i LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Nghiên cứu ứng dụng chữ ký số cho Hộ chiếu điện tử” sản phẩm riêng cá nhân, không chép lại người khác Trong toàn nội dung luận văn, điều trình bày cá nhân tổng hợp, nghiên cứu từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ trích dẫn rõ ràng Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Thái Nguyên, ngày 20 tháng 08 năm 2015 Học viên thực Trần Thị Hà ii LỜI CẢM ƠN Lời đầu tiên, xin bày tỏ lòng biết ơn đến thầy TS.Hồ Văn Hương – Ban yếu Chính phủ, người tận tình hướng dẫn, bảo giúp đỡ suốt trình nghiên cứu hồn thành luận văn Tơi xin chân thành cảm ơn thầy cô giáo trường Đại học Công nghệ Thông tin Truyền thông - Đại học Thái Nguyên giảng dạy cung cấp cho chúng tơi kiến thức bổ ích thời gian học cao học, giúp tơi có tảng tri thức để phục vụ nghiên cứu khoa học sau Tôi xin cảm ơn Lãnh đạo đồng nghiệp đơn vị tạo điều kiện giúp đỡ tơi suốt q trình nghiên cứu hồn thành luận văn Tơi xin bày tỏ lịng cảm ơn đến gia đình bạn bè, người ln quan tâm, động viên khuyến khích tơi q trình học tập Thái Nguyên, ngày 20 tháng 08 năm 2015 Học viên Trần Thị Hà iii MỤC LỤC LỜI CAM ĐOAN ………………………………………… ……………………………….………….i LỜI CẢM ƠN …………………………………………………… ………………………………… ii MỤC LỤC ……………………………………………………………………… ……………….… iii MỞ ĐẦU .1 Đặt vấn đề……………………………………………………………… ……….…1 Mục tiêu nghiên cứu ……………………………………………………………… Đối tượng phạm vi nghiên cứu………………………………………………… Phương pháp nghiên cứu ………………………………………………………… Ý nghĩa khoa học đề tài……………………………………………………………… Bố cục luận văn……………………………………………………………… CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI VÀ CHỮ KÝ SỐ 1.1 Tổng quan sở hạ tầng mã hóa công khai 1.1.1 Giới thiệu hệ thống mã hóa 1.1.2 Thuật tốn mã hóa cổ điển 1.1.3 Thuật toán mã hóa đại 1.2 Hạ tầng khóa cơng khai PKI 1.2.1 Chức PKI 1.2.2 Các thành phần PKI 1.2.3 Các mơ hình tin cậy PKI 1.3 Hàm băm 12 1.4 Chữ ký số 13 1.4.1 Giới thiệu chữ ký số 13 1.4.2 Quá trình ký số 15 1.4.3 Quá trình kiểm tra, xác thực chữ ký số 16 1.4.4 Thuật toán chữ ký số RSA 18 1.5 Kết luận 19 CHƯƠNG 2: HỘ CHIẾU ĐIỆN TỬ CÁCH THỨC LƯU TRỮ VÀ XỬ LÝ THÔNG TIN TRONG CON CHIP ĐIỆN TỬ 20 2.1 Hộ chiếu điện tử 20 2.1.1 2.1.2 2.1.3 2.1.4 Hộ chiếu điện tử gì? 20 Các thành phần hộ chiếu điện tử 20 Tổ chức liệu logic HCĐT 23 Lưu trữ vật lý 26 2.2 Các công nghệ Hộ chiếu điện tử 30 iv 2.2.1 Định danh sử dụng tần số vô tuyến RFID 30 2.2.2 Xác thực sinh trắc học 32 2.2.3 Hạ tầng khóa công khai PKI HCĐT 33 2.3 Kết luận 38 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG THỬ NGHỆM ỨNG DỤNG CHỮ KÝ SỐ VÀ ĐỀ XUẤT MƠ HÌNH HỘ CHIẾU ĐIỆN TỬ TẠI VIỆT NAM 38 3.1 Các giải pháp bảo mật an toàn liệu trình quản lý hộ chiếu 39 3.1.1 Yêu cầu chung 39 3.1.2 Thực trạng môi trường triển khai Hộ chiếu điện tử Việt Nam 42 3.2 Đặc tả yêu cầu cho HCĐT 46 3.2.1 Đặc tả yêu cầu cho module tạo HCĐT 54 3.2.2 Đặc tả yêu cầu cho moduel xác thực HCĐT 55 3.3 Kiến trúc hệ thống 60 3.4 Thử nghiệm hệ thống 60 3.4.1 Thử nghiệm cho HCĐT giả lập 60 3.4.2 Thử nghiệm cho module tạo HCĐT 61 3.4.3 Thử nghiệm cho module xác thực HCĐT 62 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 63 TÀI LIỆU THAM KHẢO 65 v DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN AA Active Authentication - Cơ chế xác thực chủ động BAC Basic Access Control - Phương pháp kiểm soát truy cập CA Certificate Authority – Cơ quan có thẩm quyền cấp phát chữ kí số CRL Certificate Revocation List – Danh sách chứng bị thu hồi CSCA Country signing Certificate Authority – Cơ quan có thẩm quyền cấp phát chữ kí quốc gia CVCA Country Verifying Certification Authority - Cơ quan xác thực chứng thư số quốc gia DES Data Encryption Standard – Thuật toán mã hóa liệu chuẩn DV Document Verifier – xác thực tài liệu EAC Advanced Access Control – Phương pháp kiểm soát truy cập nâng cao ICAO International Civil Aviation Orgnization – Tổ chức hàng không dân dụng quốc tế IS Insepection System - Hệ thống kiểm duyệt điểm xuất nhập cảnh ISO International Organization for Standardization – Tổ chức tiêu chuẩn quốc tế LDS Logical Data Structure – Cấu trúc liệu lôgic MRZ Machine Readable Zone – Vùng đọc máy hộ chiếu PA Passive Authentication - Cơ chế xác thực bị động PKC Public Key Crytography – Thuật tốn mã hóa khóa cơng khai PKD Public Key Directory – Thư mục khóa cơng khai ICAO thiết lập để nước thành viên truy cập sử dụng PKI Public Key Infrastructure – Cơ sở hạ tầng khóa cơng khai RFIC Radio Frequency Integrated Chip – Vi mạch tích hợp có khả trao đổi liệu sóng vơ tuyến (radio) RSA Ron Rivest, Adi Shamir, Len Adleman: Là thuật toán mã hóa cơng khai SHA Secure Hash Standard – Thuật tốn băm liệu chuẩn EE End entity – Thực thể cuối vi DANH MỤC CÁC HÌNH ẢNH Trang Hình 1.1: Q trình mã hóa giải mã 10 Hình 1.2 : Mơ hình CA đơn 10 Hình 1.3: Mơ hình CA phân cấp 11 Hình 1.4: Mơ hình mắt lưới 12 Hình 1.5: Mơ hình sử dụng hàm băm bên gửi 13 Hình 1.6: Mơ hình sử dụng hàm băm bên nhận 16 Hình 1.7: Quá trình ký số 17 Hình 2.1: Các thành phần hộ chiếu điện tử 21 Hình 2.2: Biểu tượng hộ chiếu điện tử 22 Hình 2.3: Cấu trúc tổ chức liệu bên hộ chiếu điện tử 24 Hình 2.4: Tổ chức liệu HCĐT theo nhóm 25 Hình 2.5: Tổ chức vật lí thơng tin hộ chiếu điện tử 27 Hình 2.6: Thơng tin định vị nhóm liệu lưu chip 28 Hình 2.7: Thơng tin tồn nhóm liệu chip 28 Hình 2.8: Thông tin tồn thành phần liệu nhóm 29 Hình 2.9: Thơng tin xác định vị trí thành phần liệu nhóm 29 Hình 2.10: Luồng xử lý cấu trúc hệ thống sinh trắc học 32 Hình 2.11: Mơ hình xây dựng PKI 33 Hình 2.12 : Mơ hình sử dụng xác thực 34 Hình 2.13: Danh mục khóa cơng khai 35 Hình 2.14: Mơ hình phân cấp CA 36 Hình 2.15: Mơ hình phân cấp CA 37 Hình 3.1: Quá trình tạo đối tượng SOD 44 Hình 3.2: Quá trình cấp phát hộ chiếu điện tử 45 Hình 3.3: Quá trình xác thực hộ chiếu 46 Hình 3.4: Cấu trúc liệu tổ chức HCĐT 48 Hình 3.5: Cấu trúc logic DataGroup 50 vii Hình 3.6: Cấu trúc logic Data Element 50 Hình 3.7: Cấu trúc hệ thống file 51 Hình 3.8: Định dạng thông điệp lệnh truyền HCĐT thiết bị đọc/ ghi 51 Hình 3.9 : Tạo khóa KSEED 52 Hình 3.10: Tạo cặp khóa KENC KMAC 53 Hình 3.11: Kiến trúc hệ thống 60 Hình 3.12: Màn hình HCĐT giả lập hộ chiếu 60 Hình 3.13: Màn hình tạo HCĐT hộ chiếu 61 Hình 3.14: Màn hình xác thực hộ chiếu điện tử 62 MỞ ĐẦU Đặt vấn đề Như biết, hộ chiếu giấy tờ tùy thân giúp xác thực công dân họ di chuyển quốc gia Q trình quản lí thơng thương nhập cư có tính chất phức tạp bao gồm khối lượng khổng lồ nhân lực Mặc dù quốc gia có nỗ lực định việc cải tiến quy trình quản lí nhằm tăng thuận tiện việc nhập cư đồng thời khuyến khích giao thương nước, nhiên, hộ chiếu truyền thống không đáp ứng hết yêu cầu đặt tính tiện lợi loại giấy tờ mang tính tương tác tồn cầu độ an tồn bảo mật thông tin, tránh làm giả phải dễ dàng thuận tiện cho quan kiểm soát xuất nhập cảnh, công dân nước khác nhập cảnh Vì vậy, cơng nghệ mạnh mẽ để hỗ trợ xác thực quản lí hộ chiếu liên tục nghiên cứu tìm tịi, mơ hình hộ chiếu điện tử (HCĐT) đời Hộ chiếu thông thường dễ giả mạo, việc kiểm tra thiếu tính xác nhiều thời gian Từ hạn chế đó, mơ hình hộ chiếu điện tử (HCĐT) đời nhằm nâng cao khả xác thực thân chủ hộ chiếu Ở hộ chiếu điện tử, đặc điểm khác biệt so với hộ chiếu thông thường việc xác thực ký số Với nhiều ưu điểm quản lý, cấp phát kiểm soát, hộ chiếu điện tử triển khai nhiều nước phát triển giới Nhìn chung, việc triển khai sử dụng hộ chiếu điện tử dựa công nghệ RFID (Radio Frequency Identification) với thẻ thông minh phi tiếp xúc; xác thực ký số; hạ tầng khố cơng khai PKI Từ đó, hệ thống thơng tin phục vụ quản lý/cấp/kiểm soát khai thác, phát huy điểm mạnh công nghệ, yếu tố để nâng cao hiệu xác thực công dân mang hộ chiếu Ở Việt Nam, nhu cầu hội nhập quốc tế ngày đòi hỏi nâng cao hiệu việc kiểm sốt xuất/nhập cảnh Vì vậy, việc tìm hiểu mơ hình xác thực hộ chiếu điện tử có giới để từ vận dụng vào thực trạng Việt Nam vấn đề cần có quan tâm nghiên cứu Mơ hình đề xuất phải đảm bảo tính khả dụng, phù hợp với tiêu chuẩn quốc tế, chủ yếu ICAO (International Civil Aviation Organization) đề xuất Trong năm gần đây, Việt Nam có đề xuất giải pháp Hộ chiếu điện tử cho công dân, chưa áp dụng thực tế, trước xu hội nhập giới, việc sử dụng Hộ chiếu điện tử chuẩn quốc tế cần thiết Chính lý mà em mạnh dạn nghiên cứu triển khai thành luận văn với đề tài: “Nghiên cứu ứng dụng chữ ký số cho Hộ chiếu điện tử” Mục tiêu nghiên cứu Từ vấn đề nêu trên, luận văn hướng tới mục tiêu sau : - Tìm hiểu tổng quan sở mật mã khóa cơng khai chữ ký số - Tìm hiểu công nghệ, cấu trúc hộ chiếu điện tử, cách thức lưu trữ xử lý thông tin chip điện tử - Nghiên cứu, tìm hiểu ứng dụng chữ ký số cho hộ chiếu điện tử từ tiến hành xây dựng hệ thống thử nghiệm xác thực hộ chiếu điện tử đề xuất thông qua chữ ký số - Thử nghiệm hệ thống đánh giá kết thu Đối tượng phạm vi nghiên cứu Đối tượng phạm vi nghiên cứu luận văn tập trung vào nghiên cứu tìm hiểu ứng dụng lý thuyết hạ tầng mã hóa cơng khai chữ kí số để phục vụ việc kí lên hộ chiếu điện tử (trực tiếp chip hộ chiếu điện tử) xác thực thông tin hộ chiếu điện tử cửa quốc tế Phương pháp nghiên cứu Sử dụng phương pháp nghiên cứu sau: - Phương pháp nghiên cứu lý thuyết: Tổng hợp tài liệu, suy diễn, qui nạp, phương pháp hình thức - Phương pháp thực nghiệm - Phương pháp trao đổi khoa học, lấy ý kiến chuyên gia Ý nghĩa khoa học đề tài Mơ hình đề xuất hộ chiếu điện tử Việt Nam dựa ba đặc trưng sinh trắc: ảnh mặt người, ảnh mống mắt ảnh vân tay Với việc ứng dụng chữ ký số cho hộ chiếu điện tử , mơ hình đề xuất đảm bảo chống nguy đe dọa hộ chiếu điện tử Với hộ chiếu điện tử tay, người sử dụng thấy yên tâm thông tin họ số hóa quản lý chặt chẽ Cũng thủ tục xuất, nhập cảnh xử lý nhanh gọn Việc áp dụng biện pháp bảo mật đáp ứng tốt yêu cầu vấn đề bảo mật hộ chiếu điện tử, chống lại hình thức cơng Đề xuất mà em đưa sử dụng kết hợp RSA+SHA kế thừa tồn kỹ thuật, cơng nghệ bảo mật hộ chiếu truyền thống, đồng thời khai thác sử dụng công nghệ đại để bảo mật cho hộ chiếu điện tử So sánh với yêu cầu bảo mật bắt buộc quy định tài liệu ICAO Doc 9303 cách thức bảo mật nêu đáp ứng đầy đủ quy định Bố cục luận văn Nội dung luận văn chia thành chương chính: - Chương : Tổng quan sở hạ tầng khóa cơng khai chữ ký số - Chương : Hộ chiếu điện tử, cách thức lưu trữ xử lý thông tin chip điện tử - Chương : Xây dựng hệ thống thử nghiệm ứng dụng chữ ký số đề xuất mơ hình hộ chiếu điện tử Việt Nam 52 Với ý nghĩa thành phần sau:  CLA: Instruction Class  INS: Instruction Code (e.g: read memory)  P1: Instruction code qualifier (e.g: memory address) – Thành phần tham số  P2: Additional INS code qualifier – Thành phần tham số  P3: Thân thông điệp, cụ thể bao gồm thành phần: Le, Lc Data in Định dạng thông điệp lệnh dạng chi tiết sau: Có bytes trạng thái gửi sau kết thúc việc gửi liệu yêu cầu từ ICC tới IFD, SW1 SW2 Nếu việc diễn tốt đẹp thông điệp kết trả kèm theo tham số SW1, SW2 = 90hex, 00hex Khi SW1 = 6X 9X có nghĩa có lỗi xảy Chuẩn ISO 7816-3 định nghĩa lỗi sau:  SW1 = 6E: Cho biết HCĐT không hỗ trợ thơng điệp lệnh có CLA gửi  SW1 = 6D: Cho biết mã INS không hợp lệ  SW1 = 6B: Cho biết liên kết không  SW1 = 67: Cho biết độ dài không  SW1 = 6F: No particular diagnosis Bảo mật truy cập liệu Có hai chế cho việc bảo mật điều khiển truy cập liệu HCĐT, Basic Access Control (BAC) [15-17] Extend Access Control (EAC) [20] Luận văn chọn BAC để xây dựng chế truy cập an tồn cho HCĐT Nội dung sau: Đầu tiên q trình trích rút trường thông tin Passport No, Date of birth Date of expire Kết thúc giai đoạn ta thu chuỗi ghép, S = 1220000016D6408125F1110078 Sau tiến hành băm SHA-1 để khóa KSeed phục vụ cho q trình Hình 3.9 : Tạo khóa KSEED 53 Trong sơ đồ hình vẽ có:  Passport No: 1220000016D  Date of birth: 6408125F  Date of expire: 1110078 Tiếp theo bước trên, ghép khóa KSEED với hai tham số C0 = 00 00 00 01 C1 = 00 00 00 02 làm giá trị đầu vào cho hai q trình tạo khóa tương ứng KENC KMAC Cụ thể theo sơ đồ đây: Hình 3.10 – Tạo cặp khóa KENC KMAC Hai khóa KENC KMAC với bytes cao gọi Ka bytes gọi Kb Cặp (Ka, Kb) sử dụng mã hóa giả mã TDES (Triple DES) Cơ chế BAC thực qua bước sau:  Tại IFD B1 Đầu đọc HCĐT gửi lệnh Get Challenge (Yêu cầu gửi RND.ICC) tới HCĐT, khơng gặp lỗi đầu đọc HCĐT nhận RND.ICC từ HCĐT B2 Sinh cặp khóa (RND.IFD  {0,1}64, KIFD  {0,1}128) ngẫu nhiên, sau ghép thành chuỗi S = RND.IFD||RND.ICC||KIFD B3 Tính tốn mã hóa E_IFD = E[KENC] (S) tạo CheckSum M_IFD = MAC[KMAC] (E_IFD) B4 Gửi chuỗi E_IFD||M_IFD tới HCĐT (Mutual Authenticate) B5 Sau trình xử lý tương tự từ HCĐT, đầu đọc nhận chuỗi E_ICC||M_ICC gửi từ HCĐT 54 B6 Kiểm tra CheckSum M_ICC E_ICC, sau giải mã R = De[KENC] (E_ICC) rút KICC RND.ICC từ R B7 Tính KSseed = KIFD  KICC  Tại ICC B1 Sau nhận thông điệp lệnh Get Challenge từ đầu đọc HCĐT, tạo khóa ngẫu nhiên RND.ICC  {0,1}64 gửi lại cho đầu đọc HCĐT B2 Sau nhận thông điệp lệnh Mutual Authenticate từ đầu đọc, kiểm tra CheckSum M_IFD = MAC[KMAC] (E_IFD) B3 Giải mã S = De[KENC] (E_IFD) rút KIFD RND.IFD từ S B4 Tạo khóa ngẫu nhiên KICC  {0,1}128 B5 Tạo chuỗi R = RND.ICC||RND.IFD||KICC B6 Tính toán mã E_ICC = E[K_ENC] (R ) tạo Checksum M_ICC = MAC[KMAC] (E_ICC), sau gửi chuỗi E_ICC||M_ICC cho Reader B7 Tính KSseed = KIFD  KICC Sau trình khóa KSseed chung thiết lập cho hai bên (IFD ICC), sau bên gửi gửi thông điệp lệnh bên nhận xử lý thông điệp lệnh nhận tự động tăng giá trị KSseed lên đơn vị Điều chống cơng khóa chung KSseed thống kê 3.2.1 Đặc tả yêu cầu cho module tạo HCĐT Module tạo HCĐT cần có chức sau đây:  Ghi liệu lên HCĐT không tiếp xúc (Bảo vệ mật khẩu)  Tạo chữ ký số trường liệu cần ghi  Tạo MRZcode  Cài đặt chứng thư số khóa riêng hệ thống mình, phục vụ việc tạo HCĐT Theo phần trên, liệu HCĐT tổ chức theo Data group theo định dạng định Vì thơng tin cá nhân người dùng trước ghi lên HCĐT cần tổ chức thành nhóm liệu (data group) với định dạng qui định Tạo chữ ký số lên liệu HCĐT Chữ ký số thông tin kèm theo liệu chứa HCĐT (thông tin cá nhân thông thường, liệu ảnh sinh trắc nhận dạng…) nhằm mục đích xác định người chủ liệu Để sử dụng chữ ký số liệu cần phải mã hóa hàm băm (dữ liệu “băm” thành chuỗi, thường có độ dài cố định ngắn văn đầu vào) sau dùng khóa bí mật Document Signer để mã hóa, ta chữ ký số 55 Thơng thường giải thuật băm sử dụng hệ thống SHA-1, giải thuật tạo chữ ký số RSA Ghi liệu lên HCĐT Các Datagroup cần tạo cho HCĐT bao gồm:  DG1 (Datagroup 1): Chứa thông tin cá nhân chủ HCĐT như: Họ Tên, năm sinh, nơi sinh, quốc tịch…  DG2 (Datagroup 2): Chứa mã hóa liệu sinh trắc học khn mặt chủ nhân HCĐT  DG3 (Datagroup 3): Chứa mã hóa liệu sinh trắc học dấu vân tay  Cặp khóa KENC KMAC  DG_SOD (DG Security Oject Data) chứa giá trị bảng băm Datagroup trên, chữ ký số kèm Tạo MRZcode Mã MRZ (Machine Readable Zone) [15-17] ghép từ hai phần dài 44 kí tự: MRZCode A MRZCode B Phần MRZCode A tạo thành từ trường thông tin: Document type, Issuing State or organization Name of holder Cụ thể:  Document type: Mặc định có giá trị P<  Issuing State or organization: Mã kí tự nước phát hành  Name of holder: Thay kí tự (“_” “,”) phân cách tên họ chuỗi “