BÁO cáo đề tài NGHIÊN cứu TỔNG QUAN về ỨNG DỤNG PKI TRONG TRIỂN KHAI hộ CHIẾU điện tử

TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI VÀ CHỮ KÝ SỐ

Tổng quan về cơ sở hạ tầng khóa công khai

PKI (Cơ sở hạ tầng khóa công khai) hoạt động nhờ vào các thẻ chứng thực số, bao gồm các thành phần như phần cứng, phần mềm, chính sách, và quy trình phát hành/thu hồi chứng chỉ Những yếu tố này kết hợp để tạo ra một phương thức trao đổi thông tin an toàn trên mạng, đảm bảo tính xác thực và định danh đối tác ở mức độ bảo mật cao nhất.

Nhiệm vụ chính của PKI là áp dụng chiến lược mã hóa khóa công cộng để tạo ra, quản lý và thu hồi các thẻ chứng thực.

- Tạo và xác định tính hợp lệ của chữ ký số (digital signatures)

- Đáp ứng sự đăng ký thẻ của người sử dụng mới

- Xác thực người sử dụng và phân phối thẻ chứng thực đến họ

- Thu hồi các thẻ chứng thực hết hạn

- Tạo các private key và public key cho các PKI client.

Hệ thống bảo mật sử dụng PKI cung cấp phương thức xác thực người dùng an toàn hơn so với phương pháp truyền thống như tên đăng nhập và mật khẩu PKI sử dụng thẻ chứng thực chứa thông tin định danh và khóa công khai của các bên tham gia để xác minh danh tính và tính hợp lệ Hơn nữa, PKI còn hỗ trợ mã hóa thông tin nhạy cảm và ký các tài liệu số, tăng cường độ bảo mật cho dữ liệu.

PKI, hay còn gọi là Hệ thống Quản lý Khóa Công khai, là một hạ tầng kỹ thuật thông tin thiết yếu, cho phép người dùng Internet trao đổi thông tin một cách an toàn và riêng tư Hệ thống này hoạt động dựa trên cặp khóa công khai và riêng tư, được cấp phát và quản lý thông qua một trung tâm ủy quyền tin cậy (CA).

PKI cung cấp thẻ chứng thực số cho các đối tác trong việc trao đổi thông tin trên Internet Thẻ này đóng vai trò quan trọng trong việc xác thực danh tính của cá nhân, tổ chức hoặc dịch vụ thư mục.

1.1.1 Các thành phần của PKI

Hệ thống PKI bao gồm các thành phần chính sau:

PKI client Certification Authority (CA) – Ủy quyền thẻ chứng thực

CA là thành phần thứ ba đáng tin cậy, có nhiệm vụ nhận yêu cầu phát hành thẻ chứng thực từ tổ chức hoặc cá nhân và cấp thẻ chứng thực sau khi xác thực yêu cầu Verisign và MSN là hai trong số các công ty CA nổi tiếng trên toàn cầu.

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

CA xác định các quy tắc và thủ tục liên quan đến việc phát hành thẻ chứng thực dựa trên chính sách và thông tin được trao đổi trong môi trường bảo mật của tổ chức Tất cả các hoạt động như tạo, phát hành và thu hồi thẻ chứng thực đều phải tuân thủ các quy tắc và thủ tục này Ủy quyền đăng ký (RA) đóng vai trò quan trọng trong quá trình này.

Nhiệm vụ của RA kiểm tra yêu cầu thẻ chứng thực số của client.

Khi một PKI client gửi yêu cầu phát hành thẻ chứng thực số đến một

CA ủy quyền RA xác thực yêu cầu, sau khi kiểm tra thành công, RA chuyển tiếp yêu cầu đến CA CA nhận yêu cầu và phát hành thẻ chứng thực, sau đó gửi thẻ này đến RA Cuối cùng, RA chuyển thẻ chứng thực đến PKI client, người đã gửi yêu cầu phát hành thẻ trước đó.

Chứng chỉ số (DC) là thẻ chứng thực số, tương tự như thẻ ID trong môi trường điện tử Trong thực tế, thẻ ID được sử dụng để xác định duy nhất một cá nhân, trong khi đó, trong môi trường trao đổi thông tin an toàn, PKI sử dụng chứng chỉ số để xác định duy nhất một đối tượng trong suốt quá trình truyền thông.

Thẻ chứng thực số chứa các thông tin sau:

- Số serial của thẻ chứng thực

- Ngày hết hạn của thẻ chứng thực

- Chữ ký số của CA

- Public key của PKI client

Trong quá trình giao dịch, bên gửi cung cấp thẻ chứng thực số cùng với dữ liệu đã mã hóa cho bên nhận Bên nhận sử dụng thẻ chứng thực số này để xác minh tính hợp lệ của bên gửi.

Bên nhận sử dụng public key của CA để giải mã public key của bên gửi, nhận cùng với thông điệp mã hóa Sau khi xác định định dạng của bên gửi, bên nhận tiếp tục sử dụng public key của bên gửi để giải mã dữ liệu đã nhận.

Một số loại chứng chỉ số thông dụng là:

- Chứng chỉ khóa công khai đơn giản (Simple Public Key Certificates - SPKC).

- Chứng chỉ Pretty Good Privacy (PGP).

- Chứng chỉ thuộc tính (Attribute Certificates – AC)

Hệ thống phân phối thẻ CDS (Certificate Distribution System) lưu trữ toàn bộ các thẻ chứng thực đã phát hành cho người sử dụng trên mạng Ngoài ra, CDS còn quản lý các cặp khóa, tính hợp lệ và chữ ký của các khóa công khai Hệ thống này cũng lưu giữ danh sách các khóa đã hết hạn và các khóa bị thu hồi do mất mát hoặc hết hạn.

Ngoài ra còn có các thành phần khác:

Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính hợp lệ thể chứng thực số của một đối tác trao đổi thông tin.

Certificate revocation list (CRL): Chứa danh sách các thẻ chứng thực bị thu hồi bởi CA.

Danh sách Thu hồi Chứng chỉ (CRL) là danh sách các chứng chỉ kỹ thuật số không còn đáng tin cậy do Tổ chức phát hành Chứng chỉ (CA) thu hồi trước thời điểm hết hạn đã định CRL đóng vai trò quan trọng trong việc đảm bảo an toàn và tính toàn vẹn của các chứng chỉ kỹ thuật số.

Tải xuống TIEU LUAN MOI tại địa chỉ skknchat123@gmail.com, nơi cung cấp thông tin mới nhất về việc cấm và cho phép sử dụng chứng chỉ bởi các điểm cuối khác nhau để xác minh tính hợp lệ và độ tin cậy của chúng.

Kỹ thuật mã hóa public key và privte key: Có thể được sử dụng để mã hóa và giải mã thông tin.

Partners or subjects can include users, organizations, or service systems that aim to utilize public key and private key techniques for secure information exchange.

Chứng thư số CA

Chứng thư số, hay còn gọi là chứng thư điện tử, là một công cụ xác nhận danh tính cho các đối tượng như phần mềm, ứng dụng, máy chủ, hoặc đại diện cho cá nhân và tổ chức trong các giao dịch điện tử Nó đóng vai trò quan trọng trong việc đảm bảo an toàn cho các giao dịch trực tuyến.

Một chứng thư số phải đảm bảo chứ đủ các thông tin sau:

Tên chủ thể, chủ sở hữu chứng thư số Khóa công khai (Public key).

Một số thông tin khác như: thông tin về doanh nghiệp, hạn sử dụng, thông tin về sản phẩm…

Chữ ký số của người cấp chứng thư đó.

Chứng thư số dùng để xác định danh tính của một đối tượng khi tham gia vào giao dịch điện tử dựa trên máy chủ xác thực danh tính.

1.2.1 Quy trình cấp chứng thư số

Khách hàng cần chuẩn bị hồ sơ đầy đủ về thông tin cá nhân hoặc doanh nghiệp, bao gồm tên và giấy phép kinh doanh, sau đó gửi thông tin đăng ký đến các nhà cung cấp dịch vụ chữ ký số.

Các nhà cung cấp dịch vụ chữ ký số sẽ xác thực thông tin cá nhân và doanh nghiệp với trung tâm dữ liệu quốc gia Nếu thông tin đúng, hồ sơ đăng ký chứng thư số sẽ được chấp nhận và thông tin khách hàng sẽ được nạp vào usb token hoặc smart card Khi nhận hợp đồng và thiết bị từ nhà cung cấp, khách hàng cần xác nhận nội dung chứng thư số, bao gồm tên doanh nghiệp và thời hạn chứng thư số có đúng với hợp đồng hay không.

Nhà cung cấp NewCA sẽ gửi toàn bộ thông tin về doanh nghiệp A đến Trung tâm chứng thực chữ ký số quốc gia (Root CA), thuộc cục Ứng dụng công nghệ thông tin của Bộ Thông tin và Truyền thông.

Doanh nghiệp cần đăng ký tài khoản với máy chủ của Tổng cục thuế, sử dụng Mã số thuế làm tên đăng nhập và gửi kèm khóa công khai.

Bước 5: Máy chủ thuế gửi yêu cầu xác nhận thông tin tới Trung tâm chứng thực chữ ký số quốc gia.

Bước 6: Trung tâm chứng thực chữ ký số quốc gia (Root CA) trả lại kết quả xác nhận với cơ quan thuế.

Chứng chỉ số

Chứng chỉ số là tệp tin điện tử giúp xác minh danh tính của cá nhân, máy chủ hoặc công ty trên Internet, tương tự như bằng lái xe, hộ chiếu hay chứng minh thư Để sở hữu chứng minh thư, bạn cần được cấp bởi cơ quan Công An địa phương.

Chứng chỉ số cần được xác nhận bởi một tổ chức có thẩm quyền, gọi là Nhà cung cấp chứng thực số (CA - Certificate Authority) CA có trách nhiệm đảm bảo tính chính xác và độ tin cậy của thông tin trong chứng chỉ số mà họ cấp.

Trong chứng chỉ số có ba thành phần chính:

+ Dữ liệu cá nhân của người được cấp

+ Khoá công khai (Public key) của người được cấp

+ Chữ ký số của CA cấp chứng chỉ

Bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức v.v.

Phần này giống như các thông tin trên chứng minh thư của mỗi người.

Giá trị do nhà cung cấp chứng thực cung cấp là một khóa mã hóa, kết hợp với khóa cá nhân duy nhất được tạo ra từ khóa công khai, hình thành nên cặp mã khóa bất đối xứng.

Nguyên lý hoạt động của khoá công khai trong chứng chỉ số yêu cầu hai bên giao dịch phải biết khoá công khai của nhau Khi bên A muốn gửi thông tin cho bên B, họ sẽ sử dụng khoá công khai của bên B để mã hoá dữ liệu Sau đó, bên B sẽ sử dụng khoá cá nhân của mình để giải mã thông tin đã nhận.

Tính bất đối xứng trong mã hóa cho thấy rằng khóa cá nhân có khả năng giải mã dữ liệu được mã hóa bằng khóa công khai, trong khi đó, khóa công khai không thể giải mã thông tin, kể cả những dữ liệu mà chính nó đã mã hóa.

Chứng chỉ số có thể được ví như một chứng minh thư nhân dân, trong đó khoá công khai thể hiện danh tính của bạn, bao gồm tên, địa chỉ và ảnh, trong khi khoá cá nhân giống như gương mặt và dấu vân tay, xác thực danh tính một cách độc nhất.

Một bưu phẩm có thể được xem như thông tin được truyền đi, được "mã hóa" qua địa chỉ và tên người nhận Dù ai đó có sử dụng chứng minh thư của bạn để nhận bưu phẩm, nhân viên bưu điện vẫn không thể giao hàng nếu ảnh mặt và dấu vân tay không trùng khớp.

Chữ ký số của CA cấp chứng chỉ:

Chứng chỉ gốc, hay còn gọi là chứng chỉ số, là sự xác nhận của CA nhằm đảm bảo tính chính xác và hợp lệ của chứng chỉ Để kiểm tra chứng chỉ số, trước tiên cần xác minh tính hợp lệ của chữ ký số từ CA Tương tự, trên chứng minh thư, con dấu xác nhận của Công An Tỉnh hoặc Thành phố là yếu tố quan trọng để xác định tính xác thực Do đó, khi kiểm tra chứng minh thư, việc đầu tiên cần làm là xem xét con dấu này để phát hiện dấu hiệu giả mạo.

Một số loại chứng chỉ số:

Chứng chỉ khóa công khai đơn giản (Simple Public Key

Chứng chỉ Pretty Good Privacy (PGP).

Chứng chỉ thuộc tính (Attribute Certificates - AC).

Những loại chứng chỉ này đều có cấu trúc định dạng riêng Hiện nay chứng chỉ X.509 được sử dụng rộng rãi trong hầu hết các hệ thống PKI.

HỘ CHIẾU ĐIỆN TỬ

ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ

Quy trình cấp phát hộ chiếu điện tử được đề xuất

Quy trình cấp phát hộ chiếu điện tử đề xuất Quá trình cấp phát hộ chiếu điện tử trải qua các bước sau:

Bước 1: Đăng ký cấp hộ chiếu theo mẫu do cơ quan cấp phát, quản lý hộ chiếu phát hành Bước 2: Kiểm tra nhân thân.

Bước 3: Tiến hành thu thập thông tin sinh trắc học, bao gồm ảnh khuôn mặt, ảnh vân tay và ảnh mống mắt Việc thu nhận các đặc điểm sinh trắc này cần được điều chỉnh phù hợp với ngữ cảnh và đối tượng cụ thể.

Bước 4: Ghi thông tin vào chip RFID, in hộ chiếu.

Ghi thông tin cơ bản như trên trang hộ chiếu giấy vào DG1.

Ghi ảnh khuôn mặt vào DG2;

Ghi ảnh hai vân tay vào DG3.

Ghi hai ảnh hai mống mắt vào DG4.

Ghi các thông tin khác khóa công khai PKRFIC phục vụ quá trình Chip Authentication vào DG14, khóa bí mật SKRFIC phục vụ quá trình Chip Authentication.

Khóa công khai PKCVCA dùng cho quá trình Terminal Authentication vào bộ nhớ bí mật.

Ghi SOD tạo giá trị băm các nhóm thông tin theo thuật toán SHA-256

Tập hợp tất cả các giá trị băm được gọi là SOLDS Bằng cách sử dụng khóa bí mật từ cơ quan cấp hộ chiếu, chúng ta có thể tạo ra chữ ký cho SOLDS, được ký hiệu là SOD.Signature.

Cấu trúc của SOD bao gồm SOLDS và các chứng thư số SOLDS.cert, trong đó SOLDS.cert đóng vai trò quan trọng trong quá trình xác thực thụ động (Passive Authentication) và tạo ra các đối tượng.

SO D 2.4 Quy trình xác thực hộ chiếu điện tử

Quá trình kiểm tra, xác thực hộ chiếu điện tử tại các cửa khẩu được thực hiện theo các bước sau:

Quy trình xác thực hộ chiếu điện tử bắt đầu bằng việc người mang hộ chiếu trình diện hộ chiếu của mình cho cơ quan kiểm tra Tại đây, cơ quan sẽ tiến hành thu nhận các đặc tính sinh trắc học từ người xuất trình hộ chiếu để đảm bảo tính xác thực.

Kiểm tra các tính năng bảo mật của hộ chiếu giấy là bước quan trọng, bao gồm việc xác minh các đặc điểm an ninh truyền thống như thủy ấn, dải quang học và lớp bảo vệ ảnh.

Bước 3: Hệ thống RFIC tiến hành quá trình BAC, cho phép đọc thông tin trong chip sau khi BAC thành công Tất cả thông tin trao đổi giữa đầu đọc và chip được mã hóa và xác thực bằng cặp khóa.

IS đang triển khai cơ chế BAC trên HCĐT, nhằm chống nghe lén và bảo vệ thông tin truyền từ chip RFIC đến IS Mục tiêu của BAC là đảm bảo an toàn cho dữ liệu trong quá trình truyền tải.

TIEU LUAN MOI download: skknchat123@gmail.com Để truy cập thông tin từ chip RFIC, cần có sự đồng ý của người sở hữu hộ chiếu Hệ thống chỉ cho phép đọc thông tin khi đã nhận được các khóa truy cập từ vùng dữ liệu MRZ Các hành vi nghe lén và đọc trộm được ngăn chặn thông qua việc truyền thông báo bảo mật, với dữ liệu trao đổi giữa RFIC và IS được mã hóa bằng cặp khóa phiên từ BAC.

Bước 4: Tiến hành xác thực bị động để kiểm tra tính xác thực và toàn vẹn thông tin lưu trữ trong chip bằng cách kiểm tra chữ ký sử dụng khóa công khai từ cơ quan cấp hộ chiếu.

Quá trình Xác thực Thụ động (Passive Authentication) được thực hiện để kiểm tra tính xác thực và toàn vẹn thông tin trong chip RFID bằng cách kiểm tra chữ ký trong SOD sử dụng khóa công khai của cơ quan cấp hộ chiếu Việc trao đổi khóa công khai thông qua chứng chỉ số tuân theo mô hình khuyến cáo của ICAO Khi hoàn thành thành công quá trình Xác thực Thụ động kết hợp với Xác thực Chip trong cơ chế EAC, có thể khẳng định rằng chip trong hộ chiếu là nguyên gốc.

Bước 5: Quá trình xác thực tại Terminal chứng minh quyền truy cập vào thông tin sinh trắc học của hệ thống, áp dụng cho các cơ quan kiểm tra hộ chiếu triển khai EAC Khi quá trình xác thực thành công, đầu đọc sẽ có quyền truy cập thông tin theo chứng thư số đã được cấp.

Hệ thống tiến hành so sánh thông tin sinh trắc học thu nhận từ người xuất trình hộ chiếu với dữ liệu sinh trắc học được lưu trữ trong chip.

Hệ thống kiểm duyệt có khả năng truy cập vào các vùng dữ liệu DG2, DG3 và DG4 để đọc thông tin sinh trắc của người sở hữu hộ chiếu, bao gồm ảnh khuôn mặt, dấu vân tay và mống mắt được lưu trong chip RFID Đồng thời, cơ quan kiểm tra sử dụng thiết bị nhận dạng đặc biệt để thu thập các đặc tính sinh trắc học từ người dùng Sau đó, hệ thống sẽ trích xuất và đối chiếu các đặc điểm sinh trắc này với dữ liệu từ chip RFID Nếu ba loại dữ liệu sinh trắc khớp nhau, cơ quan kiểm tra có thể xác nhận tính chính xác của hộ chiếu điện tử và tính hợp lệ của người mang hộ chiếu.

Nếu quá trình so sánh thành công và kết hợp với các chứng thực, cơ quan kiểm tra hộ chiếu có thể tin tưởng rằng hộ chiếu là hợp lệ và người mang hộ chiếu chính là cá nhân được mô tả trong đó.

Tiêu đề	Nghiên Cứu Tổng Quan Về Ứng Dụng PKI Trong Triển Khai Hộ Chiếu Điện Tử
Trường học	Học viện Kỹ thuật Mật mã
Chuyên ngành	Chứng thực điện tử
Thể loại	báo cáo
Năm xuất bản	2022
Thành phố	Hà Nội

Định dạng
Số trang	31
Dung lượng	621,02 KB