由Ihar Kliashchou撰寫的首席技術官法拉
電子文檔因其一流的安全性而受到讚揚,這主要是由於使用被動身份驗證證書驗證了RFID芯片數據驗證。但是,當證書到期或過時時,即使這種萬無一失的方法也會絆倒。在本文中,我們將探討克服這些障礙並確保您的驗證過程保持安全的方法。
要完全信任電子文檔,您需要驗證其芯片中編碼的數據。該過程(被稱為被動身份驗證)涉及驗證數據的數字簽名和整個證書鏈的根源。如果沒有全部,就不可能執行必要的證書對於您與之開展業務的每個國家的國家。
但是,查找並獲得這些證書是戰鬥的一半。證書也可以到期,這可能會導致問題。
假設您的安全過程已設置,以便在文檔進行電子驗證之前不會執行操作。此驗證涉及使用主列表,該列表由國家簽署證書授權(CSCA)證書組成。主列表還簽署了來自受信任組織的證書。但是,如果您的主列表恰好通過過期證書籤名,則被動身份驗證將開始失敗。
問題在於,當文檔突然停止驗證時,這種情況並不是第一件事,至少不是實際上與ID一起工作的常規客戶員工。這是僅適用於專家的非平凡知識。
不幸的是,此類錯誤以前發生了,可能會再次發生。
經驗法則:有多個證書來源
這是風險管理的問題。如果您只有一個來源,並且它變得不可用,則您的整個身份驗證過程可能會受到損害。明智的解決方案是使用多種來源來確保更高的服務可用性。
在政府到政府的一級,各國通過外交渠道共享被動身份驗證的證書,從而收集了自己的可信證書數據庫。對於企業,有三個主要的地方可以找到用於被動身份驗證的證書:
- ICAO PKD。這是一個中央存儲庫,用於對電子文檔進行身份驗證所需的信息交換。由於國際民航組織是一個受信任的組織,其來源是透明的,因此它是獲得證書的最可靠的地方之一。
ICAO PKD提供了兩種類型的主列表:
- 一個策劃的經國際民航組織驗證;
- 那些由PKD成員國提交其中包含提交狀態本身信任的所有證書。這些列表的彙編將包括比ICAO主列表更高的證書數量,但必須指出的是,列表未由ICAO策劃。必須驗證其發行並建立對提交者的信任,以信任隨附的證書。
雖然可以通過公共網站下載來自PKD的數據,包括所有提到的主列表,但使用此數據狀態的條款和條件不能用於商業目的。雖然沒有違規的已知起訴,但使用此服務是可以自行決定的。大型組織可能需要發行身份文件的國家當局的支持,並且是PKD成員。
- BSI的CSCA主列表。只要您不做廣告或使其看起來像合作,就可以允許商業用途。但是,BSI既未透露如何獲得CSCA,也沒有透露更新的頻率。因此,儘管您將能夠使用其CSCA主列表進行被動身份驗證,但您可能無法遵守某些法規,例如對合格電子簽名(QES)的ETSI要求。
- 出版商的網站。許多國家還提供其CSCA證書以供公共訪問:瑞士,,,,澳大利亞,還有許多其他。如果您僅針對一個國家,並且它向公眾提供了CSCA,則可以從國家護照辦公室的手動刮擦信息可能是可以管理的。您還可以查看ICAO PKD以獲取特定國家提交的證書。
上述證書來源可以通過不同的組合對您有用。例如,即使您可以訪問ICAO PKD,也保留BSI主列表也不會有任何傷害,並查看您的企業運營的國家是否可以向公眾提供證書。這樣,如果一個消息來源失敗,您將有其他人倒退。
為什麼選擇可以信任的來源至關重要?
在被動身份驗證的情況下,信任不僅僅是善意的手勢。如果應該被信任的主列表包含一個假證書,則與其簽名的所有偽造文件都將作為真實的證書。
這是一個假設的例子:想像一個在其官方網站上不提供CSCA證書的小國家。欺詐者創建了該國網站的假版本,並添加一個頁面,任何人都可以下載證書,這當然也是假的。誘餌工作後,他們就會產生與此證書籤名的假文件,並可以嘗試攻擊任何使用它進行驗證的組織。
最終責任在於最終組織
無論您信任哪種來源可以從中央存儲庫或每個發布者中獲得證書和主列表,責任仍然是您的。 ICAO或BSI等組織可能會促進該過程,但是如果出現問題,則不承擔任何責任。
此外,了解證書系統及其到期日期至關重要。您需要設置警報以接近到期日期,以確保您有新的證書可以更換舊證書。
最負責任的組織不僅依賴外部來源。他們從各個國家收集證書,創建自己的主列表,用自己的證書籤名,並確保其有效。但是,即使您的行業的風險承受能力並不那麼嚴格,也可以定期查看您的主列表並更新支持軟件版本,這仍然是一個很好的做法。這種主動的方法有助於維持被動身份驗證過程的完整性和可靠性。
關於作者
Ihar Kliashchou是法拉。
免責聲明:生物識別更新的行業見解是提交的內容。這篇文章中表達的觀點是作者的觀點,不一定反映生物識別更新的觀點。
文章主題
驗證|國家簽署證書局(CSCA)|數字ID|文檔驗證|e-yl|國際民航組織|ICAO PKD|被動身份驗證|法拉|值得信賴的證書
