Немного расскажу информации «изнутри», являясь представителем НИИ Восход и имея непосредственное отношение к проекту :)
Прежде всего, хочется отметить, что пока введение нового паспорта носит характер ПРОЕКТА. Окончательных решений о том, каков же он будет, пока не принято. Подходов к его внедрению несколько. Но основным действительно является реализация электронного паспорта в виде пластиковой карты с микросхемой.
Микросхема планируется полностью отечественного производства (1-го уровня, то есть, именно произведённая у нас в стране), ПО внутри этой микросхемы также будет полностью российским от производителя самой микросхемы.
Технологии, подходы и стандарты для микросхемы планируется применить полностью аналогичные используемым сейчас в заграничных паспортах нового поколения.
Взаимодействие с микросхемой будет действительно реализовано по NFC. Если точнее, в соответствии со стандартом ISO 14443.
В микросхеме планируется четыре приложения:
1. Идентификационное. В нём планируется разместить все данные, которые сейчас имеются в общегражданском паспорте, включая сведения о регистрации, о детях и так далее. Также там будет фотография и, как предполагается, по желанию, гражданина, там будут отпечатки пальцев.
2. Международное. В нём планируется разместить все данные, которые сейчас размещаются в загранпаспорте (фамилия, имя, номер документа, кем-когда выдан, фотографию и прочее). Предполагается, что им можно будет пользоваться для пересечения границы с теми странами, с которыми сейчас возможно пересечение границы по общегражданскому паспорту.
4. Водительское удостоверение. С данными этого самого удостоверения.
5. Приложение электронной подписи. С возможностью что-нибудь подписать. Конечно, оно будет активироваться только при желании владельца.
Документ планируется делать с максимально возможным использованием стандартов, которые имеются для таких документов. В первую очередь, это Doc ICAO 9303 (есть в открытом доступе в интернетах, даже на русском языке).
Теперь немного о защите данных.
1. Прочитать данные документа у вас из кармана в метро не получится. Никак. Микросхема никогда ничего не расскажет о себе уникального, включая номера и прочее, пока не ввести в микросхему пароль. Пароль — это совокупность из номера документа, даты окончания срока действия и даты рождения владельца.
Именно этот пароль и планируется разместить в QR-коде.
То есть, следить за человеком, который носит с собой этот паспорт, незаметно для человека завладевать его данными дистанционно не получится.
2. На самом деле, на основе этого пароля, между терминалом и микросхемой устанавливается защищённое соединение с генерацией сеансовых ключей на основе пароля. Используется алгоритм SESPAKE для работы на российской криптографии (по ГОСТ), а для международного приложения — помимо SESPAKE, также возможно использование алгоритма PACE (тоже выработка сеансового ключа на основе пароля).
3. После такой аутентификации можно прочитать некоторые данные. Не все. Например, отпечатки пальцев так прочитать нельзя будет.
4. Далее терминал может провести так называемую расширенную аутентификацию (EAC — Extended Access Control), в рамках которой сначала микросхема докажет терминалу, что она не является клоном (докажет обладание своим неизвлекаемым закрытым ключом), а потом, при необходимости, терминал докажет микросхеме, что он имеет какие-то особые права. Например, на чтение отпечатков пальцев или на изменение данных (если это терминал сотрудника МВД, который имеет право, например, менять сведения о регистрации по месту жительства). В рамках расширенного контроля доступа также меняются сеансовые ключи.
5. Ну и, наконец, если гражданин захотел воспользоваться своей электронной подписью, ему нужно будет отдельно ввести свой пин-код от этой подписи. Сразу скажу, что ключ ЭП гражданина будет строго неизвлекаемым. Генерировать его всегда будет микросхема встроенным аппаратным ДСЧ, и никогда не будет отдавать наружу.
P.S.:
В рамках комментария, конечно, сложно написать миллион подробностей и особенностей электронного паспорта и проекта в целом. Думаю, когда будут приняты все решения и проект таки наконец-то взлетит, найду в себе силы написать полноценную статью :)
Пока обсуждается необязательность отпечатков, но предсказывать что-либо на этот счёт я точно не возьмусь :)
Прежде всего, хочется отметить, что пока введение нового паспорта носит характер ПРОЕКТА. Окончательных решений о том, каков же он будет, пока не принято. Подходов к его внедрению несколько. Но основным действительно является реализация электронного паспорта в виде пластиковой карты с микросхемой.
Микросхема планируется полностью отечественного производства (1-го уровня, то есть, именно произведённая у нас в стране), ПО внутри этой микросхемы также будет полностью российским от производителя самой микросхемы.
Технологии, подходы и стандарты для микросхемы планируется применить полностью аналогичные используемым сейчас в заграничных паспортах нового поколения.
Взаимодействие с микросхемой будет действительно реализовано по NFC. Если точнее, в соответствии со стандартом ISO 14443.
В микросхеме планируется четыре приложения:
1. Идентификационное. В нём планируется разместить все данные, которые сейчас имеются в общегражданском паспорте, включая сведения о регистрации, о детях и так далее. Также там будет фотография и, как предполагается, по желанию, гражданина, там будут отпечатки пальцев.
2. Международное. В нём планируется разместить все данные, которые сейчас размещаются в загранпаспорте (фамилия, имя, номер документа, кем-когда выдан, фотографию и прочее). Предполагается, что им можно будет пользоваться для пересечения границы с теми странами, с которыми сейчас возможно пересечение границы по общегражданскому паспорту.
4. Водительское удостоверение. С данными этого самого удостоверения.
5. Приложение электронной подписи. С возможностью что-нибудь подписать. Конечно, оно будет активироваться только при желании владельца.
Документ планируется делать с максимально возможным использованием стандартов, которые имеются для таких документов. В первую очередь, это Doc ICAO 9303 (есть в открытом доступе в интернетах, даже на русском языке).
Теперь немного о защите данных.
1. Прочитать данные документа у вас из кармана в метро не получится. Никак. Микросхема никогда ничего не расскажет о себе уникального, включая номера и прочее, пока не ввести в микросхему пароль. Пароль — это совокупность из номера документа, даты окончания срока действия и даты рождения владельца.
Именно этот пароль и планируется разместить в QR-коде.
То есть, следить за человеком, который носит с собой этот паспорт, незаметно для человека завладевать его данными дистанционно не получится.
2. На самом деле, на основе этого пароля, между терминалом и микросхемой устанавливается защищённое соединение с генерацией сеансовых ключей на основе пароля. Используется алгоритм SESPAKE для работы на российской криптографии (по ГОСТ), а для международного приложения — помимо SESPAKE, также возможно использование алгоритма PACE (тоже выработка сеансового ключа на основе пароля).
3. После такой аутентификации можно прочитать некоторые данные. Не все. Например, отпечатки пальцев так прочитать нельзя будет.
4. Далее терминал может провести так называемую расширенную аутентификацию (EAC — Extended Access Control), в рамках которой сначала микросхема докажет терминалу, что она не является клоном (докажет обладание своим неизвлекаемым закрытым ключом), а потом, при необходимости, терминал докажет микросхеме, что он имеет какие-то особые права. Например, на чтение отпечатков пальцев или на изменение данных (если это терминал сотрудника МВД, который имеет право, например, менять сведения о регистрации по месту жительства). В рамках расширенного контроля доступа также меняются сеансовые ключи.
5. Ну и, наконец, если гражданин захотел воспользоваться своей электронной подписью, ему нужно будет отдельно ввести свой пин-код от этой подписи. Сразу скажу, что ключ ЭП гражданина будет строго неизвлекаемым. Генерировать его всегда будет микросхема встроенным аппаратным ДСЧ, и никогда не будет отдавать наружу.
P.S.:
В рамках комментария, конечно, сложно написать миллион подробностей и особенностей электронного паспорта и проекта в целом. Думаю, когда будут приняты все решения и проект таки наконец-то взлетит, найду в себе силы написать полноценную статью :)