Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 30 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
30
Dung lượng
862,83 KB
Nội dung
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO Đề tài : NGHIÊN CỨU TỔNG QUAN VỀ ỨNG DỤNG PKI TRONG TRIỂN KHAI HỘ CHIẾU ĐIỆN TỬ Học phần: Chứng thực điện tử Lớp L01 Nhóm Hà Nội, 2022 Lời nói đầu Hộ chiếu điện tử (ePassport) sử dụng lần Malaysia vào năm 1998, có trước tiêu chuẩn ICAO Bỉ nước giới phát hành ePassport tuân thủ tiêu chuẩn Ngày nay, nhiều quốc gia khác phát hành ePassport Pháp, Đức, Nederlands, Hoa Kỳ, … Động cơ việc thực hộ chiếu điện tử cung cấp hộ chiếu an tồn thơng qua vi mạch điện tử nhúng sách Chip cho phép đảm bảo tính tồn vẹn liệu, tức khơng sửa đổi nội dung hộ chiếu mà không bị phát hiện; tính tồn vẹn đảm bảo chữ ký số quan cấp phát hành Tính xác thực liệu bảo vệ: chế tạo hộ chiếu từ đầu khơng thể người làm giả tự tạo chữ ký đề cập Bên cạnh đó, chip điện tử cho phép kết hợp sinh trắc học để ràng buộc hộ chiếu với quốc tịch đích thực nó, bổ sung thêm tính nhận dạng bổ sung Do tính chất vật lý điện nó, chip lưu trữ an tồn thơng tin tiểu sử sinh trắc học (tên, ngày sinh, số hộ chiếu, hình ảnh khn mặt, ), so sánh với người tiết lộ trực quan trang hộ chiếu với sinh trắc học người vật lý Cuối cùng, chip ngăn chặn nhân thay thông qua chế chip phải chứng minh việc sở hữu khóa riêng dựa khóa cơng khai tạo cách an toàn cao nhà nước phát hành Mụ c Lụ c Lời nói đầu .1 CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI VÀ CHỮ KÝ SỐ 1.1 Tổng quan sở hạ tầng khóa cơng khai 1.1.1 Các thành phần PKI Ngồi cịn có thành phần khác: 1.2 Chứng thư số CA 1.2.1 Quy trình cấp chứng thư số 1.3 Chứng số .7 Trong chứng số có ba thành phần chính: .8 Dữ liệu cá nhân: Khố cơng khai: Chữ ký số CA cấp chứng chỉ: .8 CHƯƠNG II: HỘ CHIẾU ĐIỆN TỬ 10 2.1 Hộ chiếu điện tử 10 2.1.1 Cấu trúc hộ chiếu điện tử 11 Công nghệ RFIC 11 RFIC hộ chiếu điện tử 12 MRZ 12 Cấu trúc logic hộ chiếu điện tử (Logical Data Structure - LDS) 13 2.1.2 Một số yêu cầu bảo mật thông tin hộ chiếu điện tử 15 2.1.3 Các chế bảo mật thông tin hộ chiếu điện tử 16 CHƯƠNG III: ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ 18 Country Verifying Cas (CVCA) 20 Document Verifiers Inspection Systems 20 Mô hình PKI chung cho HCĐT IS .21 2.3 Quy trình cấp phát hộ chiếu điện tử đề xuất .23 trình tạo đối tượng SOD 24 2.4 Quy trình xác thực hộ chiếu điện tử .24 TỔNG KẾT 27 CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI VÀ CHỮ KÝ SỐ 1.1 Tổng quan sở hạ tầng khóa cơng khai PKI (Public Key Infrastructure) hoạt động dựa hỗ trợ thẻ chứng thực số (digital certificates), bao gồm thành phần: Hardware, software, tập sách, thủ tục phát hành/thu hồi thẻ chứng thực chuẩn Các thành phần kết hợp với để thiết lập phương thức trao đổi thông tin môi trường mạng đảm bảo tính xác thực định danh đối tác mức an tồn cao Nhiệm vụ PKI sử dụng chiến lược mã hóa khóa cơng cộng (public key encryption) để tạo, quản lý thu hồi thẻ chứng thực, Cụ thể: - Tạo xác định tính hợp lệ chữ ký số (digital signatures) - Đáp ứng đăng ký thẻ người sử dụng - Xác thực người sử dụng phân phối thẻ chứng thực đến họ - Thu hồi thẻ chứng thực hết hạn - Tạo private key public key cho PKI client Với hỗ trợ PKI, hệ thống bảo mật xác thực người sử dụng theo cách an toàn so với cách xác thực chuẩn (xác thực thông qua user name password): Nó sử dụng thẻ chứng thực có chứa thơng tin định danh public key đối tác trao đổi thông tin để xác định định danh tính hợp lệ họ Ngồi ra, PKI cịn giúp mã hóa thơng tin nhạy cảm “ký” tài liệu số Có thể nói, PKI hạ tầng kỹ thuật thơng tin, cho phép người dùng Internet trao đổi thông tin cách riêng tư bảo mật thông qua việc sử dụng cặp khóa public private riêng họ Cặp khóa nhận chia sẻ thơng qua trung tâm ủy quyền tin cậy (CA) PKI cung cấp thẻ chứng thực số cho đối tác tham gia trao đổi thông tin môi trường Internet Thẻ sử dụng để định danh cá nhân, tổ chức dịch vụ thư mục 1.1.1 Các thành phần PKI Hệ thống PKI bao gồm thành phần sau: PKI client Certification Authority (CA) – Ủy quyền thẻ chứng thực CA thành phần thứ tin cậy (trusted third part), nhận yêu cầu phát hành (cấp) thẻ chứng thực, từ tổ chức cá nhân đó, phát hành thẻ chứng thực yêu cầu đến họ sau xác thực client yêu cầu (Verisign MSN hai công ty CA tiếng giới) CA dựa vào sách, trao đổi thông tin môi trường bảo mật, tổ chức để định nghĩa tập quy tắc, thủ tục liên quan đến việc phát hành thẻ chứng thực Mọi họat động tạo, phát hành, thu hồi thẻ chứng thực sau tuân theo quy tắc, thủ tục Registration Authority (RA) – Ủy quyền đăng ký Nhiệm vụ RA kiểm tra yêu cầu thẻ chứng thực số client Khi PKI client gửi yêu cầu phát hành thẻ chứng thực số đến CA, CA ủy quyền phản hồi xác thực yêu cầu đến RA Sau kiểm tra yêu cầu thành công, RA forward yêu cầu đến CA CA nhận yêu cầu, phát hành thẻ chứng thực yêu cầu, gửi thẻ chứng thực đến RA RA forward thẻ đến cho PKI client (gửi yêu cầu phát hành thẻ chứng thực trước đó) Digital certificates (DC) – Chứng số Thẻ chứng thực số xem card định danh (ID card) sử dụng môi trường điện tử/mơi trường mạng máy tính Nếu thực tế, người ta dùng ID card để định danh cá nhân mơi trường trao đổi thơng tin an tồn, PKI sử dụng thẻ chứng thự số để định danh đối tượng suốt q trình truyền thơng Thẻ chứng thực số chứa thông tin sau: - Số serial thẻ chứng thực - Ngày hết hạn thẻ chứng thực - Chữ ký số CA - Public key PKI client Trong trình giao dịch, bên gửi gửi thẻ chứng thực số, với liệu mã hóa, cho bên nhận Bên nhận cuối sử dụng thẻ chứng thực số để xác nhận tính hợp lệ xác thực bên gửi Bên nhận, sử dụng public key CA để giải mã public key bên gửi (được nhận với thơng điệp mã hóa đến từ bên gửi) Sau định dang bên gửi xác định, bên nhận sử dụng public key bên gửi để giải mã liệu mà nhận Một số loại chứng số thông dụng là: - Chứng X.509 - Chứng khóa cơng khai đơn giản (Simple Public Key Certificates - SPKC) - Chứng Pretty Good Privacy (PGP) - Chứng thuộc tính (Attribute Certificates – AC) Certificate Distribution System (CDS) – Hệ thống phân phối thẻ CDS lưu trữ tất thẻ chứng thực phát hành đến cho người sử dụng mạng CDS lưu trữ cặp khóa, tính hợp lệ “chữ ký” khóa public Danh sách khóa hết hạn, khóa bị thu hồi bị mất, bị hết hạn CDS lưu trữ Ngồi cịn có thành phần khác: Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính hợp lệ thể chứng thực số đối tác trao đổi thông tin Certificate revocation list (CRL): Chứa danh sách thẻ chứng thực bị thu hồi CA Danh sách Thu hồi Chứng (CRL) danh sách chứng kỹ thuật số bị thu hồi Tổ chức phát hành Chứng (CA) trước ngày hết hạn lên lịch khơng cịn đáng tin cậy CRL loại danh sách cấm sử dụng điểm cuối khác để xác minh xem chứng có hợp lệ đáng tin cậy hay khơng Kỹ thuật mã hóa public key privte key: Có thể sử dụng để mã hóa giải mã thông tin Các đối tác (partner)/Đối tượng (Subject): Có thể users, organizations service systems: Đây đối tượng muốn sử dụng kỹ thuật public key private key để trao đổi thông tin cách an tồn Hình sau cho ta nhìn khái quát chức thành phần hệ thống PKI hoạt động hệ thống này: User gửi yêu cầu phát hành thẻ chứng thực public key đến RA (1); Sau xác nhận tính hợp lệ định danh user RA chuyển yêu cầu đến CA (2); CA phát hành thẻ chứng thực cho user (3); Sau user “ký” thơng điệp trao đổi với thẻ chứng thực vừa nhận từ CA sử dụng chúng (thẻ chứng thục số + chữ ký số) giao dịch (4); Định danh user kiểm tra đối tác thông qua hỗ trợ VA (5): Nếu thẻ chứng thực user xác nhận tính hợp lệ (6) đối tác tin cậy user bắt đầu q trình trao đổi thơng tin với (VA nhận thơng tin thẻ chứng thực phát hành từ CA (a)) 1.2 Chứng thư số CA Chứng thư số hay gọi chứng thư điện tử, giống chứng minh thư nhân dân hộ chiếu bạn vậy, dùng để xác nhận danh tính đối tượng ví dụ phần mềm , ứng dụng, máy chủ đại diện cho cá nhân, tổ chức tham gia giao dịch điện tử, nhằm đảm bảo an toàn trình giao dịch điện tử Một chứng thư số phải đảm bảo đủ thông tin sau: Tên chủ thể, chủ sở hữu chứng thư số Khóa cơng khai (Public key) Một số thông tin khác như: thông tin doanh nghiệp, hạn sử dụng, thông tin sản phẩm… Chữ ký số người cấp chứng thư Chứng thư số dùng để xác định danh tính đối tượng tham gia vào giao dịch điện tử dựa máy chủ xác thực danh tính 1.2.1 Quy trình cấp chứng thư số Bước 1: Khách hàng chuẩn bị đầy đủ hồ sơ thông tin cá nhân doanh nghiệp tên, giấy phép kinh doanh gửi thông tin đăng ký đến nhà cung cấp dịch vụ chữ ký số Bước 2: Các nhà cung cấp dịch vụ chữ ký số xác thực thông tin cá nhân, doanh nghiệp có với thơng tin trung tâm liệu quốc gia, thông tin hồ sơ đăng ký chứng thư số chấp nhận Thông tin khách hàng nạp vào usb token smart card Khi khách hàng nhận hợp đồng thiết bị từ nhà cung cấp, cần xác nhận nội dung chứng thư số gì? Tên doanh nghiệp thời hạn chứng thư số có với hợp đồng hay không? Bước 3: Nhà cung cấp NewCA gửi tồn thơng tin doanh nghiệp A đến Trung tâm chứng thực chữ ký số quốc gia (Root CA) – Trực thuộc cục Ứng dụng công nghệ thông tin Bộ Thông tin Truyền thông Bước 4: Doanh nghiệp đăng ký tài khoản với máy chủ Tổng cục thuế (Tên đăng nhập Mã số thuế doanh nghiệp), đồng thời gửi khóa công khai Bước 5: Máy chủ thuế gửi yêu cầu xác nhận thông tin tới Trung tâm chứng thực chữ ký số quốc gia Bước 6: Trung tâm chứng thực chữ ký số quốc gia (Root CA) trả lại kết xác nhận với quan thuế 1.3 Chứng số Chứng số tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, công ty Internet Nó giống lái xe, hộ chiếu, chứng minh thư hay giấy tờ xác minh cá nhân Để có chứng minh thư, bạn phải quan Công An sở cấp Chứng số vậy, phải tổ chức đứng chứng nhận thơng tin bạn xác, gọi Nhà cung cấp chứng thực số (CA Certificate Authority) CA phải đảm bảo độ tin cậy, chịu trách nhiệm độ xác chứng số mà cấp Trong chứng số có ba thành phần chính: + Dữ liệu cá nhân người cấp + Khố cơng khai (Public key) người cấp + Chữ ký số CA cấp chứng Dữ liệu cá nhân: Bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức v.v Phần giống thông tin chứng minh thư người Khố cơng khai: Là giá trị nhà cung cấp chứng thực đưa khóa mã hố, kết hợp với khoá cá nhân tạo từ khố cơng khai để tạo thành cặp mã khố bất đối xứng Ngun lý hoạt động khố cơng khai chứng số hai bên giao dịch phải biết khố cơng khai Bên A muốn gửi cho bên B phải dùng khố cơng khai bên B để mã hố thơng tin Bên B dùng khố cá nhân để mở thơng tin Tính bất đối xứng mã hố thể chỗ khố cá nhân giải mã liệu mã hố khóa cơng khai, khố cơng khai khơng có khả giải mã lại thơng tin, kể thơng tin khố cơng khai mã hố Một cách hiểu nơm na, chứng số chứng minh thư nhân dân, khố cơng khai đóng vai trị danh tính bạn giấy chứng minh thư (gồm tên địa chỉ, ảnh ), cịn khố cá nhân gương mặt dấu vân tay bạn Nếu coi bưu phẩm thông tin truyền đi, "mã hoá" địa tên người nhận bạn, dù có dùng chứng minh thư bạn với mục đich lấy bưu phẩm này, họ khơng nhân viên bưu điện giao bưu kiện ảnh mặt dấu vân tay không giống Chữ ký số CA cấp chứng chỉ: Còn gọi chứng gốc Đây xác nhận CA, bảo đảm tính xác hợp lệ chứng Muốn kiểm tra chứng số, trước tiên phải kiểm tra chữ ký số CA có hợp lệ hay khơng Trên chứng minh thư, dấu xác nhận Công An Tỉnh Thành phố mà bạn trực thuộc Về nguyên tắc, kiểm tra chứng minh thư, phải xem dấu này, để biết chứng minh thư có bị làm giả hay không Một số loại chứng số: Chứng X.509 Chứng khóa cơng khai đơn giản (Simple Public Key Certificates - SPKC) Chứng Pretty Good Privacy (PGP) Chứng thuộc tính (Attribute Certificates - AC) Những loại chứng có cấu trúc định dạng riêng Hiện chứng X.509 sử dụng rộng rãi hầu hết hệ thống PKI Trong 16 nhóm liệu LDS, nhóm liệu DG1 DG2 bắt buộc, cịn 14 nhóm liệu sau tùy chọn: • DG1: Nhóm liệu chứa thơng tin giống với thơng tin lưu MRZ • DG2: Nhóm liệu lưu trữ ảnh khn mặt mã hóa ngƣời sở hữu hộ chiếu Ảnh định dạng theo chuẩn JPEG JPEG2000 Kích thước ảnh khoảng từ 12 đến 20K (kilobytes) Đây thông tin thống toàn cầu giúp cho việc kiểm tra định danh người sử dụng với thông tin HCĐT • DG3: Nhóm liệu lưu trữ dấu vân tay ngƣời sở hữu HCĐT mã hóa 15 • DG4: Nhóm liệu lưu trữ mống mắt người sở hữu HCĐT mã hóa Hai nhóm liệu DG3 DG4 tùy chọn quốc gia việc đưa vào chip RFID HCĐT để xác thực người dùng • DG5: Lưu ảnh chân dung người mang hộ chiếu Định dạng ảnh JPEG JPEG2000 • DG6: Nhóm liệu dự phịng dùng tương lai • DG7: Nhóm liệu lưu chữ ký ngƣời mang hộ chiếu Thông tin lƣu dạng ảnh JPEG2000 • DG8/9/10: Các nhóm liệu mơ tả thơng tin đặc tính liệu, đặc tính cấu trúc • DG11/12: Nhóm liệu lưu trữ thông tin chi tiết thêm người sở hữu hộ chiếu ngồi thơng tin đƣợc lưu DG1 • DG13: Nhóm liệu chứa thông tin riêng biệt quan cấp hộ chiếu thể • DG14: Nhóm liệu dự phịng dùng cho tương lai • DG15: Nhóm liệu lưu khóa cơng khai dùng cho q trình xác thực chủ động • DG16: Nhóm liệu lưu trữ thơng tin người cần liên lạc 2.1.2 Một số yêu cầu bảo mật thông tin hộ chiếu điện tử Vấn đề bảo mật thông tin hộ chiếu điện tử quy trình cấp phát, kiểm duyệt vấn đề tối quan trọng an ninh quốc gia Vấn đề cần phải thỏa mãn yêu cầu sau: Tính chân thực: Cơ quan cấp hộ chiếu phải ghi thông tin người cấp hộ chiếu, khơng có nhầm lẫn q trình ghi thơng tin cấp hộ chiếu Đây điều đương nhiên bắt buộc phải có Tính khơng thể nhân bản: Mục tiêu phải đảm bảo khơng thể tạo xác RFIC Tính nguyên vẹn tính xác thực: Cần chứng thực tất thông tin lưu trang liệu RFIC quan cấp phát hộ chiếu tạo Hơn cần chứng thực thông tin khơng bị thay đổi từ lúc bắt đầu lưu Tính liên kết người – hộ chiếu: Cần phải chứng minh hộ chiếu điện tử thuộc người mang hay nói cách khác thơng tin hộ chiếu mô tả, ghi thông tin người sở hữu hộ chiếu 16 Tính liên kết hộ chiếu- chip: Cần phải khẳng định booklet khớp với mạch RFIC nhúng Kiểm sốt truy cập: Đảm bảo việc truy cập thông tin lưu trữ chip đồng ý người sở hữu nó, hạn chế truy cập tới thông tin sinh trắc học nhạy cảm tránh mát thông tin cá nhân 2.1.3 Các chế bảo mật thông tin hộ chiếu điện tử Để đáp ứng yêu cầu bảo mật liệu hộ chiếu điện tử cần phải có chế bảo mật thơng tin nhằm ngăn chặn nguy đáp ứng yêu cầu bảo mật thông tin Tổ chức Hãng hàng không dân dụng quốc tế ICAO đưa chế bảo mật cho hộ chiếu điện tử sau [3]: Passive Authentication (PA): Cơ chế xác thực bị động, chế bắt buộc trình xác thực hộ chiếu điện tử Cơ chế làm nhiệm vụ kiểm tra tính nguyên vẹn xác thực thông tin lưu chip RFID cách kiểm tra chữ ký số quan cấp hộ chiếu để xác thực liệu lưu nhóm cấu trúc liệu logic LDS chip RFID Basic Access Control (BAC): Đây hệ chế kiểm soát truy cập sử dụng nhiều ePassports toàn giới Hệ thống kiểm tra bắt nguồn từ khóa truy cập cách đọc Vùng máy đọc (MRZ) datapage ePassport (thơng tin khóa tay khơng thể đọc máy MRZ) Các khóa sử dụng BAC đối xứng (tức khóa sử dụng để mã hóa liệu để truyền cho người đọc người đọc sử dụng để giải mã liệu) Thiết lập kết nối xác thực mật (PACE): PACE thiết kế để khắc phục hạn chế BAC, có sức mạnh hạn chế sử dụng mật mã đối xứng Nói cách đơn giản, q trình cho PACE giống BAC; nhiên, PACE sử dụng mật mã bất đối xứng để thiết lập bảo vệ mạnh chống lại nghe Active Authentication (AA): Cơ chế xác thực chủ động, chế đảm bảo tính xác thực chip tích hợp hộ chiếu điện tử cách đưa cặp khóa riêng Khóa bí mật lưu DG15 bảo vệ chế PA Khóa công khai tương ứng lưu vào nhớ bảo mật sử dụng chip RFID khơng thể đọc bên ngồi Cơ chế nên sử dụng nơi mà BAC áp dụng Extended Access Control (EAC): Mục đích chế EAC để tăng cường bảo vệ thông tin sinh trắc học nhạy cảm (vân tay, mống mắt) đồng thời khắc phục hạn chế trình xác thực chủ động Tuy nhiên ICAO đề cập tới chế dạng tùy chọn để quốc gia, giới khoa học tiếp tục nghiên cứu bổ sung Cơ chế bao gồm hai trình: Xác thực chip (Chip Authentication) 17 Là giao thức cho phép hệ thống kiểm tra xác thực tính đắn chip RFID HCĐT Trước sử dụng giao thức chip RFID cần bảo vệ giao thức BAC Xác thực đầu đọc (Terminal Authentication) Là giao thức chip RFID xác minh xem hệ thống kiểm tra có quyền truy cập đến vùng liệu nhạy cảm hay không Khi hệ thống kiểm tra truy cập đến liệu sinh trắc tất truyền thơng phải bảo vệ cách phù hợp Trước thực giao thức bắt buộc phải thực thành cơng giao thức Chip Authentication Supplement Access Control (SAC): Là chế kiểm soát truy cập bổ sung xuất vào tháng 12/2014 SAC dựa giao thức thiết lập kết nối có xác thực mật PACE ( Password Authenticated Connection Establishment) PACE cịn tích hợp tùy chọn để sử dụng số truy cập thẻ bổ sung cho MRZ (tức liệu cá nhân người chủ hộ chiếu in trang hộ chiếu) SAC khắc phục nhược điểm chế BAC, đảm bảo mức độ an toàn riêng tư cao 18 CHƯƠNG III: ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ PKI (Public Key Infrastructure) công nghệ đằng sau ePassport Cơ sở hạ tầng khóa công khai hộ chiếu điện tử hệ thống xác thực IS (Inspection System - Hệ thống kiểm duyệt điểm xuất nhập cảnh) PKI sử để xác thực liệu lưu chip điện tử RFID khiến cho đắt tiền khó giả mạo tất chế bảo mật triển khai đầy đủ xác Như sở hạ tầng khóa cơng khai triển khai cần phải đáp ứng hai trình: 2.1 Xác thực thụ động (Passive Authentication) Là trình kiểm tra tính ngun vẹn xác thực thơng tin lưu chip RFID Trong quy trình cấp phát hộ chiếu điện tử, sau ghi thông tin vào chip RFID, quan cấp hộ chiếu phải ký số lên chip để chứng thực thông tin vừa ghi vào Sau nhận chứng số CDS CA cấp cao phát hành, quan cấp HCĐT DS sử dụng khóa bí mật để ký số lên hộ chiếu đó, cịn khóa cơng khai lưu CDS Tại bước kiểm tra hộ chiếu điểm xuất nhập cảnh, hệ thống IS sử dụng chế Passive Authentication để kiểm tra xác thực chữ ký DS Hệ thống IS tiến hành đọc HCĐT, lấy chứng số CDS, kiểm tra tính xác thực khóa cơng khai CA phân phối, khóa cơng khai nước có triển khai HCĐT trao đổi với qua đường công hàm thơng qua danh mục khóa cơng khai PKD Sau xác thực xong CDS, hệ thống IS dùng CDS để xác thực nội dung lưu chip RFID 2.2 Xác thực đầu cuối (Terminal Authentication) Xác thực đầu cuối (TA) sử dụng để xác định xem hệ thống kiểm tra (IS) có phép đọc liệu nhạy cảm từ hộ chiếu điện tử hay không Cơ chế 19 dựa chứng kỹ thuật số có định dạng chứng xác minh thẻ Tại quốc gia có triển khai hộ chiếu điện tử, có quan cấp chứng số quốc gia, CSCA (Coutry Signing Certification Authority) CVCA (Country Verifying Certification Authority) Các CA cấp quốc gia phân phối chứng cho quan cấp hộ chiếu điện tử DS (Document Signer) để ký số lên hộ chiếu quan xác thực hộ chiếu điện tử DV (Document Verifier) để kiểm tra hộ chiếu Trong trình xác thực hộ chiếu điện tử, Terminal Authentication yêu cầu hệ thống kiểm tra IS chứng minh quyền truy cập vào vùng liệu nhạy cảm Khi hệ thống kiểm duyệt trang bị hệ thống xác thực chứng (Inspection System Certificate - ISC) để mã hóa khóa cơng khai hệ thống kiểm duyệt quyền truy cập, tương ứng với khóa bí mật Sau hệ thống kiểm duyệt chứng minh thơng tin khóa bí mật chip RFID chấp nhận cho hệ thống kiểm duyệt truy cập vào vùng liệu nhạy cảm ISC Mơ hình PKI triển khai với chế Terminal Authentication có thực thể sau: Mơ hình PKI phân cấp phục vụ chế Terminal Authentication CVCA (Country Verifying Certification Authority): Cơ quan xác thực chứng số quốc gia - DV (Document Verifier): Cơ quan xác thực hộ chiếu điện tử IS (Inspection System): Hệ thống kiểm duyệt điểm xuất nhập cảnh 20 Country Verifying Cas (CVCA) Tại quốc gia có triển khai hộ chiếu điện tử cần phải thiết lập điểm tin cậy (trust-point), gọi CVCA, nơi cung cấp xác thực chứng số DV- Cert cho quan xác thực hộ chiếu điện tử DV CVCA xác định tất quyền truy cập đến tới chip RFID cho tất DV (bao gồm DV quốc gia DV quốc gia khác) cách cung cấp chứng cho DV, có mơ tả quyền truy cập thông tin Để giảm thiểu nguy mát thơng tin, DV-Cert có giá trị khoảng thời gian ngắn CVCA có tồn quyền gán thời hạn cho DV-Cert chứng DV khác có thời hạn khác Document Verifiers Inspection Systems Document Verifiers (DV) quan xác thực hộ chiếu, đơn vị tổ chức quản lý hệ thống kiểm duyệt IS, cung cấp chứng số IS-Cert cho IS Như vậy, DV CA xác thực CVCA Inspection System (IS) hệ thống kiểm duyệt HCĐT điểm xuất nhập cảnh Để chip RFID chứng thực chứng số IS-Cert IS cần phải gửi chuỗi chứng hay chứng liên kết quốc gia (CVCA Link Certificates), bao gồm DV- Cert IS-Cert 21 Mơ hình PKI chung cho HCĐT IS ICAO PKD Để chữ ký điện tử trở thành tính bảo mật hiệu hiệu quả, quốc gia phải trao đổi chứng tương ứng với Trong hai chứng CSCA DSC trao đổi song phương, số lượng ngày tăng nước phát hành ePassports khối lượng ePassports tương ứng cao dẫn đến hệ thống không hiệu quả, phức tạp dễ bị lỗi Như vậy, ICAO tạo hệ thống để tạo thuận lợi cho việc chia sẻ thông tin quốc gia: Danh bạ khóa cơng khai ICAO (PKD) PKD ICAO thư mục tập trung cung cấp nguồn trực tuyến độc lập, có tổ chức, an tồn tiết kiệm chi phí để cập nhật thơng tin 22 Người tham gia PKD tải lên chứng CSCA tương ứng họ, chứng người ký chứng DSC, Danh sách thu hồi chứng CRL Danh sách Chính cho PKD ICAO Trong người tham gia PKD yêu cầu gửi chứng CSCA họ đến PKD ICAO, họ không xuất trực tiếp thư mục để tải xuống Thay vào đó, chúng sử dụng Nhà điều hành PKD để xác thực chứng người ký chứng chỉ, chứng người đăng ký danh sách danh sách thu hồi chứng trạng thái phát hành trước mục xuất lên PKD ICAO cung cấp cho người tham gia PKD người dùng khác để tải xuống 23 2.3 Quy trình cấp phát hộ chiếu điện tử đề xuất Quy trình cấp phát hộ chiếu điện tử đề xuất Quá trình cấp phát hộ chiếu điện tử trải qua bước sau: Bước 1: Đăng ký cấp hộ chiếu theo mẫu quan cấp phát, quản lý hộ chiếu phát hành Bước 2: Kiểm tra nhân thân Bước 3: Thu nhận thơng tin sinh trắc học gồm có ảnh khuôn mặt, ảnh vân tay, ảnh mống mắt Tuy nhiên tùy thuộc vào ngữ cảnh đối tượng tương ứng mà thu nhận đặc điểm sinh trắc Bước 4: Ghi thông tin vào chip RFID, in hộ chiếu Ghi thông tin trang hộ chiếu giấy vào DG1 Ghi ảnh khuôn mặt vào DG2; Ghi ảnh hai vân tay vào DG3 Ghi hai ảnh hai mống mắt vào DG4 24 Ghi thơng tin khác khóa cơng khai PKRFIC phục vụ q trình Chip Authentication vào DG14, khóa bí mật SKRFIC phục vụ q trình Chip Authentication Khóa cơng khai PKCVCA dùng cho q trình Terminal Authentication vào nhớ bí mật Ghi SOD tạo giá trị băm nhóm thơng tin theo thuật tốn SHA-256 Tập tất giá trị băm gọi SOLDS Tiến hành lấy SOLDS khóa bí mật quan cấp hộ chiếu ta chữ ký SOLDS ký hiệu SOD.Signature Cấu trúc SOD (SOLDS,… , SOLDS.cert) SOLDS.cert chứng thư số Phần thơng tin phục vụ Passive Authentication q trình tạo đối tượng SOD 2.4 Quy trình xác thực hộ chiếu điện tử Quá trình kiểm tra, xác thực hộ chiếu điện tử cửa thực theo bước sau: 25 Quy trình xác thực hộ chiếu điện tử đề xuất Bước 1: Người mang hộ chiếu xuất trình hộ chiếu cho quan kiểm tra, quan tiến hành thu nhận đặc tính sinh trắc học từ người xuất trình hộ chiếu Bước 2: Kiểm tra đặc tính bảo mật trang hộ chiếu giấy thông qua đặc điểm an ninh truyền thống: thủy ấn, dải quang học, lớp bảo vệ ảnh… Bước 3: Hệ thống RFIC thực q trình BAC, sau BAC thành cơng hệ thống đọc thơng tin chip Mọi thông tin trao đổi đầu đọc chip truyền thơng qua mã hóa sau xác thực theo cặp khóa IS tiến hành thực chế BAC HCĐT Đây chế chống nghe đọc trộm thông tin truyền từ chip RFIC đến IS Ý tưởng BAC phải 26 có đồng ý người sở hữu hộ chiếu phép đọc thơng tin từ chip RFIC Do hệ thống cho phép truy cập thông tin nhận khóa truy cập từ vùng liệu MRZ Nghe đọc trộm bị chặn cách truyền thông báo bảo mật, liệu trao đổi RFIC IS mã hóa sử dụng cặp khóa phiên có từ BAC Bước 4: Thực xác thực bị động Passive Authentication để kiểm tra tính xác thực tồn vẹn thơng tin lưu chip thông qua kiểm tra chữ ký khố cơng khai quan cấp hộ chiếu Tiến hành thực trình Passive Authentication để kiểm tra tính xác thực tồn vẹn thơng tin lưu chip RFID thông qua việc kiểm tra chữ ký lưu SOD khóa cơng khai quan cấp hộ chiếu Việc trao đổi khóa cơng khai thơng qua chứng số đƣợc thực theo mơ hình khuyến cáo ICAO Thực thành cơng q trình Passive Authentication với Chip Authentication chế EAC khẳng định chắn chip hộ chiếu nguyên gốc Bước 5: Quá trình Terminal Authentication chứng minh quyền truy cập thông tin hệ thống đến thông tin sinh trắc học Chỉ thực quan kiểm tra hộ chiếu triển khai EAC Sau Terminal Authentication thành công, đầu đọc truy cập thơng tin theo quyền thể chứng thư số Bước 6: Hệ thống thực so sánh thông tin sinh trắc học thu nhận trực tiếp từ người xuất trình hộ chiếu với thông tin sinh trắc học lưu chip Hệ thống kiểm duyệt có quyền truy cập vào vùng liệu DG2, DG3, DG4 tiến hành đọc liệu sinh trắc người sở hữu hộ chiếu (ảnh khuôn mặt, dấu vân tay, mống mắt) lưu chip RFID hộ chiếu điện tử Cùng lúc đó, thiết bị nhận dạng đặc biệt, quan kiểm tra tiến hành thu nhận đặc tính sinh trắc học nhƣ ảnh khuôn mặt, vân tay, mống mắt… từ người dùng Sau đó, hệ thống thực q trình trích chọn đặc trưng đặc tính sinh trắc, tiến hành đối chiếu đưa kết Nếu ba liệu sinh trắc thu trực tiếp từ người dùng khớp với liệu thu từ chip RFID quan kiểm tra xác thực có đủ điều kiện để tin tưởng hộ chiếu điện tử đắn người mang hộ chiếu hợp lệ Bước 7: Nếu trình so sánh thành cơng kết hợp với chứng thực trên, quan kiểm tra hộ chiếu có đủ điều kiện để tin tưởng hộ chiếu xác thực người mang hộ chiếu người mô tả hộ chiếu 27 TỔNG KẾT 28 TÀI LIỆU THAM KHẢO 29 ... phát hộ chiếu điện tử đề xuất Quy trình cấp phát hộ chiếu điện tử đề xuất Quá trình cấp phát hộ chiếu điện tử trải qua bước sau: Bước 1: Đăng ký cấp hộ chiếu theo mẫu quan cấp phát, quản lý hộ chiếu. .. cho quan cấp hộ chiếu điện tử DS (Document Signer) để ký số lên hộ chiếu quan xác thực hộ chiếu điện tử DV (Document Verifier) để kiểm tra hộ chiếu Trong trình xác thực hộ chiếu điện tử, Terminal... thực hộ chiếu điện tử Quá trình kiểm tra, xác thực hộ chiếu điện tử cửa thực theo bước sau: 25 Quy trình xác thực hộ chiếu điện tử đề xuất Bước 1: Người mang hộ chiếu xuất trình hộ chiếu cho quan