e-ID Mongolia
Нэвтрэх
Mongolia · Smart-ID-style remote sign · Mobile only

e-ID Mongolia

Гар утсан дээр иргэний цахим үнэмлэх. Нууц үггүй нэвтрэлт ба хууль ёсны хүчин төгөлдөр гарын үсэг — нэг л аппликейшн дээр.

iOS дээр суулгахPDF гарын үсэг зурахГарын үсэг шалгах
Backend: online · api.eidmongol.mn

Уг систем дээр

ECDSA-2P

Threshold sign

FIPS 140-2 L3

HSM CA

RFC 3161

Timestamp бүрд

X-Road

RP integration

Юу хийж чадах вэ

Smart-ID загварт суурилсан, Монгол улсын нөхцөлд тохирсон нийтийн PKI инфраструктур. Утсан дээрээ л нууц үг, USB token, smart card байх шаардлагагүй.

Passwordless нэвтрэлт

Веб болон мобайл апп руу нууц үггүй нэвтрэх. PIN1 4 оронтой код утсан дотроо хадгалагдан, нууцлал зөвхөн таны Secure Enclave-д үлдэнэ.

Хууль ёсны гарын үсэг

Монголын Цахим гарын үсгийн тухай хуулийн 7-р зүйлийн "Дэвшилтэт цахим гарын үсэг" зэрэгцэй PDF файлд PIN2-аар гарын үсэг зурна. Бүх гарын үсэг RFC 3161 timestamp-тай.

Threshold ECDSA-2P

Гарын үсгийн нууц түлхүүр утас дээр + сервер дээр хагасчилан хуваагдсан. Нэг тал ганцаараа гарын үсэг зурах боломжгүй — Smart-ID-ийн жинхэнэ загвар.

X.509 сертификат HSM-аас

Иргэний AUTH ба SIGN сертификатуудыг Google Cloud KMS HSM (FIPS 140-2 L3) дээрх Issuing CA түлхүүрээр гаргана. 3 жилийн validity, OCSP revocation, ETSI EN 319 412 субьект DN.

RFC 3161 timestamp

Гарын үсэг бүр timeserver.mn-ээс ирсэн TimeStampToken-той. Документ хэзээ гарын үсэг зурагдсан баталгаатай.

X-Road зөвхөн RP

Засгийн газрын RP-үүд X-Road subsystem ID-аар л холбогдоно. API key үгүй — бүх integration mTLS-тай төрийн стандарт замаар.

Хэрхэн ажилладаг

Утаснаас гарахгүйгээр иргэний DAN-аас баталгаажуулалт хийж, селфигээ царайны зурагтай тулгаад, PIN1/PIN2 тохируулсаны дараа аппликейшн зайлшгүй заавал ашиглах бэлэн.

  1. Step 01

    1. DAN-аас баталгаажуулалт

    Регистрийн дугаараа оруулаад eMongolia-ийн SSO-оор иргэний бүртгэлийн хүснэгттэй холбогдоно. Овог нэр, иргэний дугаар, зураг бүрэн ирнэ.

  2. Step 02

    2. Селфи liveness

    Ил гэрэлтэй селфи зургаа аваад иргэний үнэмлэхний зурагтай тулгана. Apple Vision-ийн face detection-аар царайг crop хийсэн жижиг тил серверт явна.

  3. Step 03

    3. PIN1 + PIN2

    4 оронтой PIN1 (нэвтрэлт) ба 6 оронтой PIN2 (гарын үсэг)-ээ давхар оруулж тохируулна. PIN-ийн ямар ч мэдээлэл сервер рүү очдоггүй — зөвхөн утасны Secure Enclave дотор үлдэнэ.

  4. Step 04

    4. Сертификат автомат

    Утаснаас Secure Enclave-д ECDSA P-256 нууц түлхүүр үүсгэж, public key-ийг серверт илгээнэ. HSM CA нь 3 жилийн validity-той X.509 cert буцаана. AUTH + SIGN хоёр profile.

  5. Step 05

    5. Веб дээр нэвтрэх

    eidmongol.mn/login дээр регистрийн дугаараа оруулна. Утсан руу 6 оронтой control code-той push ирнэ. Кодыг тулгаад PIN1-ээ дарвал веб руу автомат нэвтэрнэ.

  6. Step 06

    6. PDF файл гарын үсэг

    Веб дээр PDF сонгоод, утсан дээрх PIN2-ээ дарвал документ дээр "VERIFIED" verification page нэмэгдэж нэг бүтэн PDF буцаагдана. QR код-аар verify хуудас нэмэлт нээгдэнэ.

Аюулгүй байдал

Криптограф протокол сонгох, нөөц боловсруулах, PIN-тэй харьцах бүх дүрэм нь Estonia, Latvia, Lithuania-ын Smart-ID болон ETSI / eIDAS substantial / high-ийн стандартыг даган явна.

PIN сервер мэдэхгүй

Бид PIN-ийн hash, salt, KDF гаргалт, ямар ч derivation-ийг хадгалдаггүй. Утасны Secure Enclave дахь threshold keyshare-ийг PIN-аас үүсгэгдсэн AES key-ээр түгжих ба сервер хагасыг л хадгална.

HSM FIPS 140-2 Level 3

Issuing CA-ийн хувийн түлхүүр нь Google Cloud KMS HSM-д үүсэж, тэндээс гардаггүй. Cert sign бүх үйлдэл HSM-ийн дотор хийгдэж API дамжуулан гэхээс өөр гадагшаа гарах боломжгүй.

TLS pinning

iOS app SPKI-SHA256 pinning ашигладаг — Production build-д сертификатыг хатуу баталгаажуулна. Цаг агшинд цаашид SAN, root chain-ийн өөрчлөлт хийх боломж арилгасан.

Audit log hash chain

Бүх auth, sign, KYC үйлдэл append-only hash-chained audit log руу бичигдэнэ. 16 shard partition + Merkle root daily checkpoint = өнгөрсөн log-ийг өөрчлөх боломжгүй.

Push гэхээс илүү poll

APNs push нь зөвхөн UX-ийн hint. Бодит pending session тооцоо нь iOS дээр 3 секунд тутамд polling хийдэг — push алдсан тохиолдолд гарын үсэгт орхигдох бус.

RLS дотор бүх PII

Postgres Row-Level Security policy дотор бүх citizen, sign session, audit бичлэгүүд хадгалагдана. Hostility-аас санамсаргүйгээр другой иргэний өгөгдөл уншихаас сэргийлсэн compile-time баталгаа.

Иргэдийн асуулт

PIN-ээ мартвал яах вэ?+

PIN сервер мэдэхгүй учир resetлүүгүй. Шинэ PIN тохируулахын тулд DAN-аар дахин баталгаажуулж, утсан дотор хуучин түлхүүр-share устгаж, шинээр онбординг хийнэ.

Утас алга болсон бол хуудаа дамжих уу?+

Шинэ утсанд аппликейшнаа суулгаад дахин DAN-аар баталгаажуулна. Хуучин device автомат revoked болж, шинэ device-н сертификат олгогдоно. Хуучин гарын үсэг хэрэгтэй хууль ёсны хүчинтэй хэвээр.

Гарын үсэг хууль ёсны хүчинтэй юу?+

Тийм. Монгол Улсын Цахим гарын үсгийн тухай хуулийн 7-р зүйлийн дагуу HSM-аас гарсан Issuing CA-ийн сертификаттай PIN2 гарын үсэг нь Дэвшилтэт цахим гарын үсэгтэй адил хууль зүйн хүчин төгөлдөр.

Цахим гарын үсэг бусад улсын систем дээр ажиллах уу?+

ETSI EN 319 122 (CAdES) болон EN 319 142 (PAdES B-LT) profile дагасан тул Adobe, Foxit зэрэг олон улсын PDF reader-аас validate хийнэ. eIDAS Substantial түвшинд тохирох.

Сар бүр төлбөртэй юу?+

Иргэдэд аппликейшн үнэгүй. Гарын үсгийн төлбөр зөвхөн RP (relying party) талаас avlдана — иргэн зүгээр л ашиглана.

Хүүхдийн дансан дээр хэрэглэх боломжтой юу?+

16 наснаас доош хүүхдийн e-ID нь эцэг эх / асран хамгаалагчийн дансаар linked. M-of-N policy дагуу хүүхдийн нэрийн өмнөөс нэг гарын үсэг асран хамгаалагч + e-ID Mongolia officer-ийн confirm-аар л боломжтой.

Одоо эхлэх үү?

iPhone-доо аппликейшн суулгаад, регистрийн дугаараа оруулаарай. 5 минутын дотор дижитал үнэмлэх ба гарын үсгийн сертификат таны гарт.

iOS дээр суулгахPDF гарын үсэг зурах