados, como o Controlo de Acesso Básico (BAC), o Estabelecimento de Conexão Autenticada por Palavra-passe (PACE) e o Controlo de Acesso Suplementar (SAC), para proteger os dados armazenados nos seus chips incorporados. Estes protocolos são fundamentais para prevenir o acesso não autorizado e a manipulação de dados.

O Papel dos Mecanismos de Controlo de AcessoBAC, PACE e SAC fornecem camadas distintas de segurança, controlando como e quando os dados do chip do ePassaporte podem ser acedidos. O BAC baseia-se na Zona de Leitura Ótica (MRZ) para a autenticação inicial, enquanto o PACE e o SAC oferecem proteções criptográficas mais fortes e modernas contra interceção e clonagem.

Importância da Validação CriptográficaVerificar as assinaturas criptográficas e a integridade dos dados do ePassaporte diretamente dos emissores governamentais é primordial. Isto garante que o documento é autêntico e não foi adulterado, proporcionando o mais alto nível de garantia na verificação de identidade.

Verificação NFC da Didit para Segurança ReforçadaA tecnologia de Verificação NFC da Didit aproveita estas funcionalidades de segurança do ePassaporte para oferecer o mais alto nível de verificação de ID. Ao ler o chip seguro e realizar a validação criptográfica, a Didit garante verificações à prova de adulteração e extrai dados abrangentes, tornando-a líder em soluções de identidade seguras.

A Compreensão da Segurança do ePassaporte: A Base

Os ePassaportes, ou passaportes eletrónicos, são ferramentas críticas no controlo de fronteiras moderno e na verificação de identidade, concebidos para serem altamente seguros e resistentes a fraudes. Ao contrário dos passaportes tradicionais, os ePassaportes contêm um microchip sem contacto que armazena dados biométricos e biográficos, espelhando as informações impressas na página de dados. A integridade e a confidencialidade desses dados são protegidas por uma série de protocolos criptográficos sofisticados, principalmente o Controlo de Acesso Básico (BAC), o Estabelecimento de Conexão Autenticada por Palavra-passe (PACE) e o Controlo de Acesso Suplementar (SAC).

Estes protocolos não são meramente jargão técnico; são a base sobre a qual a confiança na identidade digital é construída. Eles ditam como um leitor de passaportes (por exemplo, num aeroporto ou numa instituição financeira que realiza KYC) pode aceder ao conteúdo do chip, garantindo que apenas entidades autorizadas podem recuperar e verificar as informações sensíveis. Sem estes mecanismos, o ePassaporte seria vulnerável a clonagem, alteração de dados e acesso não autorizado, minando o seu propósito como documento de viagem seguro.

A evolução do BAC para o PACE e SAC reflete um esforço contínuo para melhorar a segurança contra ameaças cada vez mais sofisticadas. Cada protocolo aborda vulnerabilidades específicas e introduz primitivas criptográficas mais fortes, tornando os ePassaportes progressivamente mais difíceis de comprometer. Para qualquer organização envolvida na verificação de identidade, compreender estas camadas de proteção não é apenas benéfico, mas essencial para implementar processos de verificação robustos e conformes.

Controlo de Acesso Básico (BAC): A Primeira Linha de Defesa

O Controlo de Acesso Básico (BAC) foi o mecanismo de segurança inicial introduzido para ePassaportes. A sua função principal é estabelecer um canal de comunicação seguro e encriptado entre o chip do ePassaporte e o leitor. Isso impede a interceção não autorizada e a leitura não autorizada dos dados do chip durante a transmissão. A chave para iniciar uma sessão BAC é derivada dos dados da Zona de Leitura Ótica (MRZ) impressos na página de identificação do passaporte. Especificamente, o número do documento, a data de nascimento e a data de validade são usados para gerar uma chave de sessão.

Embora o BAC tenha sido um grande avanço, tem limitações conhecidas. A segurança do BAC está diretamente ligada ao sigilo dos dados da MRZ. Se um fraudador conseguir ler a MRZ (por exemplo, simplesmente olhando para a página de dados do passaporte), pode potencialmente iniciar uma sessão BAC. Esta vulnerabilidade, conhecida como ataque passivo, significa que o BAC por si só não é suficiente para as aplicações de segurança mais elevadas. No entanto, ainda fornece uma camada crucial de proteção ao encriptar o canal de comunicação e impedir o acesso casual ao conteúdo do chip.

Para sistemas como a Verificação de ID da Didit, que depende de uma OCR precisa da MRZ, o BAC desempenha um papel fundamental no handshake seguro inicial com o chip do ePassaporte. Mesmo com as suas limitações, o BAC permanece parte da arquitetura de segurança do ePassaporte, muitas vezes servindo como um recurso alternativo ou um passo inicial antes que protocolos mais avançados sejam ativados.

Estabelecimento de Conexão Autenticada por Palavra-passe (PACE) e Controlo de Acesso Suplementar (SAC): Segurança Reforçada

Reconhecendo as limitações do BAC, as gerações mais recentes de ePassaportes adotaram protocolos mais robustos: o Estabelecimento de Conexão Autenticada por Palavra-passe (PACE) e o Controlo de Acesso Suplementar (SAC). O PACE oferece um mecanismo criptográfico significativamente mais forte para estabelecer um canal seguro. Em vez de depender exclusivamente da MRZ, o PACE pode usar vários mecanismos de autenticação, incluindo um segredo partilhado derivado da MRZ, um CAN (Número de Acesso do Cartão) impresso no documento, ou mesmo um modelo biométrico. Esta flexibilidade permite uma derivação de chave mais forte e autenticação mútua entre o chip e o leitor, tornando-o muito mais resistente a ataques passivos e interceção.

O Controlo de Acesso Suplementar (SAC) é uma estrutura abrangente que integra o PACE com outras funcionalidades de segurança, como o Controlo de Acesso Estendido (EAC). O SAC exige o uso do PACE para mensagens seguras e, em seguida, adiciona proteções adicionais. Garante que dados críticos, especialmente informações biométricas sensíveis como impressões digitais, só podem ser acedidas por leitores autorizados que possuam os certificados criptográficos corretos. Isso impede que entidades não autorizadas leiam ou clonem os elementos de dados mais sensíveis no chip, mesmo que consigam iniciar uma sessão PACE.

A combinação de PACE e SAC oferece uma defesa formidável contra ataques avançados, incluindo tentativas sofisticadas de clonagem e manipulação de dados. Eles vão além de simplesmente encriptar a comunicação para garantir a autenticidade do documento e do leitor, criando um ambiente altamente confiável para a troca de dados. A Verificação NFC da Didit utiliza estes protocolos avançados para realizar a validação criptográfica, garantindo que os dados extraídos não são apenas seguros, mas também genuinamente da autoridade emissora.

Os Elementos de Dados Dentro do Chip do ePassaporte

Além dos protocolos de segurança, é essencial compreender quais os elementos de dados que estão realmente armazenados no chip do ePassaporte. Estes incluem geralmente:

  • Dados Biográficos: Nome, data de nascimento, nacionalidade, número do passaporte, autoridade emissora e data de validade (espelhando a MRZ).
  • Imagem Facial: Uma imagem digital de alta resolução do rosto do titular do passaporte, geralmente no formato JPEG2000. Isto é crítico para a Correspondência Facial 1:1 e Deteção de Vivacidade durante a verificação de identidade.
  • Dados de Impressão Digital (Opcional): Alguns ePassaportes armazenam modelos de impressão digital, fornecendo um identificador biométrico adicional.
  • Assinaturas Digitais: Assinaturas criptográficas do estado emissor e da Organização da Aviação Civil Internacional (ICAO) para verificar a autenticidade e integridade dos dados do chip. Estas assinaturas são cruciais para detetar adulterações.

As implicações de segurança destes elementos de dados são profundas. A imagem facial, por exemplo, é usada em conjunto com a Deteção de Vivacidade para confirmar que a pessoa que apresenta o documento é o seu legítimo proprietário e não um deepfake ou impostor. As assinaturas digitais são a prova máxima de autenticidade, permitindo que um leitor confirme criptograficamente que os dados no chip não foram alterados desde que foram emitidos pelo governo.

Quando uma solução de verificação de identidade como a Verificação NFC da Didit lê um chip de ePassaporte, não se limita a extrair dados; realiza uma série de verificações criptográficas para garantir que cada elemento de dados é válido e não adulterado. Isso vai muito além do que pode ser alcançado com a simples leitura ótica do documento impresso, oferecendo um nível de garantia incomparável na verificação de identidade.

Como a Didit Ajuda

A Didit oferece uma plataforma de identidade nativa de IA, focada em desenvolvedores, que se destaca no aproveitamento das funcionalidades avançadas de segurança dos ePassaportes. O nosso produto Verificação NFC foi especificamente concebido para interagir com chips de ePassaporte, proporcionando o mais alto nível de segurança disponível para Verificação de ID. Ao ler o chip seguro incorporado em passaportes e IDs modernos usando as capacidades NFC de um telemóvel, a Didit realiza validação criptográfica diretamente de emissores governamentais.

A nossa solução oferece verificações à prova de adulteração, detetando manipulações de documentos invisíveis ao olho humano. Extrai dados abrangentes, incluindo a imagem facial e detalhes biográficos, que são depois usados em conjunto com a nossa Correspondência Facial 1:1 e deteção de Vivacidade Passiva e Ativa para garantir que a pessoa que apresenta o documento é o legítimo proprietário. A arquitetura modular da Didit permite que as empresas integrem facilmente esta verificação de alta segurança nos seus fluxos de trabalho existentes, garantindo a conformidade e prevenindo fraudes.

Com a Didit, beneficia de KYC Core Gratuito, sem taxas de configuração e um modelo de pagamento por verificação bem-sucedida, tornando a verificação de identidade de nível empresarial acessível a empresas de todos os tamanhos. A nossa plataforma é certificada ISO 27001, compatível com GDPR e certificada iBeta Nível 1 para deteção de ataques de apresentação biométrica, afirmando o nosso compromisso com a segurança e a precisão. Ao fornecer uma solução verdadeiramente global e escalável, a Didit capacita as empresas a automatizar a confiança com segurança.

Pronto para Começar?

Pronto para ver a Didit em ação? Obtenha uma demonstração gratuita hoje.

Comece a verificar identidades gratuitamente com o nível gratuito da Didit.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Começar grátisFale connosco
Peça a uma IA para resumir esta página
Segurança de ePassaportes: BAC, PACE e SAC em Profundidade.