ไม่เพียงแต่ ePassport จะมีบทบาทสำคัญ ในฐานะเอกสารระบุตัวตนหลัก ที่ใช้ในการเดินทางระหว่างประเทศเท่านั้น แต่ยังสามารถนำมาใช้เป็นเอกสารประกอบการสมัครบริการที่ต้องการการยืนยันตัวตน มาตรฐานตั้งแต่ ระดับ IAL 2 ขึ้นไปอีกด้วย
Demo: BeID – eKYC with ePassport
จากการที่ ผู้ให้บริการ จะต้องประเมินความเสี่ยงของธุรกิจตนเอง เพื่อกำหนดความน่าเชื่อถือของอัตลักษณ์ (Identity Assurance Level: IAL) โดยประเมินความเสี่ยงและผลกระทบที่เป็นไปได้ของบริการธุรกรรม ให้เป็นไปตามหลักเกณฑ์ ของหน่วยงานที่กำกับดูแลบริการธุรกรรมแต่ละประเภท นโยบายการบริหาร ความเสี่ยงของหน่วยงานของตนเอง และบริบทการใช้งานของบริการธุรกรรมนั้นๆ
เอกสารที่ใช้สำหรับการยืนยันตัวตน สำหรับธุรกิจที่ต้องใช้มาตรฐาน ความน่าเชื่อถือของอัตลักษณ์ระดับ IAL 2 ทั้งแบบ Face-to-Face และ None Face-to-Face กำหนดให้ผู้ใช้บริการ สามารถใช้ได้ทั้งบัตรประจำตัวประชาชน และพาสปอร์ต อย่างใดอย่างหนึ่ง แต่หากธุรกิจที่ต้องใช้มาตรฐานความน่าเชื่อถือของอัตลักษณ์ระดับ IAL 3 แล้ว จำเป็นที่จะต้องใช้เอกสารทั้งสองอย่าง ในการพิสูจน์และยืนยันตัวตน
ทำให้ผู้ให้บริการ จะต้องจัดให้ลูกค้าแสดงตนและตรวจสอบความถูกต้อง ความแท้จริง และความเป็นปัจจุบัน ของข้อมูลและเอกสารหลักฐานการแสดงตนที่ได้รับจากลูกค้า รวมถึงตรวจสอบว่า บุคคลที่มาเปิดบัญชีเป็นบุคคลเดียวกันกับบุคคลในเอกสารหลักฐานการแสดงตน โดยข้อมูลที่ใช้พิสูจน์ตัวตนลูกค้า ต้องได้จากแหล่งข้อมูลที่น่าเชื่อถือ (Authoritative Source)
| อ่านเพิ่มเติม: IAL และ AAL มาตรฐานการพิสูจน์และยืนยันตัวตนทางดิจิทัล
ในบทความที่แล้ว เราได้เล่าภาพรวมของข้อมูลบนชิป ที่ทำให้เห็นว่า ePassport ทำงานอย่างไรกันไปแล้ว ในบทความนี้ เราจะมาลงลึกถึง คุณสมบัติการรักษาความปลอดภัยแบบดิจิทัล ที่เป็น “ลายเซ็นดิจิทัล” เฉพาะประเทศ และรายละเอียดเกี่ยวกับ eKYC ePassport Solution กัน
| พลาดบทความที่แล้ว? อ่านเพิ่มเติม: ePassport เป็นแหล่งข้อมูลน่าเชื่อถือในกระบวนการ eKYC ได้อย่างไร (Intro)
การอ่านข้อมูลที่อยู่บนพาสปอร์ต
กระบวนการตรวจสอบลายเซ็นดิจิทัล เพื่อยืนยันว่าข้อมูลที่จัดเก็บบนชิปได้รับการบันทึกโดยหน่วยงานที่เหมาะสม (เช่น รัฐผู้ออก) และไม่ถูกดัดแปลง ตามเอกสาร ICAO 9303 (รับรองโดย International Organization for Standardization และ International Electrotechnical Commissionเป็น ISO / IEC 7501-1) สามารถทำได้ 2 วิธีได้แก่ การอ่านโค้ด MRZ บนพาสปอร์ต โดยใช้เทคโนโลยี OCR (Optical Character Recognition) และสแกนข้อมูลบนชิปด้วยเครื่องอ่าน NFC
MRZ คืออะไร?
MRZ หรือ Machine Readable Zone เป็น Code ที่อยู่สองแถวล่างสุดของหน้าพาสปอร์ตที่เป็นข้อมูลส่วนบุคคลของเจ้าของหนังสือเดินทางเล่มนั้นๆ ชุดข้อมูลที่ปรากฏจะมีเพียงตัวอักษร เฉพาะ A-Z ตัวเลข 0–9 และ เครื่องหมายน้อยกว่า < เท่านั้น โดยแบ่งเป็น 3 ประเภท
-
- Type 1 : Official Travel Document โค้ดที่ปรากฏ จะมี 3 บรรทัด บรรทัดละ 30 ตัวอักษร
-
- Type 2 : Machine Readable Visa โค้ดที่ปรากฏ จะมี 2 บรรทัด บรรทัดละ 36 ตัวอักษร พบบน Visa ที่แปะมาในพาสปอร์ต การอ่านโค้ด จะคล้ายกับ Type 3 แต่จำกัดการเข้าถึงข้อมูลบางอย่าง
-
- Type 3 : Passport Booklets โค้ดที่ปรากฏ จะมี 2 บรรทัด บรรทัดละ 44 ตัวอักษร ซึ่งในกระบวนการยืนยันตัวตน จะใช้การอ่านโค้ด MRZ แบบ Type 3 นี้นั่นเอง
วิธีการอ่านข้อมูลบนพาสปอร์ต ได้แก่
1. การอ่านโค้ด MRZ ด้วย OCR ซึ่งข้อมูลที่อ่านได้ จะประกอบไปด้วยข้อมูล 9 แบบ ตามลำดับดังนี้
-
- ชนิดของพาสปอร์ต
- ประเทศผู้ออกพาสปอร์ต
- ชื่อ-นามสกุล เจ้าของพาสปอร์ต
- หมายเลขพาสปอร์ต
- สัญชาติ
- วัน เดือน ปีเกิด
- เพศ
- วันหมดอายุ
- หมายเลขประจำตัวประชาชน
2. การอ่านข้อมูลข้อมูลบนชิปด้วย NFC ข้อมูลที่อ่านได้ จะประกอบไปด้วย
-
- ข้อมูลเดียวกับที่ได้จากการอ่าน MRZ ด้วย OCR
- ภาพถ่ายของผู้ถือพาสปอร์ต
- ข้อมูลไบโอเมตริกซ์อื่นๆ เช่น ลายนิ้วมือ
- คุณสมบัติการรักษาความปลอดภัยแบบดิจิทัล ที่เป็นลายเซ็นดิจิทัลเฉพาะประเทศ โดยลายเซ็นดิจิทัลเหล่านี้จะไม่ซ้ำกัน และสามารถตรวจสอบได้โดยใช้ Certificate ที่เกี่ยวข้อง
หนังสือเดินทางที่เป็น ePassport หรือ หนังสือเดินทางไบโอเมตริกซ์ เนื่องจากมีชิป RFID ฝังอยู่ ทำให้นอกจากจะสามารถอ่านข้อมูลจาก MRZ แล้ว ยังสามารถอ่านข้อมูลอื่นๆ เพิ่มเติมโดยใช้เทคโนโลยี NFC (Near Field Communication) ได้อีกด้วย ทำให้ ePassport มีคุณสมบัติพิเศษเพิ่มจากพาสปอร์ตแบบเดิม คือสะดวก ข้อมูลที่ได้ ยากต่อการปลอมแปลง มีความแม่นยำสูง กว่าการใช้เทคโนโลยี OCR ที่ใช้ฟังก์ชั่นถ่ายภาพในการอ่านโค้ดเพียงอย่างเดียว ซึ่งอาจเกิดข้อผิดพลาดจากการที่รูปถ่ายมืด หรือ เบลอ ได้
เมื่อเข้าถึงชิปที่ฝังอยู่ในพาสปอร์ตแล้ว การตรวจสอบความถูกต้องของเอกสารพาสปอร์ตจะเริ่มขึ้นได้ ต้องมีการพิสูจน์ตัวตนแบบพาสซีฟ (Passive authentication) ก่อน ซึ่งกลไกการรับรองความถูกต้องของ ePassport ที่เรียกว่า Passive Authentication นี้ แม้สามารถตรวจสอบความจริงแท้ของข้อมูลที่จัดเก็บไว้ในหนังสือเดินทาง แต่อย่างไรก็ดี เนื่องจาก ePassport ไม่ได้มีกลไกในการป้องกันการรั่วไหลของข้อมูล และไม่ได้รับประกันว่าปัจจุบันผู้ส่งข้อมูลมีหนังสือเดินทางเล่มเดิมอยู่ในความครอบครองหรือไม่ ดังนั้น ในกระบวนการพิสูจน์และยืนยันตัวตน เพื่อให้ได้คุณภาพตามมาตรฐาน IAL 2.3 นั้น จึงจำเป็นที่จะต้องใช้วิธีพิสูจน์และยืนยันตัวตนอื่นๆ เช่น การสำรวจด้วยตาเปล่าโดยเจ้าหน้าที่ แบบ Face-to-Face หรือ หากเป็นการยืนยันตัวตนแบบ None Face-to-Face ก็จะมีการนำเทคโนโลยีตรวจจับใบหน้า (Facial Comparison & Liveness Detection) เข้ามาช่วยประกอบในการทำ eKYC เพิ่มเติมด้วย
ขั้นตอนการทำงานของ None Face-2-Face: Mobile Solution ของ BeID
เพื่อความปลอดภัยของข้อมูลที่อยู่บนพาสปอร์ต การเข้าถึงข้อมูลที่อยู่ในชิป จะไม่สามารถทำได้จากการ NFC โดยตรงเพียงอย่างเดียว เนื่องจากตัวพาสปอร์ตนี้ได้นำเทคโนโลยีลายเซ็นดิจิทัลมาใช้ เพื่อป้องกันผู้ไม่หวังดีทำการจารกรรมข้อมูลได้โดยง่าย ซึ่งในลายเซ็นดิจิทัลที่อยู่บนชิปที่ฝังอยู่บนพาสปอร์ต ประกอบไปด้วย
-
- Trust Chain
- Country Signing Certification Authority (CSCA) Certificate
- Document Signer Certificate (DSC)
- Certificate Revocation List (CRL)
- Master List Signer Certificate
Trust Chain
คือชุดรหัสข้อมูลที่อยู่บนหน้าพาสปอร์ต และข้อมูลที่อยู่ในชิพ ชุดข้อมูลจะอยู่ในรูปแบบ Certificate ที่มีการเข้ารหัสซับซ้อน ได้แก่ Country Signing Certification Authority (CSCA) และ Document Signer Certificate (DSC) เมื่อทั้งสองอย่างประกอบเข้าด้วยกันแล้ว จะเกิดเป็น Trust Chain ขึ้น โดยที่ข้อมูลชุดแรกจะถูกเก็บไว้อย่างปลอดภัยโดยหน่วยงานของรัฐที่ออกเอกสารพาสปอร์ต (สำหรับประเทศไทยก็คือ กรมการกงสุล) และข้อมูลอีกชุด จะถูกจัดเก็บไว้ในชิป ที่ฝังอยู่บน ePassport ดังนั้น ในการตรวจสอบว่าเอกสารมีความน่าเชื่อถือ เป็นของแท้หรือไม่ จะต้องใช้ทั้งสองสิ่งร่วมกัน หากกุญแจสามารถไขข้อมูลให้เปิดออกได้จะถือว่าเป็นข้อมูลชุดเดียวกัน ที่มีความถูกต้องและน่าเชื่อถือ
Country Signing Certification Authority (CSCA) Certificate
รัฐที่ออกพาสปอร์ต จะเป็นผู้กำหนด Country Signing Certificate Authority (CSCA) ซึ่งก็คือองค์กร หรือหน่วยงานที่ทำหน้าที่ในการรับรองกุญแจสาธารณะให้กับผู้ใช้บริการโดยการออกใบรับรองให้กับผู้ใช้บริการ ใบรับรองลายเซ็นดิจิทัลที่ออกโดย CSCA เป็นใบรับรองที่มีความน่าเชื่อถือระดับประเทศ ซึ่งโดยทั่วไปจะใช้สำหรับการออกเอกสารในทุกๆ 3-5 ปี และมักจะแลกเปลี่ยนกันแบบทวิภาคีเพื่อให้มั่นใจถึงความปลอดภัยขั้นสูงสุด ใบรับรอง CSCA สามารถเข้าถึงผ่านทาง Master Lists และตรวจสอบด้วยวิธีอื่นๆ เพิ่มเติม
Document Signer Certificate (DSC)
DSC คือใบรับรองที่มีข้อมูลที่จำเป็นในการตรวจสอบลายเซ็นดิจิทัลบนพาสปอร์ต แม้ว่าจะไม่มีการกำหนดระยะเวลาขั้นต่ำหรือสูงสุดใน เอกสาร ICAO 9303 เกี่ยวกับระยะเวลาที่ใช้ใบรับรอง DSC ได้ แต่แนวทางปฏิบัติที่ดีที่สุด โดยทั่วไปคือระยะเวลาการใช้งานไม่เกิน 3 เดือนหรือสำหรับการลงนามในเอกสารการเดินทาง 100,000 ฉบับ แล้วแต่ว่าอย่างใดจะเร็วกว่า ซึ่งตรงกันข้ามกับใบรับรอง CSCA ที่ระยะเวลาในการใช้ใบรับรองนั้นยาวนาน และการใช้งานค่อนข้างคงที่ เนื่องจาก DSC จะถูกสร้างขึ้นไว้ล่วงหน้าเป็นจำนวนมาก ทั้งนี้ เพื่อตรวจสอบความถูกต้องของ DSC ที่เชื่อมโยงกับ ePassport กับใบรับรอง CSCA สำหรับรัฐที่ออกเพื่อยืนยันว่าเอกสารนั้นเป็นของแท้และไม่ได้ถูกดัดแปลง
Certificate Revocation List (CRL)
CRL เป็นรายการที่ออกโดยรัฐ เพื่อเพิกถอนใบรับรองใดๆ ที่ถูกละเมิด นอกจากนี้ CRL ยังใช้เพื่อยืนยันสถานะใบรับรองต่างๆ บนพาสปอร์ตว่าไม่ได้มีการถูกเพิกถอน และยังทำงานได้ตามปกติ ซึ่งรายชื่อ CRL นี้ จะมีการอัปเดททุก 90 วัน แม้ว่าจะไม่มีการเพิกถอนใบรับรองใดๆ ตั้งแต่ออก CRL ก่อนหน้านี้ก็ตาม
Master Lists
Master List คือรายการควบคุมเอกสารสำหรับใบรับรอง CSCA อธิบายโดยง่ายก็คือ ผู้เข้าร่วม PKD อาจแลกเปลี่ยนใบรับรอง CSCA กับรัฐอื่นๆ แบบทวิภาคี รับรองความถูกต้องของใบรับรอง จากนั้นก็ทำการรวบรวม ลงนาม และอัปโหลด Master List ไปยัง ICAO PKD หลังจากนั้น ผู้ที่ต้องการอัปเดท CSCA ก็จะสามารถดาวน์โหลด Master List ที่เผยแพร่โดย ICAO นั่นเอง
การเผยแพร่ Master List จะช่วยให้รัฐต่างได้รับชุดใบรับรอง CSCA จากแหล่งเดียว แทนที่จะสร้างการแลกเปลี่ยนทวิภาคีโดยตรงกับแต่ละหน่วยงาน ซึ่งประโยชน์ที่ได้ ก็คือ ยิ่งมีใบรับรอง CSCA มากขึ้น รัฐต่างๆ ก็ยิ่งสามารถมั่นใจได้ว่าใบรับรอง CSCA ที่นำมาใช้ในการตรวจสอบนั้นเป็นของจริง ในส่วนนี้ Master List มีส่วนช่วยในการสร้างและปรับปรุงความน่าเชื่อถือของข้อมูลโดยอิงตามใบรับรอง CSCA
ICAO PKD
ปัจจุบันมี มีการหมุนเวียน ePassport มากกว่า 1 พันล้านฉบับ และมีกว่า 80 ประเทศทั่วโลก รวมถึงหน่วยงานที่ไม่ใช่รัฐ เช่น สหประชาชาติ สหภาพยุโรป ที่เข้าร่วม ICAO Public Key Directory (PKD)
source: https://www.icao.int/Security/FAL/PKD/Pages/default.aspx
เพื่อให้ลายเซ็นดิจิทัลเป็นคุณลักษณะความปลอดภัยที่มีประสิทธิภาพ ประเทศต่างๆ จะต้องแลกเปลี่ยนใบรับรองของตนซึ่งกันและกัน แม้ว่าใบรับรอง CSCA และ DSC สามารถแลกเปลี่ยนกันได้แบบทวิภาคี แต่การที่มีรัฐต่างๆ ออกเอกสาร ePassport เพิ่มขึ้น ปริมาณ ePassport ที่เพิ่มขึ้นเหล่านี้จะส่งผลให้เกิดระบบที่ซับซ้อน ทำให้ประสิทธิภาพการทำงานลดลงจนอาจทำให้เกิดข้อผิดพลาดได้ ด้วยเหตุนี้ ICAO จึงสร้างระบบเพื่ออำนวยความสะดวกในการแบ่งปันข้อมูลระหว่างรัฐ: ICAO Public Key Directory (PKD) ICAO PKD เป็นไดเร็กทอรีแบบรวมศูนย์ที่ให้แหล่งข้อมูลออนไลน์ที่เป็นปัจจุบัน มีความเป็นอิสระต่อกัน แต่ในขณะเดียวกันก็เป็นระเบียบ ปลอดภัย และคุ้มค่า
ประเทศที่เข้าร่วม PKD สามารถอัปโหลดใบรับรองต่างๆ ที่จำเป็นในการรับรองรายเซ็นดิจิทัล ไปยัง ICAO PKD และแม้ว่าผู้เข้าร่วม PKD จะต้องส่งใบรับรอง CSCA ไปยัง ICAO PKD แต่ข้อมูลจะไม่ได้มีการเผยแพร่โดยตรงในไดเร็กทอรีสำหรับการดาวน์โหลด เพราะใบรับรองที่ ICAO ได้ จะนำมาใช้เพื่อตรวจสอบความถูกต้องของ Document Signer Certificates, Master List Signer certificates และ Certificate Revocation List ของประเทศที่ออกใบรับรอง ก่อนที่รายการเหล่านี้จะถูกเผยแพร่ไปยัง ICAO PKD เท่านั้น แล้วจึงเปิดให้ผู้เข้าร่วม PKD และผู้ใช้รายอื่นสามารถดาวน์โหลดได้ ในรูปแบบของ Master List ของ CSCA ตามกฎของ ICAO ที่มีการลงนามและยอมรับโดยสหประชาชาติ (UN)
สำหรับการยืนยันตัวตนแบบ None Face-2-Face ด้วย ePassport ของ BeID ถือว่ามีความน่าเชื่อถือของอัตลักษณ์ (Identity Assurance Level: IAL) อยู่ที่ระดับ 2 เป็นต้นไป เหมาะสำหรับธุรกรรมที่มีความเสี่ยงต่ำ ไปจนถึงความเสี่ยงปานกลาง จึงมั่นใจได้ว่า ไม่ว่าธุรกิจของคุณจะเป็นในรูปแบบใด หากมีลูกค้าเป็นชาวต่างชาติ ก็สามารถใช้วิธีการยืนยันตัวตนของลูกค้าด้วยวิธีนี้ได้อย่างแน่นอน
ลูกค้าที่ให้ความไว้วางใจ ใช้บริการ ePassport Solutions จากเรา
BeID ผ่านการทำงานกับสถาบันการเงินชั้นนำที่ต้องปฏิบัติให้เป็นไปตามแนวทางการกำกับดูแลของธนาคารแห่งประเทศไทย (BOT) เรามีประสบการณ์และเชี่ยวชาญด้านการยืนยันตัวตนโดยใช้ ePassport อย่างแท้จริง คุณจึงมั่นใจได้ว่าจะได้รับบริการที่ได้มาตรฐานอย่างแน่นอน
บริการด้าน Digital Identification และ NF2F eKYC ด้วยมาตรฐาน IAL 2.3 ช่วยติดปีกธุรกิจของคุณให้โกอินเตอร์ พร้อมยกระดับการให้บริการด้วย ePassport eKYC ปลอดภัยยิ่งขึ้น เหนือระดับยิ่งกว่า เพียง ติดต่อเรา ที่ BeID เพื่อรับคำปรึกษา ฟรี !
Source :
https://index.baselgovernance.org/api/uploads/221004_Basel_AML_Index_2022_72cc668efb.pdf
https://www.bot.or.th/Thai/FIPCS/Documents/FPG/2562/ThaiPDF/25620191.pdf
https://www.icao.int/Security/FAL/PKD/Pages/ePassport-Basics.aspx
