TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI VÀ CHỮ KÝ SỐ
Tổng quan về cơ sở hạ tầng khóa công khai
PKI (Hạ tầng khóa công khai) hoạt động dựa trên các thẻ chứng thực số, bao gồm phần cứng, phần mềm, chính sách, và quy trình phát hành/thu hồi chứng chỉ Các thành phần này phối hợp để tạo ra một phương thức trao đổi thông tin an toàn trong môi trường mạng, đảm bảo tính xác thực định danh đối tác ở mức độ cao nhất.
Nhiệm vụ chính của PKI là áp dụng chiến lược mã hóa khóa công cộng để tạo ra, quản lý và thu hồi các thẻ chứng thực.
- Tạo và xác định tính hợp lệ của chữ ký số (digital signatures)
- Đáp ứng sự đăng ký thẻ của người sử dụng mới
- Xác thực người sử dụng và phân phối thẻ chứng thực đến họ
- Thu hồi các thẻ chứng thực hết hạn
- Tạo các private key và public key cho các PKI client.
Hệ thống bảo mật hỗ trợ bởi PKI cung cấp phương pháp xác thực người sử dụng an toàn hơn so với phương pháp truyền thống như tên đăng nhập và mật khẩu PKI sử dụng thẻ chứng thực chứa thông tin định danh và khóa công khai của đối tác để xác định danh tính và tính hợp lệ Hơn nữa, PKI còn cho phép mã hóa thông tin nhạy cảm và ký các tài liệu số, nâng cao mức độ bảo mật thông tin.
Có thể nói, PKI là hạ tầng kỹ thuật thông tin, nó cho phép người dùng trên
Internet cho phép trao đổi thông tin một cách bảo mật và riêng tư nhờ vào việc sử dụng cặp khóa công khai và riêng tư Cặp khóa này được nhận và chia sẻ thông qua một trung tâm ủy quyền tin cậy (CA).
PKI cung cấp chứng thư số cho các đối tác tham gia trao đổi thông tin trên Internet, giúp định danh cá nhân, tổ chức hoặc dịch vụ thư mục.
1.1.1 Các thánh phán cụá PKI
Hệ thống PKI bao gồm các thành phần chính sau:
Certification Authority (CA) – Ủy quyền thẻ chứng thực
CA, hay còn gọi là thành phần thứ ba tin cậy, đóng vai trò quan trọng trong việc phát hành thẻ chứng thực Nó tiếp nhận yêu cầu từ các tổ chức hoặc cá nhân, đảm bảo tính xác thực và an toàn cho giao dịch trực tuyến Một số công ty CA nổi tiếng trên thế giới bao gồm Verisign và MSN.
CA xác định một bộ quy tắc và thủ tục liên quan đến việc phát hành thẻ chứng thực dựa trên các chính sách và thông tin được trao đổi trong môi trường bảo mật của tổ chức Tất cả các hoạt động như tạo, phát hành và thu hồi thẻ chứng thực đều phải tuân thủ những quy tắc và thủ tục này.
Registration Authority (RA) – Ủy quyền đăng ký
Nhiệm vụ của RA kiểm tra yêu cầu thẻ chứng thực số của client.
Khi một PKI client gửi yêu cầu phát hành thẻ chứng thực số đến một CA,
CA ủy quyền phản hồi yêu cầu đến RA Sau khi kiểm tra yêu cầu thành công, RA chuyển tiếp yêu cầu đến CA CA nhận yêu cầu, phát hành thẻ chứng thực và gửi thẻ này cho RA RA sau đó chuyển thẻ đến PKI client, người đã gửi yêu cầu phát hành thẻ chứng thực trước đó.
Digital certificates (DC) – Chứng chỉ số
Thẻ chứng thực số, tương tự như thẻ ID, đóng vai trò quan trọng trong môi trường điện tử và mạng máy tính Trong khi thẻ ID xác định duy nhất một cá nhân trong thực tế, thẻ chứng thực số được sử dụng trong hệ thống PKI để đảm bảo định danh duy nhất cho các đối tượng trong quá trình truyền thông an toàn.
Thẻ chứng thực số chứa các thông tin sau:
- Số serial của thẻ chứng thực
- Ngày hết hạn của thẻ chứng thực
- Chữ ký số của CA
- Public key của PKI client
Trong quá trình giao dịch, bên gửi cung cấp thẻ chứng thực số cùng với dữ liệu đã được mã hóa cho bên nhận Bên nhận sử dụng thẻ chứng thực số này để xác minh tính hợp lệ của bên gửi.
Bên nhận sử dụng public key của CA để giải mã public key của bên gửi, được gửi kèm với thông điệp mã hóa Sau khi xác định định dạng của bên gửi, bên nhận tiếp tục sử dụng public key của bên gửi để giải mã dữ liệu nhận được.
Một số loại chứng chỉ số thông dụng là:
- Chứng chỉ khóa công khai đơn giản (Simple Public Key Certificates
- Chứng chỉ Pretty Good Privacy (PGP).
- Chứng chỉ thuộc tính (Attribute Certificates – AC)
Certificate Distribution System (CDS) – Hệ thống phân phối thẻ
CDS lưu trữ toàn bộ thẻ chứng thực đã phát hành cho người dùng trên mạng, bao gồm các cặp khóa, tính hợp lệ và chữ ký của khóa công khai Ngoài ra, CDS cũng quản lý danh sách các khóa đã hết hạn và các khóa bị thu hồi do mất hoặc hết hạn.
Ngoài ra còn có các thành phần khác:
Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính hợp lệ thể chứng thực số của một đối tác trao đổi thông tin.
Certificate revocation list (CRL): Chứa danh sách các thẻ chứng thực bị thu hồi bởi CA.
Danh sách Thu hồi Chứng chỉ (CRL) là danh sách các chứng chỉ kỹ thuật số không còn đáng tin cậy do Tổ chức phát hành Chứng chỉ (CA) thu hồi trước ngày hết hạn CRL hoạt động như một danh sách cấm, giúp các điểm cuối xác minh tính hợp lệ và độ tin cậy của chứng chỉ.
Kỹ thuật mã hóa public key và privte key: Có thể được sử dụng để mã hóa và giải mã thông tin.
Partners or subjects can include users, organizations, or service systems that seek to utilize public and private key techniques for secure information exchange.
Hệ thống PKI (Public Key Infrastructure) bao gồm các thành phần chính như chứng thư số, khóa công khai và khóa riêng tư, cùng với các quy trình xác thực và quản lý khóa Những thành phần này phối hợp chặt chẽ để đảm bảo an toàn thông tin và xác thực danh tính trong các giao dịch trực tuyến Hệ thống PKI hoạt động bằng cách cung cấp cơ chế mã hóa mạnh mẽ, giúp bảo vệ dữ liệu và thông tin nhạy cảm khỏi các mối đe dọa tiềm tàng.
Chứng thư số CA
Chứng thư số, hay còn gọi là chứng thư điện tử, tương tự như chứng minh thư nhân dân hoặc hộ chiếu, được sử dụng để xác nhận danh tính của các đối tượng như phần mềm, ứng dụng, máy chủ, hoặc đại diện cho cá nhân và tổ chức trong các giao dịch điện tử Việc sử dụng chứng thư số giúp đảm bảo an toàn và bảo mật trong quá trình giao dịch trực tuyến.
Một chứng thư số phải đảm bảo chứ đủ các thông tin sau:
Tên chủ thể, chủ sở hữu chứng thư số.
Khóa công khai (Public key).
Một số thông tin khác như: thông tin về doanh nghiệp, hạn sử dụng, thông tin về sản phẩm…
Chữ ký số của người cấp chứng thư đó.
Chứng thư số dùng để xác định danh tính của một đối tượng khi tham gia vào giao dịch điện tử dựa trên máy chủ xác thực danh tính.
1.2.1 Qụy trình cáp chứng thứ số
Khách hàng cần chuẩn bị hồ sơ đầy đủ về thông tin cá nhân hoặc doanh nghiệp, bao gồm tên và giấy phép kinh doanh, sau đó gửi thông tin đăng ký đến các nhà cung cấp dịch vụ chữ ký số.
Các nhà cung cấp dịch vụ chữ ký số sẽ xác thực thông tin cá nhân và doanh nghiệp với dữ liệu quốc gia Nếu thông tin khớp, hồ sơ đăng ký chứng thư số sẽ được chấp nhận Thông tin khách hàng sẽ được nạp vào usb token hoặc smart card Khi nhận hợp đồng và thiết bị từ nhà cung cấp, khách hàng cần xác nhận nội dung chứng thư số, bao gồm tên doanh nghiệp và thời hạn chứng thư số có đúng với hợp đồng hay không.
Nhà cung cấp NewCA sẽ gửi toàn bộ thông tin của doanh nghiệp A đến Trung tâm chứng thực chữ ký số quốc gia (Root CA), thuộc cục Ứng dụng công nghệ thông tin của Bộ Thông tin và Truyền thông.
Doanh nghiệp cần thực hiện bước 4 bằng cách đăng ký tài khoản với máy chủ của Tổng cục thuế, sử dụng Mã số thuế của doanh nghiệp làm tên đăng nhập và đồng thời gửi khóa công khai.
Bước 5: Máy chủ thuế gửi yêu cầu xác nhận thông tin tới Trung tâm chứng thực chữ ký số quốc gia.
Bước 6: Trung tâm chứng thực chữ ký số quốc gia (Root CA) trả lại kết quả xác nhận với cơ quan thuế.
Chứng chỉ số
Chứng chỉ số là tệp tin điện tử dùng để xác minh danh tính của cá nhân, máy chủ hoặc công ty trên Internet, tương tự như bằng lái xe, hộ chiếu hay chứng minh thư Để sở hữu chứng minh thư, cá nhân cần được cấp bởi cơ quan Công An địa phương.
Chứng chỉ số cần được xác nhận bởi một tổ chức có thẩm quyền, được gọi là Nhà cung cấp chứng thực số (CA - Certificate Authority) CA có trách nhiệm đảm bảo tính chính xác và độ tin cậy của các thông tin trong chứng chỉ số mà họ cấp.
1.3.1 Bá thánh phán chình cụá chứng chì số:
+ Dữ liệu cá nhân của người được cấp
+ Khoá công khai (Public key) của người được cấp
+ Chữ ký số của CA cấp chứng chỉ
Bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức v.v.
Phần này giống như các thông tin trên chứng minh thư của mỗi người. Khoá công khai:
Giá trị được cung cấp bởi nhà chứng thực hoạt động như một khóa mã hóa, kết hợp với một khóa cá nhân duy nhất được sinh ra từ khóa công khai, tạo thành cặp mã khóa bất đối xứng.
Nguyên lý hoạt động của khóa công khai trong chứng chỉ số yêu cầu hai bên giao dịch phải biết khóa công khai của nhau Khi bên A muốn gửi thông tin cho bên B, họ sẽ sử dụng khóa công khai của bên B để mã hóa dữ liệu Sau đó, bên B sẽ sử dụng khóa cá nhân của mình để giải mã thông tin đó.
Tính bất đối xứng trong mã hoá cho phép khoá cá nhân giải mã dữ liệu được mã hoá bằng khoá công khai, trong khi khoá công khai không thể giải mã lại thông tin, kể cả thông tin mà chính nó đã mã hoá.
Chứng chỉ số có thể được ví như chứng minh thư nhân dân, trong đó khoá công khai tương tự như danh tính của bạn trên giấy chứng minh thư (bao gồm tên, địa chỉ, ảnh ), còn khoá cá nhân chính là gương mặt và dấu vân tay của bạn.
Một bưu phẩm có thể được xem như thông tin được truyền tải, được "mã hóa" bằng địa chỉ và tên người nhận Do đó, ngay cả khi ai đó sử dụng chứng minh thư của bạn để lấy bưu phẩm, nhân viên bưu điện cũng sẽ không giao hàng vì hình ảnh và dấu vân tay không khớp.
1.3.2 Chứ# ky số cụá CA cáp chứng chì:
Chứng chỉ gốc, hay còn gọi là chứng chỉ số, là xác nhận từ CA đảm bảo tính chính xác và hợp lệ của chứng chỉ Để kiểm tra chứng chỉ số, bước đầu tiên là xác minh tính hợp lệ của chữ ký số từ CA Tương tự, khi kiểm tra chứng minh thư, điều quan trọng là phải xem con dấu xác nhận của Công An Tỉnh hoặc Thành phố để xác định tính xác thực và tránh trường hợp làm giả.
Một số loại chứng chỉ số:
Chứng chỉ khóa công khai đơn giản (Simple Public Key
Chứng chỉ Pretty Good Privacy (PGP).
Chứng chỉ thuộc tính (Attribute Certificates - AC).
Những loại chứng chỉ này đều có cấu trúc định dạng riêng Hiện nay chứng chỉ X.509 được sử dụng rộng rãi trong hầu hết các hệ thống PKI.
HỘ CHIẾU ĐIỆN TỬ
Hộ chiếu là giấy tờ tùy thân quan trọng xác nhận quốc tịch của công dân một quốc gia Thông thường, hộ chiếu bao gồm các thông tin cơ bản như họ tên, ngày sinh, quê quán, quốc tịch, ảnh chân dung, cùng với thông tin về cơ quan cấp, ngày cấp và thời hạn hiệu lực.
Sự xuất hiện của chip không tiếp xúc sử dụng công nghệ RFID đã cho phép lưu trữ thông tin cá nhân trong hộ chiếu một cách hiệu quả Việc này không chỉ nâng cao quy trình cấp phát và kiểm duyệt hộ chiếu mà còn hỗ trợ các hệ thống xác thực tự động Từ đó, mô hình hộ chiếu mới, được gọi là "Hộ chiếu điện tử" (HCDT), đã được phát triển, mang lại nhiều lợi ích cho người sử dụng.
Hộ chiếu điện tử là loại hộ chiếu được trang bị chip điện tử ICC, có khả năng mã hóa và lưu trữ thông tin cá nhân của người dùng Thông tin này cần được bảo vệ khỏi truy cập trái phép và phải được xác thực để đảm bảo tính chính xác và duy nhất của hộ chiếu Một trong những công nghệ bảo vệ dữ liệu hiện nay là mã hóa, trong đó chữ ký số được sử dụng để ký vào các dữ liệu cơ bản và lưu trữ trong chip.
Hộ chiếu điện tử chứa thông tin cá nhân và dữ liệu sinh trắc học của người sở hữu, do đó còn được gọi là hộ chiếu sinh trắc học.
Hiện nay, tiêu chuẩn cho hộ chiếu điện tử được quy định bởi Tổ chức Hàng không Dân dụng Quốc tế (ICAO), nhằm đảm bảo an ninh tại cửa khẩu và kiểm tra biên giới các quốc gia Hộ chiếu điện tử tích hợp ba công nghệ tiên tiến.
- Nhận dạng tần số Radio (RFID)
- Sinh trắc (vân tay, mống mắt)
- Cơ sở hạ tầng khóa công khai PKI (Public key infrastructure).
Nhận dạng tần số RFID được sử dụng trong giao tiếp vật lý với các hệ thống kiểm tra, trong khi nhận dạng thông tin sinh trắc và hạ tầng khóa công khai PKI có khả năng giảm thiểu gian lận và tăng cường an ninh toàn cầu trong kỹ thuật nhận dạng số Do đó, mỗi quốc gia cần thiết phải xây dựng hạ tầng cơ sở khóa công khai quốc gia để phát triển hộ chiếu điện tử.
2.2 Cấu trúc hộ chiếu điện tử
Hộ chiếu điện tử được cấu trúc tương tự như hộ chiếu thông thường, bao gồm hai thành phần chính: phần tài liệu vật lý dưới dạng quyển hộ chiếu và phần vi mạch tích hợp RFIC, được thể hiện qua chip không tiếp xúc.
Phần tài liệu vật lí – booklet (quyển hộ chiếu):
Booklet tương tự như hộ chiếu truyền thống, nhưng có điểm khác biệt là trang bìa có biểu tượng HCĐT và dòng ICAO (MRZ – vùng đọc được bằng máy đọc hộ chiếu) ở cuối trang dữ liệu.
Biểu tượng hộ chiếu điện tử
Công nghệ Nhận dạng Tần số Radio (RFID) sử dụng sóng vô tuyến để xác định đối tượng Hệ thống RFID hoạt động thông qua hai thiết bị thu phát sóng điện từ có cùng tần số, với các tần số phổ biến là 125Khz và 900Mhz.
Hệ thống RFID bao gồm hai thành phần chính: thiết bị đọc (reader) và thiết bị phát mã RFID (tag) Thiết bị đọc được trang bị ăng-ten để thu và phát sóng điện từ, trong khi tag RFID gắn liền với vật cần nhận diện Mỗi tag RFID chứa một mã số duy nhất, không trùng lặp, đảm bảo khả năng nhận dạng chính xác.
Khi thiết bị đọc RFID hoạt động, nó phát ra sóng điện từ ở một tần số nhất định Thiết bị RFID tag trong vùng hoạt động sẽ nhận diện sóng điện từ này và thu thập năng lượng, từ đó truyền lại mã số của mình cho thiết bị đọc RFID.
Từ đó thiết bị RFID reader nhận biết được tag nào đang trong vùng hoạt động.
2.2.2 RFIC trống hố& chiệụ điệ&n tứ
Mạch tích hợp RFIC bao gồm một chip tuân thủ tiêu chuẩn ISO/IEC 14443 và một ăngten vòng, có chức năng kết nối và nhận diện tín hiệu từ đầu đọc Điều này lý giải tại sao thiết bị HCĐT không cần nguồn điện bên trong, mà năng lượng cho chip được thu nhận thông qua ăngten.
Mạch RFIC thường được gắn vào vị trí giữa bìa và trang dữ liệu của hộ chiếu Trong quá trình gắn, cần chú ý đảm bảo chip không bị ăn mòn và giữ vững vị trí để tránh bị rời ra khỏi quyển hộ chiếu.
Vùng MRZ trong hộ chiếu hoặc thẻ du lịch được chia thành hai loại: Loại 1 và Loại 3 MRZ loại 1 có ba dòng, mỗi dòng chứa 30 ký tự, trong khi MRZ loại 3 chỉ có hai dòng với 44 ký tự mỗi dòng Cả hai loại MRZ đều mã hóa thông tin quan trọng của một công dân, bao gồm loại hộ chiếu, ID hộ chiếu, quốc gia phát hành, tên, quốc tịch và ngày hết hạn.
2.3 Một số yêu cầu đối với bảo mật thông tin hộ chiếu điện tử
Vấn đề bảo mật HCĐT trong các quy trình cấp phát, kiểm duyệt luôn là
1 trong những vấn đề tối quan trọng đối với an ninh quốc gia Vấn đề này cần phải thỏa mãn được 6 yêu cấu sau đây:
Cơ quan cấp hộ chiếu cần đảm bảo thông tin của người được cấp hộ chiếu được ghi chính xác, không có bất kỳ sự nhầm lẫn nào trong quá trình này Việc này là yêu cầu bắt buộc và cần thiết.
Tính không thể nhân bản
Mục tiêu này phải đảm bảo không thể tạo ra bản sao chính xác của RFIC
Tính nguyên vẹn và xác thực
ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ
Xác thực thụ động (Passive Authentication)
Quá trình kiểm tra tính nguyên vẹn và xác thực thông tin trên chip RFID là rất quan trọng trong việc cấp phát hộ chiếu điện tử Sau khi ghi thông tin vào chip RFID, cơ quan cấp hộ chiếu cần ký số để xác thực tính chính xác của thông tin Khi nhận được chứng chỉ số CDS từ CA cấp cao nhất, cơ quan cấp hộ chiếu sử dụng khóa bí mật của mình để ký số lên hộ chiếu, trong khi khóa công khai được lưu trữ trong CDS.
Tại các điểm xuất nhập cảnh, hệ thống IS áp dụng cơ chế xác thực thụ động (Passive Authentication) để kiểm tra và xác thực chữ ký của DS thông qua việc đọc HCĐT và lấy chứng chỉ số CDS Hệ thống sau đó kiểm tra tính xác thực của CDS bằng khóa công khai của CA phân phối, khóa này được các quốc gia trao đổi qua đường công hàm hoặc danh mục khóa công khai PKD Sau khi xác thực thành công CDS, hệ thống IS sử dụng CDS để xác thực nội dung trong chip RFID.
Xác thực đầu cuối (Terminal Authentication)
Xác thực đầu cuối (TA) là quá trình xác định quyền truy cập của hệ thống kiểm tra (IS) đối với dữ liệu nhạy cảm trong hộ chiếu điện tử Cơ chế này sử dụng chứng chỉ kỹ thuật số theo định dạng chứng chỉ có thể xác minh để đảm bảo tính bảo mật và quyền riêng tư của thông tin.
Mỗi quốc gia triển khai hộ chiếu điện tử sẽ có một cơ quan cấp chứng chỉ số quốc gia, như CSCA (Country Signing Certification Authority) hoặc CVCA (Country Verifying Certification Authority) Các cơ quan này sẽ cung cấp chứng chỉ cho các tổ chức cấp hộ chiếu điện tử DS (Document Signer) để thực hiện ký số trên hộ chiếu, cũng như cho các cơ quan xác thực DV (Document Verifier) để kiểm tra tính xác thực của hộ chiếu điện tử.
Trong quá trình xác thực hộ chiếu điện tử, Terminal Authentication yêu cầu hệ thống kiểm tra IS chứng minh quyền truy cập vào dữ liệu nhạy cảm Hệ thống kiểm duyệt cần ít nhất một hệ thống xác thực chứng chỉ (ISC) để mã hóa khóa công khai và các quyền truy cập tương ứng với khóa bí mật Sau khi hệ thống kiểm duyệt xác minh thông tin khóa bí mật, chip RFID mới cho phép truy cập vào dữ liệu nhạy cảm được chỉ định trong ISC.
Mô hình PKI triển khai với cơ chế Terminal Authentication có các thực thể sau:
Mô hình PKI phân cấp phục vụ cơ chế Terminal Authentication
- CVCA (Country Verifying Certification Authority): Cơ quan xác thực chứng chỉ số quốc gia.
- DV (Document Verifier): Cơ quan xác thực hộ chiếu điện tử.
- IS (Inspection System): Hệ thống kiểm duyệt tại các điểm xuất nhập cảnh.
Mỗi quốc gia triển khai hộ chiếu điện tử cần thiết lập một điểm tin cậy (CVCA) để cung cấp và xác thực chứng chỉ số DV-Cert cho các cơ quan xác thực hộ chiếu CVCA quản lý quyền truy cập vào chip RFID cho tất cả các DV, bao gồm cả DV trong nước và quốc tế, thông qua việc cấp chứng chỉ mô tả quyền truy cập thông tin Để giảm thiểu nguy cơ mất mát thông tin, DV-Cert chỉ có hiệu lực trong thời gian ngắn, và CVCA có quyền xác định thời hạn cho từng chứng chỉ, với mỗi DV-Cert có thời hạn khác nhau.
3.2.2 Dốcụmệnt Vệrifiệrs vá Inspệctiốn Systệms
Document Verifiers (DV) là cơ quan xác thực hộ chiếu, chịu trách nhiệm tổ chức và quản lý hệ thống kiểm duyệt IS DV cung cấp chứng chỉ số IS-Cert cho các IS và đồng thời cũng được công nhận là một Certificate Authority (CA) được xác thực bởi CVCA.
Hệ thống Kiểm Tra (IS) là công cụ kiểm duyệt hàng hóa tại các cửa khẩu Để chip RFID xác thực chứng chỉ số IS-Cert, IS cần gửi một chuỗi chứng chỉ hoặc các chứng chỉ liên kết quốc gia (CVCA Link Certificates), bao gồm DV-Cert và IS-Cert.
Mô hình PKI chung cho HCĐT và IS
3.2.3 ICAO PKD Để chữ ký điện tử trở thành một tính năng bảo mật hiệu quả và hiệu quả, các quốc gia phải trao đổi chứng chỉ tương ứng với nhau Trong khi cả hai chứng chỉ CSCA và DSC có thể được trao đổi song phương, số lượng ngày càng tăng của các nước phát hành ePassports và khối lượng ePassports tương ứng cao sẽ dẫn đến một hệ thống không hiệu quả, phức tạp và dễ bị lỗi Như vậy, ICAO đã tạo ra một hệ thống để tạo thuận lợi cho việc chia sẻ thông tin giữa các quốc gia: Danh bạ khóa công khai của ICAO (PKD) PKD ICAO là một thư mục tập trung cung cấp nguồn trực tuyến độc lập, có tổ chức, an toàn và tiết kiệm chi phí để cập nhật thông tin.
Người tham gia PKD có thể tải lên chứng chỉ CSCA, chứng chỉ người ký DSC, danh sách thu hồi CRL và danh sách chính cho PKD ICAO Mặc dù chứng chỉ CSCA phải được gửi đến PKD ICAO, chúng không được công khai trong thư mục tải xuống Thay vào đó, Nhà điều hành PKD sử dụng chúng để xác thực các chứng chỉ và danh sách trước khi công bố lên PKD ICAO, từ đó cung cấp cho người tham gia PKD và người dùng khác để tải xuống.
Quy trình cấp phát hộ chiếu điện tử được đề xuất
Quy trình cấp phát hộ chiếu điện tử đề xuất Quá trình cấp phát hộ chiếu điện tử trải qua các bước sau:
Bước 1: Đăng ký cấp hộ chiếu theo mẫu do cơ quan cấp phát, quản lý hộ chiếu phát hành Bước 2: Kiểm tra nhân thân.
Bước 3: Thu thập thông tin sinh trắc học bao gồm ảnh khuôn mặt, ảnh vân tay và ảnh mống mắt Việc thu nhận các đặc điểm sinh trắc này cần được điều chỉnh phù hợp với ngữ cảnh và đối tượng cụ thể.
Bước 4: Ghi thông tin vào chip RFID, in hộ chiếu.
Ghi thông tin cơ bản như trên trang hộ chiếu giấy vào DG1.
Ghi ảnh khuôn mặt vào DG2;
Ghi ảnh hai vân tay vào DG3.
Ghi hai ảnh hai mống mắt vào DG4.
Ghi các thông tin khác khóa công khai PKRFIC phục vụ quá trình Chip Authentication vào DG14, khóa bí mật SKRFIC phục vụ quá trình Chip Authentication.
Khóa công khai PKCVCA dùng cho quá trình Terminal Authentication vào bộ nhớ bí mật.
Ghi SOD thực hiện việc tạo giá trị băm cho các nhóm thông tin dựa trên thuật toán SHA-256 Tất cả các giá trị băm này được tập hợp lại và gọi là SOLDS Khi sử dụng khóa bí mật của cơ quan cấp hộ chiếu để lấy SOLDS, chúng ta sẽ thu được chữ ký trên SOLDS, được ký hiệu là SOD.Signature.
Cấu trúc của SOD là (SOLDS,… , SOLDS.cert) trong đó SOLDS.cert là các chứng thư số Phần thông tin này phục vụ Passive Authentication
Quá trình tạo đối tượng SOD
Quy trình xác thực hộ chiếu điện tử
Quá trình kiểm tra, xác thực hộ chiếu điện tử tại các cửa khẩu được thực hiện theo các bước sau:
Quy trình xác thực hộ chiếu điện tử đề xuất
Người mang hộ chiếu cần xuất trình hộ chiếu của mình cho cơ quan kiểm tra, nơi sẽ tiến hành thu nhận các đặc tính sinh trắc học từ người xuất trình.
Để đảm bảo tính bảo mật của hộ chiếu giấy, bước 2 là kiểm tra các đặc tính bảo mật thông qua các yếu tố an ninh truyền thống như thủy ấn, dải quang học và lớp bảo vệ ảnh.
Hệ thống RFIC thực hiện quá trình BAC để đọc thông tin từ chip Sau khi quá trình BAC hoàn tất, mọi thông tin giữa đầu đọc và chip được truyền tải qua mã hóa và xác thực bằng cặp khóa.
IS thực hiện cơ chế BAC trên HCĐT nhằm ngăn chặn việc nghe lén và đọc trộm thông tin từ chip RFIC đến IS Cơ chế này yêu cầu sự đồng ý của người sở hữu hộ chiếu để cho phép truy cập thông tin từ chip RFIC Hệ thống chỉ cho phép truy cập khi nhận được khóa từ vùng dữ liệu MRZ Việc nghe lén và đọc trộm được bảo vệ bằng cách truyền thông báo bảo mật, trong khi dữ liệu giữa RFIC và IS được mã hóa bằng cặp khóa phiên từ BAC.
Để kiểm tra tính xác thực và toàn vẹn của thông tin lưu trong chip, bước 4 yêu cầu thực hiện xác thực bị động (Passive Authentication) thông qua việc kiểm tra chữ ký bằng khoá công khai của cơ quan cấp hộ chiếu.
Quá trình xác thực thụ động (Passive Authentication) được thực hiện để kiểm tra tính xác thực và toàn vẹn thông tin trong chip RFID bằng cách xác minh chữ ký trong SOD thông qua khóa công khai của cơ quan cấp hộ chiếu Việc trao đổi khóa công khai diễn ra theo mô hình khuyến cáo của ICAO thông qua chứng chỉ số Khi hoàn thành thành công quá trình xác thực thụ động kết hợp với Chip Authentication trong cơ chế EAC, có thể khẳng định chip trong hộ chiếu là nguyên gốc.
Bước 5 trong quy trình xác thực đầu cuối (Terminal Authentication) xác minh quyền truy cập thông tin hệ thống đối với dữ liệu sinh trắc học Quy trình này chỉ áp dụng cho các cơ quan kiểm tra hộ chiếu đã triển khai EAC Khi quá trình xác thực đầu cuối thành công, đầu đọc sẽ có quyền truy cập vào thông tin theo quyền hạn được thể hiện trong chứng thư số.
Hệ thống tiến hành so sánh thông tin sinh trắc học thu thập từ người xuất trình hộ chiếu với dữ liệu sinh trắc học được lưu trữ trong chip.
Hệ thống kiểm duyệt có khả năng truy cập và đọc dữ liệu sinh trắc của người sở hữu hộ chiếu từ chip RFID, bao gồm ảnh khuôn mặt, dấu vân tay và mống mắt Bằng cách sử dụng thiết bị nhận dạng đặc biệt, cơ quan kiểm tra thu thập các đặc tính sinh trắc học từ người dùng Sau khi trích xuất và đối chiếu dữ liệu, nếu ba thông tin sinh trắc từ người dùng khớp với dữ liệu trong chip RFID, cơ quan kiểm tra sẽ xác nhận tính chính xác của hộ chiếu điện tử và tính hợp lệ của người mang hộ chiếu.
Nếu quá trình so sánh thành công và kết hợp với các chứng thực, cơ quan kiểm tra hộ chiếu có thể tin tưởng rằng hộ chiếu là hợp lệ và người sở hữu hộ chiếu đúng là người được mô tả trong đó.
