Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 31 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
31
Dung lượng
691,81 KB
Nội dung
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO Đề tài : NGHIÊN CỨU TỔNG QUAN VỀ ỨNG DỤNG PKI TRONG TRIỂN KHAI HỘ CHIẾU ĐIỆN TỬ Học phần: Chứng thực điện tử Lớp L01 Nhóm 10 Thành viên nhóm : Nguyễn Mạnh Thế-AT150454 Lị Thị Ngọc Anh -AT150403 Vũ Hà Quang -AT150447 Hà Nội, 2022 Mụ c Lụ c Mục Lục Lời nói đầu .2 CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI VÀ CHỮ KÝ SỐ 1.1 Tổng quan sở hạ tầng khóa cơng khai 1.1.1 Các thành phần PKI 1.2 Chứng thư số CA 1.2.1 Quy trình cấp chứng thư số .8 1.3 Chứng số 1.3.1 Ba thành phần chứng số: 1.3.2 Chữ ký số CA cấp chứng chỉ: .9 CHƯƠNG HỘ CHIẾU ĐIỆN TỬ 11 2.1 Hộ chiếu điện tử 11 2.2 Cấu trúc hộ chiếu điện tử 13 2.2.1 Công nghệ RFID 14 2.2.2 RFIC hộ chiếu điện tử 15 2.2.3 MRZ 15 2.3 Một số yêu cầu bảo mật thông tin hộ chiếu điện tử 16 2.4 Các chế bảo mật thông tin hộ chiếu điện tử 17 CHƯƠNG III: ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ 19 3.1 Xác thực thụ động (Passive Authentication) 19 3.2 Xác thực đầu cuối (Terminal Authentication) 19 3.2.1 Country Verifying Cas (CVCA) .21 3.2.2 Document Verifiers Inspection Systems 21 3.2.3 ICAO PKD 22 3.3 Quy trình cấp phát hộ chiếu điện tử đề xuất 24 3.4 Quy trình xác thực hộ chiếu điện tử 26 TỔNG KẾT 28 Lời nói đầu Hộ chiếu điện tử (ePassport) sử dụng lần Malaysia vào năm 1998, có trước tiêu chuẩn ICAO Bỉ nước giới phát hành ePassport tuân thủ tiêu chuẩn Ngày nay, nhiều quốc gia khác phát hành ePassport Pháp, Đức, Nederlands, Hoa Kỳ, … Hiện nay, cơng nghệ sinh trắc học nói riêng công nghệ bảo vệ hộ chiếu, thị lực, loại giấy tờ lien quan xuất nhập cảnh nói chung nghiên cứu, phát triển mạnh mẽ giới Đặc biệt sau kiện 11/9/2001 nước Mĩ bị công khủng bố, tất nước giới quan tâm đến việc củng cố hệ thống an ninh, áp dụng nhiều biện pháp kĩ thuật nghiệp vụ để bảo vệ, chống làm giả hộ chiếu giấy tờ xuất nhập cảnh, đồng thời tăng cường kiểm tra, kiểm soát cửa quốc tế để kịp thời phát ngăn chặn phần tử khủng bố quốc tế Mặt khác tình hình xuất nhập cảnh trái phép diễn phức tạp Hộ chiếu truyền thống không đáp ứng hết yêu cầu đặt tính tiện lợi loại giấy tờ mang tính tƣơng tác tồn cầu độ an tồn bảo mật thơng tin, tránh làm giả phải dễ dàng thuận tiện cho quan kiểm soát xuất nhập cảnh công dân quốc gia xuất nhập cảnh Vì nghị Tổ chức hàng không dân dụng giới (ICAO) phát hành năm 2003, tất thành viên tổ chức triển khai ứng dụng hộ chiếu điện tử trước năm 2010 Ngày nay, với ứng dụng CNTT, hộ chiếu điện tử nghiên cứu đưa vào triển khai ,ứng dụng thực tế nhiều nước phát triển giới Việc sử dụng hộ chiếu điện tử xem biện pháp tăng cường khả xác thực, bảo mật an ninh cho ngƣời mang hộ chiếu quốc gia Cơ việc thực hộ chiếu điện tử cung cấp hộ chiếu an tồn thơng qua vi mạch điện tử nhúng sách Chip cho phép đảm bảo tính tồn vẹn liệu, tức khơng sửa đổi nội dung hộ chiếu mà khơng bị phát hiện; tính tồn vẹn đảm bảo chữ ký số quan cấp phát hành Tính xác thực liệu bảo vệ: chế tạo hộ chiếu từ đầu khơng thể người làm giả tự tạo chữ ký đề cập Bên cạnh đó, chip điện tử cho phép kết hợp sinh trắc học để ràng buộc hộ chiếu với quốc tịch đích thực nó, bổ sung thêm tính nhận dạng bổ sung Do tính chất vật lý điện nó, chip lưu trữ an tồn thơng tin tiểu sử sinh trắc học (tên, ngày sinh, số hộ chiếu, hình ảnh khn mặt, ), so sánh với người tiết lộ trực quan trang hộ chiếu với sinh trắc học người vật lý Cuối cùng, chip ngăn chặn nhân thay thông qua chế chip phải chứng minh việc sở hữu khóa riêng dựa khóa cơng khai tạo cách an toàn cao nhà nước phát hành CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI VÀ CHỮ KÝ SỐ 1.1 Tổng quan sở hạ tầng khóa cơng khai PKI (Public Key Infrastructure) hoạt động dựa hỗ trợ thẻ chứng thực số (digital certificates), bao gồm thành phần: Hardware, software, tập sách, thủ tục phát hành/thu hồi thẻ chứng thực chuẩn Các thành phần kết hợp với để thiết lập phương thức trao đổi thông tin mơi trường mạng đảm bảo tính xác thực định danh đối tác mức an toàn cao Nhiệm vụ PKI sử dụng chiến lược mã hóa khóa cơng cộng (public key encryption) để tạo, quản lý thu hồi thẻ chứng thực, Cụ thể: - Tạo xác định tính hợp lệ chữ ký số (digital signatures) - Đáp ứng đăng ký thẻ người sử dụng - Xác thực người sử dụng phân phối thẻ chứng thực đến họ - Thu hồi thẻ chứng thực hết hạn - Tạo private key public key cho PKI client Với hỗ trợ PKI, hệ thống bảo mật xác thực người sử dụng theo cách an toàn so với cách xác thực chuẩn (xác thực thơng qua user name password): Nó sử dụng thẻ chứng thực có chứa thơng tin định danh public key đối tác trao đổi thông tin để xác định định danh tính hợp lệ họ Ngồi ra, PKI cịn giúp mã hóa thơng tin nhạy cảm “ký” tài liệu số Có thể nói, PKI hạ tầng kỹ thuật thơng tin, cho phép người dùng Internet trao đổi thơng tin cách riêng tư bảo mật thông qua việc sử dụng cặp khóa public private riêng họ Cặp khóa nhận chia sẻ thông qua trung tâm ủy quyền tin cậy (CA) PKI cung cấp thẻ chứng thực số cho đối tác tham gia trao đổi thông tin môi trường Internet Thẻ sử dụng để định danh cá nhân, tổ chức dịch vụ thư mục 1.1.1 Cá c nh phầ n củ a PKI Hệ thống PKI bao gồm thành phần sau: PKI client Certification Authority (CA) – Ủy quyền thẻ chứng thực CA thành phần thứ tin cậy (trusted third part), nhận yêu cầu phát hành (cấp) thẻ chứng thực, từ tổ chức cá nhân đó, phát hành thẻ chứng thực yêu cầu đến họ sau xác thực client yêu cầu (Verisign MSN hai công ty CA tiếng giới) CA dựa vào sách, trao đổi thơng tin môi trường bảo mật, tổ chức để định nghĩa tập quy tắc, thủ tục liên quan đến việc phát hành thẻ chứng thực Mọi họat động tạo, phát hành, thu hồi thẻ chứng thực sau tuân theo quy tắc, thủ tục Registration Authority (RA) – Ủy quyền đăng ký Nhiệm vụ RA kiểm tra yêu cầu thẻ chứng thực số client Khi PKI client gửi yêu cầu phát hành thẻ chứng thực số đến CA, CA ủy quyền phản hồi xác thực yêu cầu đến RA Sau kiểm tra yêu cầu thành công, RA forward yêu cầu đến CA CA nhận yêu cầu, phát hành thẻ chứng thực yêu cầu, gửi thẻ chứng thực đến RA RA forward thẻ đến cho PKI client (gửi yêu cầu phát hành thẻ chứng thực trước đó) Digital certificates (DC) – Chứng số Thẻ chứng thực số xem card định danh (ID card) sử dụng môi trường điện tử/môi trường mạng máy tính Nếu thực tế, người ta dùng ID card để định danh cá nhân mơi trường trao đổi thơng tin an toàn, PKI sử dụng thẻ chứng thự số để định danh đối tượng suốt q trình truyền thơng Thẻ chứng thực số chứa thông tin sau: - Số serial thẻ chứng thực - Ngày hết hạn thẻ chứng thực - Chữ ký số CA - Public key PKI client Trong trình giao dịch, bên gửi gửi thẻ chứng thực số, với liệu mã hóa, cho bên nhận Bên nhận cuối sử dụng thẻ chứng thực số để xác nhận tính hợp lệ xác thực bên gửi Bên nhận, sử dụng public key CA để giải mã public key bên gửi (được nhận với thông điệp mã hóa đến từ bên gửi) Sau định dang bên gửi xác định, bên nhận sử dụng public key bên gửi để giải mã liệu mà nhận Một số loại chứng số thông dụng là: - Chứng X.509 - Chứng khóa cơng khai đơn giản (Simple Public Key Certificates - SPKC) - Chứng Pretty Good Privacy (PGP) - Chứng thuộc tính (Attribute Certificates – AC) Certificate Distribution System (CDS) – Hệ thống phân phối thẻ CDS lưu trữ tất thẻ chứng thực phát hành đến cho người sử dụng mạng CDS lưu trữ cặp khóa, tính hợp lệ “chữ ký” khóa public Danh sách khóa hết hạn, khóa bị thu hồi bị mất, bị hết hạn CDS lưu trữ Ngồi cịn có thành phần khác: Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính hợp lệ thể chứng thực số đối tác trao đổi thông tin Certificate revocation list (CRL): Chứa danh sách thẻ chứng thực bị thu hồi CA Danh sách Thu hồi Chứng (CRL) danh sách chứng kỹ thuật số bị thu hồi Tổ chức phát hành Chứng (CA) trước ngày hết hạn lên lịch khơng cịn đáng tin cậy CRL loại danh sách cấm sử dụng điểm cuối khác để xác minh xem chứng có hợp lệ đáng tin cậy hay khơng Kỹ thuật mã hóa public key privte key: Có thể sử dụng để mã hóa giải mã thơng tin Các đối tác (partner)/Đối tượng (Subject): Có thể users, organizations service systems: Đây đối tượng muốn sử dụng kỹ thuật public key private key để trao đổi thông tin cách an tồn Hình sau cho ta nhìn khái quát chức thành phần hệ thống PKI hoạt động hệ thống này: User gửi yêu cầu phát hành thẻ chứng thực public key đến RA (1); Sau xác nhận tính hợp lệ định danh user RA chuyển yêu cầu đến CA (2); CA phát hành thẻ chứng thực cho user (3); Sau user “ký” thông điệp trao đổi với thẻ chứng thực vừa nhận từ CA sử dụng chúng (thẻ chứng thục số + chữ ký số) giao dịch (4); Định danh user kiểm tra đối tác thông qua hỗ trợ VA (5): Nếu thẻ chứng thực user xác nhận tính hợp lệ (6) đối tác tin cậy user bắt đầu q trình trao đổi thơng tin với (VA nhận thơng tin thẻ chứng thực phát hành từ CA (a)) 1.2 Chứng thư số CA Chứng thư số hay gọi chứng thư điện tử, giống chứng minh thư nhân dân hộ chiếu bạn vậy, dùng để xác nhận danh tính đối tượng ví dụ phần mềm , ứng dụng, máy chủ đại diện cho cá nhân, tổ chức tham gia giao dịch điện tử, nhằm đảm bảo an tồn q trình giao dịch điện tử Một chứng thư số phải đảm bảo đủ thông tin sau: Tên chủ thể, chủ sở hữu chứng thư số Khóa cơng khai (Public key) Một số thơng tin khác như: thông tin doanh nghiệp, hạn sử dụng, thông tin sản phẩm… Chữ ký số người cấp chứng thư Chứng thư số dùng để xác định danh tính đối tượng tham gia vào giao dịch điện tử dựa máy chủ xác thực danh tính 1.2.1 Quy trình cấ p ng thư số Bước 1: Khách hàng chuẩn bị đầy đủ hồ sơ thông tin cá nhân doanh nghiệp tên, giấy phép kinh doanh gửi thông tin đăng ký đến nhà cung cấp dịch vụ chữ ký số Bước 2: Các nhà cung cấp dịch vụ chữ ký số xác thực thông tin cá nhân, doanh nghiệp có với thơng tin trung tâm liệu quốc gia, thông tin hồ sơ đăng ký chứng thư số chấp nhận Thông tin khách hàng nạp vào usb token smart card Khi khách hàng nhận hợp đồng thiết bị từ nhà cung cấp, cần xác nhận nội dung chứng thư số gì? Tên doanh nghiệp thời hạn chứng thư số có với hợp đồng hay không? Bước 3: Nhà cung cấp NewCA gửi tồn thơng tin doanh nghiệp A đến Trung tâm chứng thực chữ ký số quốc gia (Root CA) – Trực thuộc cục Ứng dụng công nghệ thông tin Bộ Thông tin Truyền thông Bước 4: Doanh nghiệp đăng ký tài khoản với máy chủ Tổng cục thuế (Tên đăng nhập Mã số thuế doanh nghiệp), đồng thời gửi khóa cơng khai Bước 5: Máy chủ thuế gửi yêu cầu xác nhận thông tin tới Trung tâm chứng thực chữ ký số quốc gia Bước 6: Trung tâm chứng thực chữ ký số quốc gia (Root CA) trả lại kết xác nhận với quan thuế 1.3 Chứng số Chứng số tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, công ty Internet Nó giống lái xe, hộ chiếu, chứng minh thư hay giấy tờ xác minh cá nhân Để có chứng minh thư, bạn phải quan Cơng An sở cấp Chứng số vậy, phải tổ chức đứng chứng nhận thơng tin bạn xác, gọi Nhà cung cấp chứng thực số (CA Certificate Authority) CA phải đảm bảo độ tin cậy, chịu trách nhiệm độ xác chứng số mà cấp 2.2.2 RFIC hộ chiếu điện tử Mạch tích hợp RFIC gồm chip tuân theo chuẩn ISO/IEC 14443 ăngten vịng khơng dùng để kết nối mà cịn dùng để nhận biết tín hiệu từ đầu đọc Điều giải thích HCĐT khơng có nguồn điện trong, lượng hoạt động cho chip thu nhận qua ăngten Mạch RFIC gắn vào vị trí khác hộ chiếu, thơng thường phần bìa phần trang liệu Trong trình gắn, cần phải đảm bảo chip khơng bị ăn mịn khơng bị rời khỏi hộ chiếu 2.2.3 MRZ Vùng MRZ hộ chiếu thẻ du lịch rơi vào hai loại: Loại Loại MRZ loại ba dòng, với dòng chứa 30 ký tự MRZ loại có hai dịng, dòng chứa 44 ký tự Trong hai trường hợp, MRZ mã hóa xác định thơng tin cơng dân cụ thể, bao gồm loại hộ chiếu, ID hộ chiếu, quốc gia phát hành, tên, quốc tịch, ngày hết hạn, v.v 16 2.3 Một số yêu cầu bảo mật thông tin hộ chiếu điện tử Vấn đề bảo mật HCĐT quy trình cấp phát, kiểm duyệt vấn đề tối quan trọng an ninh quốc gia Vấn đề cần phải thỏa mãn yêu cấu sau đây: Tính chân thực Cơ quan cấp hộ chiếu phải ghi thông tin người đƣợc cấp hộ chiếu, nhầm lẫn q trình ghi thơng tin cấp hộ chiếu Đây điều đƣơng nhiên bắt buộc phải có Tính khơng thể nhân Mục tiêu phải đảm bảo tạo xác RFIC Tính nguyên vẹn xác thực Cần chứng thực tất thông tin lƣu trang liệu RFIC quan hộ chiếu tạo ra(xác thực) Hơn cần chứng thực thông tin khơng bị thay đổi từ lúc lưu(ngun vẹn) Tính liên kết người - hộ chiếu Cần phải chứng minh HCĐT thuộc ngƣời mang hay nói cách khác thông tin hộ chiếu mô tả người sở hữu hộ chiếu Tính liên kết hộ chiếu – chip Cần phải khẳng định booklet khớp với mạch RFIC nhúng Kiểm sốt truy cập Đảm bảo việc truy cập thông tin lưu chip phải đồng ý người sở hữu nó, hạn chế truy cập đến thông tin sinh trắc học nhạy cảm tránh mát thông tin cá nhân 17 2.4 Các chế bảo mật thông tin hộ chiếu điện tử Để đáp ứng yêu cầu bảo mật liệu hộ chiếu điện tử cần phải có chế bảo mật thông tin nhằm ngăn chặn nguy đáp ứng yêu cầu bảo mật thông tin Tổ chức Hãng hàng không dân dụng quốc tế ICAO đưa chế bảo mật cho hộ chiếu điện tử sau : Passive Authentication (PA): Cơ chế xác thực bị động, chế bắt buộc trình xác thực hộ chiếu điện tử Cơ chế làm nhiệm vụ kiểm tra tính ngun vẹn xác thực thơng tin lưu chip RFID cách kiểm tra chữ ký số quan cấp hộ chiếu để xác thực liệu lưu nhóm cấu trúc liệu logic LDS chip RFID Basic Access Control (BAC): Đây hệ chế kiểm soát truy cập sử dụng nhiều ePassports toàn giới Hệ thống kiểm tra bắt nguồn từ khóa truy cập cách đọc Vùng máy đọc (MRZ) datapage ePassport (thông tin khóa tay khơng thể đọc máy MRZ) Các khóa sử dụng BAC đối xứng (tức khóa sử dụng để mã hóa liệu để truyền cho người đọc người đọc sử dụng để giải mã liệu) Thiết lập kết nối xác thực mật (PACE): PACE thiết kế để khắc phục hạn chế BAC, có sức mạnh hạn chế sử dụng mật mã đối xứng Nói cách đơn giản, trình cho PACE giống BAC; nhiên, PACE sử dụng mật mã bất đối xứng để thiết lập bảo vệ mạnh chống lại nghe Active Authentication (AA): Cơ chế xác thực chủ động, chế đảm bảo tính xác thực chip tích hợp hộ chiếu điện tử cách đưa cặp khóa riêng Khóa bí mật lưu DG15 bảo vệ chế PA Khóa cơng khai tương ứng lưu vào nhớ bảo mật sử dụng chip RFID đọc bên Cơ chế nên sử dụng nơi mà BAC áp dụng Extended Access Control (EAC): Mục đích chế EAC để tăng cường bảo vệ thông tin sinh trắc học nhạy cảm (vân tay, mống mắt) đồng thời khắc phục hạn chế trình xác thực chủ động Tuy nhiên ICAO đề cập tới chế dạng tùy chọn để quốc gia, giới khoa học tiếp tục nghiên cứu bổ sung Cơ chế bao gồm hai trình: Xác thực chip (Chip Authentication) 18 Là giao thức cho phép hệ thống kiểm tra xác thực tính đắn chip RFID HCĐT Trước sử dụng giao thức chip RFID cần bảo vệ giao thức BAC Xác thực đầu đọc (Terminal Authentication) Là giao thức chip RFID xác minh xem hệ thống kiểm tra có quyền truy cập đến vùng liệu nhạy cảm hay khơng Khi hệ thống kiểm tra truy cập đến liệu sinh trắc tất truyền thông phải bảo vệ cách phù hợp Trước thực giao thức bắt buộc phải thực thành công giao thức Chip Authentication Supplement Access Control (SAC): Là chế kiểm soát truy cập bổ sung xuất vào tháng 12/2014 SAC dựa giao thức thiết lập kết nối có xác thực mật PACE ( Password Authenticated Connection Establishment) PACE cịn tích hợp tùy chọn để sử dụng số truy cập thẻ bổ sung cho MRZ (tức liệu cá nhân người chủ hộ chiếu in trang hộ chiếu) SAC khắc phục nhược điểm chế BAC, đảm bảo mức độ an toàn riêng tư cao 19 CHƯƠNG III: ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ PKI (Public Key Infrastructure) công nghệ đằng sau ePassport Cơ sở hạ tầng khóa cơng khai hộ chiếu điện tử hệ thống xác thực IS (Inspection System - Hệ thống kiểm duyệt điểm xuất nhập cảnh) PKI sử để xác thực liệu lưu chip điện tử RFID khiến cho đắt tiền khó giả mạo tất chế bảo mật triển khai đầy đủ xác Như sở hạ tầng khóa công khai triển khai cần phải đáp ứng hai trình: 3.1 Xác thực thụ động (Passive Authentication) Là q trình kiểm tra tính ngun vẹn xác thực thông tin lưu chip RFID Trong quy trình cấp phát hộ chiếu điện tử, sau ghi thông tin vào chip RFID, quan cấp hộ chiếu phải ký số lên chip để chứng thực thông tin vừa ghi vào Sau nhận chứng số CDS CA cấp cao phát hành, quan cấp HCĐT DS sử dụng khóa bí mật để ký số lên hộ chiếu đó, cịn khóa cơng khai lưu CDS Tại bước kiểm tra hộ chiếu điểm xuất nhập cảnh, hệ thống IS sử dụng chế Passive Authentication để kiểm tra xác thực chữ ký DS Hệ thống IS tiến hành đọc HCĐT, lấy chứng số CDS, kiểm tra tính xác thực khóa cơng khai CA phân phối, khóa cơng khai nước có triển khai HCĐT trao đổi với qua đường công hàm thông qua danh mục khóa cơng khai PKD Sau xác thực xong CDS, hệ thống IS dùng CDS để xác thực nội dung lưu chip RFID 3.2 Xác thực đầu cuối (Terminal Authentication) Xác thực đầu cuối (TA) sử dụng để xác định xem hệ thống kiểm tra (IS) có phép đọc liệu nhạy cảm từ hộ chiếu điện tử hay không Cơ chế 20 dựa chứng kỹ thuật số có định dạng chứng xác minh thẻ Tại quốc gia có triển khai hộ chiếu điện tử, có quan cấp chứng số quốc gia, CSCA (Coutry Signing Certification Authority) CVCA (Country Verifying Certification Authority) Các CA cấp quốc gia phân phối chứng cho quan cấp hộ chiếu điện tử DS (Document Signer) để ký số lên hộ chiếu quan xác thực hộ chiếu điện tử DV (Document Verifier) để kiểm tra hộ chiếu Trong trình xác thực hộ chiếu điện tử, Terminal Authentication yêu cầu hệ thống kiểm tra IS chứng minh quyền truy cập vào vùng liệu nhạy cảm Khi hệ thống kiểm duyệt trang bị hệ thống xác thực chứng (Inspection System Certificate - ISC) để mã hóa khóa cơng khai hệ thống kiểm duyệt quyền truy cập, tương ứng với khóa bí mật Sau hệ thống kiểm duyệt chứng minh thông tin khóa bí mật chip RFID chấp nhận cho hệ thống kiểm duyệt truy cập vào vùng liệu nhạy cảm ISC Mơ hình PKI triển khai với chế Terminal Authentication có thực thể sau: Mơ hình PKI phân cấp phục vụ chế Terminal Authentication CVCA (Country Verifying Certification Authority): Cơ quan xác thực chứng số quốc gia - DV (Document Verifier): Cơ quan xác thực hộ chiếu điện tử IS (Inspection System): Hệ thống kiểm duyệt điểm xuất nhập cảnh 21 3.2.1 Country Verifying Cas (CVCA) Tại quốc gia có triển khai hộ chiếu điện tử cần phải thiết lập điểm tin cậy (trust-point), gọi CVCA, nơi cung cấp xác thực chứng số DV- Cert cho quan xác thực hộ chiếu điện tử DV CVCA xác định tất quyền truy cập đến tới chip RFID cho tất DV (bao gồm DV quốc gia DV quốc gia khác) cách cung cấp chứng cho DV, có mơ tả quyền truy cập thơng tin Để giảm thiểu nguy mát thơng tin, DV-Cert có giá trị khoảng thời gian ngắn CVCA có toàn quyền gán thời hạn cho DV-Cert chứng DV khác có thời hạn khác 3.2.2 Document Verifiers Inspection Systems Document Verifiers (DV) quan xác thực hộ chiếu, đơn vị tổ chức quản lý hệ thống kiểm duyệt IS, cung cấp chứng số IS-Cert cho IS Như vậy, DV CA xác thực CVCA Inspection System (IS) hệ thống kiểm duyệt HCĐT điểm xuất nhập cảnh Để chip RFID chứng thực chứng số IS-Cert IS cần phải gửi chuỗi chứng hay chứng liên kết quốc gia (CVCA Link Certificates), bao gồm DV- Cert IS-Cert 22 Mơ hình PKI chung cho HCĐT IS 3.2.3 ICAO PKD Để chữ ký điện tử trở thành tính bảo mật hiệu hiệu quả, quốc gia phải trao đổi chứng tương ứng với Trong hai chứng CSCA DSC trao đổi song phương, số lượng ngày tăng nước phát hành ePassports khối lượng ePassports tương ứng cao dẫn đến hệ thống không hiệu quả, phức tạp dễ bị lỗi Như vậy, ICAO tạo hệ thống để tạo thuận lợi cho việc chia sẻ thông tin quốc gia: Danh bạ khóa cơng khai ICAO (PKD) PKD ICAO thư mục tập trung cung cấp nguồn trực tuyến độc lập, có tổ chức, an tồn tiết kiệm chi phí để cập nhật thơng tin 23 Người tham gia PKD tải lên chứng CSCA tương ứng họ, chứng người ký chứng DSC, Danh sách thu hồi chứng CRL Danh sách Chính cho PKD ICAO Trong người tham gia PKD yêu cầu gửi chứng CSCA họ đến PKD ICAO, họ không xuất trực tiếp thư mục để tải xuống Thay vào đó, chúng sử dụng Nhà điều hành PKD để xác thực chứng người ký chứng chỉ, chứng người đăng ký danh sách danh sách thu hồi chứng trạng thái phát hành trước mục xuất lên PKD ICAO cung cấp cho người tham gia PKD người dùng khác để tải xuống 24 3.3 Quy trình cấp phát hộ chiếu điện tử đề xuất Quy trình cấp phát hộ chiếu điện tử đề xuất Quá trình cấp phát hộ chiếu điện tử trải qua bước sau: Bước 1: Đăng ký cấp hộ chiếu theo mẫu quan cấp phát, quản lý hộ chiếu phát hành Bước 2: Kiểm tra nhân thân Bước 3: Thu nhận thông tin sinh trắc học gồm có ảnh khn mặt, ảnh vân tay, ảnh mống mắt Tuy nhiên tùy thuộc vào ngữ cảnh đối tượng tương ứng mà thu nhận đặc điểm sinh trắc Bước 4: Ghi thông tin vào chip RFID, in hộ chiếu Ghi thông tin trang hộ chiếu giấy vào DG1 Ghi ảnh khuôn mặt vào DG2; Ghi ảnh hai vân tay vào DG3 Ghi hai ảnh hai mống mắt vào DG4 25 Ghi thông tin khác khóa cơng khai PKRFIC phục vụ q trình Chip Authentication vào DG14, khóa bí mật SKRFIC phục vụ q trình Chip Authentication Khóa cơng khai PKCVCA dùng cho q trình Terminal Authentication vào nhớ bí mật Ghi SOD tạo giá trị băm nhóm thơng tin theo thuật toán SHA-256 Tập tất giá trị băm gọi SOLDS Tiến hành lấy SOLDS khóa bí mật quan cấp hộ chiếu ta chữ ký SOLDS ký hiệu SOD.Signature Cấu trúc SOD (SOLDS,… , SOLDS.cert) SOLDS.cert chứng thư số Phần thông tin phục vụ Passive Authentication Quá trình tạo đối tượng SOD 26 3.4 Quy trình xác thực hộ chiếu điện tử Quá trình kiểm tra, xác thực hộ chiếu điện tử cửa thực theo bước sau: Quy trình xác thực hộ chiếu điện tử đề xuất Bước 1: Người mang hộ chiếu xuất trình hộ chiếu cho quan kiểm tra, quan tiến hành thu nhận đặc tính sinh trắc học từ người xuất trình hộ chiếu Bước 2: Kiểm tra đặc tính bảo mật trang hộ chiếu giấy thơng qua đặc điểm an ninh truyền thống: thủy ấn, dải quang học, lớp bảo vệ ảnh… Bước 3: Hệ thống RFIC thực trình BAC, sau BAC thành cơng hệ thống đọc thông tin chip Mọi thông tin trao đổi đầu đọc chip truyền thơng qua mã hóa sau xác thực theo cặp khóa IS tiến hành thực chế BAC HCĐT Đây chế chống nghe đọc trộm thông tin truyền từ chip RFIC đến IS Ý tưởng BAC phải 27 có đồng ý người sở hữu hộ chiếu phép đọc thông tin từ chip RFIC Do hệ thống cho phép truy cập thơng tin nhận khóa truy cập từ vùng liệu MRZ Nghe đọc trộm bị chặn cách truyền thông báo bảo mật, liệu trao đổi RFIC IS mã hóa sử dụng cặp khóa phiên có từ BAC Bước 4: Thực xác thực bị động Passive Authentication để kiểm tra tính xác thực tồn vẹn thông tin lưu chip thông qua kiểm tra chữ ký khố cơng khai quan cấp hộ chiếu Tiến hành thực trình Passive Authentication để kiểm tra tính xác thực tồn vẹn thơng tin lưu chip RFID thơng qua việc kiểm tra chữ ký lưu SOD khóa công khai quan cấp hộ chiếu Việc trao đổi khóa cơng khai thơng qua chứng số đƣợc thực theo mơ hình khuyến cáo ICAO Thực thành cơng q trình Passive Authentication với Chip Authentication chế EAC khẳng định chắn chip hộ chiếu nguyên gốc Bước 5: Quá trình Terminal Authentication chứng minh quyền truy cập thông tin hệ thống đến thông tin sinh trắc học Chỉ thực quan kiểm tra hộ chiếu triển khai EAC Sau Terminal Authentication thành cơng, đầu đọc truy cập thơng tin theo quyền thể chứng thư số Bước 6: Hệ thống thực so sánh thông tin sinh trắc học thu nhận trực tiếp từ người xuất trình hộ chiếu với thơng tin sinh trắc học lưu chip Hệ thống kiểm duyệt có quyền truy cập vào vùng liệu DG2, DG3, DG4 tiến hành đọc liệu sinh trắc người sở hữu hộ chiếu (ảnh khuôn mặt, dấu vân tay, mống mắt) lưu chip RFID hộ chiếu điện tử Cùng lúc đó, thiết bị nhận dạng đặc biệt, quan kiểm tra tiến hành thu nhận đặc tính sinh trắc học nhƣ ảnh khuôn mặt, vân tay, mống mắt… từ người dùng Sau đó, hệ thống thực q trình trích chọn đặc trưng đặc tính sinh trắc, tiến hành đối chiếu đưa kết Nếu ba liệu sinh trắc thu trực tiếp từ người dùng khớp với liệu thu từ chip RFID quan kiểm tra xác thực có đủ điều kiện để tin tưởng hộ chiếu điện tử đắn người mang hộ chiếu hợp lệ Bước 7: Nếu q trình so sánh thành cơng kết hợp với chứng thực trên, quan kiểm tra hộ chiếu có đủ điều kiện để tin tưởng hộ chiếu xác thực người mang hộ chiếu người mô tả hộ chiếu 28 TỔNG KẾT 29 TÀI LIỆU THAM KHẢO 30 ... dân dụng giới (ICAO) phát hành năm 2003, tất thành viên tổ chức triển khai ứng dụng hộ chiếu điện tử trước năm 2010 Ngày nay, với ứng dụng CNTT, hộ chiếu điện tử nghiên cứu đưa vào triển khai ,ứng. .. phát hộ chiếu điện tử đề xuất Quy trình cấp phát hộ chiếu điện tử đề xuất Quá trình cấp phát hộ chiếu điện tử trải qua bước sau: Bước 1: Đăng ký cấp hộ chiếu theo mẫu quan cấp phát, quản lý hộ chiếu. .. cho quan cấp hộ chiếu điện tử DS (Document Signer) để ký số lên hộ chiếu quan xác thực hộ chiếu điện tử DV (Document Verifier) để kiểm tra hộ chiếu Trong trình xác thực hộ chiếu điện tử, Terminal