Đang tải... (xem toàn văn)
LỜI NÓI ĐẦU PKCS 15 là một bước đầu tiên để đảm bảo rằng các chủ thẻ (tokenholder) sẽ có thể sử dụng các thẻ mật mã của họ để tự nhận diện điện tử đến bất kỳ ứng dụng nào bất kể giao diện thẻ ứng dụng. Mục tiêu cuối cùng nhằm cho phép người giữ thẻ có thể sử dụng bất kỳ thẻ nào từ nhà sản xuất bất kỳ để xác định chính mình cho bất kỳ ứng dụng đang chạy trên nền tảng nào .Mặc dù đã cố gắng nhưng do giới hạn về thời gian , nhóm chúng em xin đưa ra các đặc điểm chung về chuẩn PKCS 15 v1.1 cũng như cách tổ chức định dạng file trên các token PKCS 15 .Tài liệu này chủ yếu được tham khảo từ tập tin pkcs15v1_1.doc của RSA Laboratories .Nội dung cú pháp ANS.1 của các tập tin thư mục trên token không được trình bày và chúng ta có thể tham khảo trong tập tin pkcs15v1_1.doc trên trang chủ của RSA
TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 1 LỜI NÓI ĐẦU PKCS #15 là một bước đầu tiên để đảm bảo rằng các chủ thẻ (token-holder) sẽ có thể sử dụng các thẻ mật mã của họ để tự nhận diện điện tử đến bất kỳ ứng dụng nào bất kể giao diện thẻ ứng dụng. Mục tiêu cuối cùng nhằm cho phép người giữ thẻ có thể sử dụng bất kỳ thẻ nào từ nhà sản xuất bất kỳ để xác định chính mình cho bất kỳ ứng dụng đang chạy trên nền tảng nào .Mặc dù đã cố gắng nhưng do giới hạn về thời gian , nhóm chúng em xin đưa ra các đặc điểm chung về chuẩn PKCS #15 v1.1 cũng như cách tổ chức định dạng file trên các token PKCS #15 .Tài liệu này chủ yếu được tham khảo từ tập tin pkcs#15v1_1.doc của RSA Laboratories .Nội dung cú pháp ANS.1 của các tập tin thư mục trên token không được trình bày và chúng ta có thể tham khảo trong tập tin pkcs#15v1_1.doc trên trang chủ của RSA . Phạm Minh Hùng 07520163 Nguyễn Mậu Lĩnh 07520479 TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 2 1.Giới thiệu 1.1 Bối cảnh Thẻ mật mã (Cryptograpic token) , chẳng hạn như thẻ vi mạch ( Smart Card hoặc IC card ) thực chất là các nền tảng tính toán an toàn lý tưởng để cung cấp mức độ an ninh và chức năng bảo mật cho các ứng dụng. Chúng có thể xử lý thông tin xác thực như chứng thư số ,quyền hạn và các khóa mật mã. Hơn nữa, chúng cung cấp khả năng lưu trữ an toàn và các cơ sở tính toán cho các thông tin nhạy cảm như: private key và key fragments ; số tài khoản và giá trị lưu trữ ; mật khẩu và mã bí mật chia sẻ ; Quyền hạn và quyền cá nhân . Đồng thời, nhiều token này cung cấp một khả năng xử lý tách biệt sử dụng thông tin này mà không cần thể hiện nó trong môi trường máy chủ nơi chứa đựng nguy cơ tiềm tàng từ các mã nguy hiểm ( virus,Trojan, vv ). Điều này trở nên cực kỳ quan trọng cho các hoạt động nhất định như: khởi tạo chữ ký số, sử dụng private key , để nhận dạng cá nhân; mạng xác thực dựa trên những mã bí mật chia sẻ; duy trì giá trị đại diện điện tử ; khả năng portable nhằm sử dụng trong các tình huống off- line. Không may, việc sử dụng các token này cho các mục đích xác thực và ủy quyền đã bị cản trở bởi thiếu khả năng tương tác ở nhiều cấp độ. Trước tiên, ngành công nghiệp thiếu các tiêu chuẩn để lưu trữ một định dạng phổ biến của các thông tin số (digital credential : khóa , chứng thư ) trên chúng. Điều này gây ra khó khăn khi tạo ra các ứng dụng mà có thể làm việc với các thông tin từ nhiều nhà cung cấp công nghệ. Nỗ lực để giải quyết vấn đề này trong miền ứng dụng luôn làm tăng chi phí cho cả hai phía phát triển và duy trì. Chúng cũng tạo ra một vấn đề đáng kể cho người sử dụng đầu cuối vì thông tin được gắn với một ứng dụng cụ thể chạy chống lại một giao diện lập trình ứng dụng cụ thể cho một cấu hình phần cứng cụ thể . Thứ hai, các cơ chế cho phép nhiều ứng dụng chia sẻ có hiệu quả thông tin số mật mã chưa đạt được hoàn toàn . Trong khi vấn đề này không phải là duy nhất cho thẻ mật mã –đã xuất hiện trong việc sử dụng các chứng thư với các trình duyệt World Wide TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 3 Web, ví dụ - phòng hạn chế nhiều thẻ cùng với sự mong đợi chấp nhận phổ biến của người tiêu dùng sẽ buộc chia sẻ thông tin trên các nhà cung cấp . Nếu không có các tiêu chuẩn thỏa thuận để chia sẻ thông tin , chấp nhận và sử dụng ở hai phía nhà phát triển ứng dụng và người tiêu dùng sẽ bị giới hạn. Để tối ưu hóa lợi ích cho ngành công nghiệp lẫn người dùng , điều quan trọng là giải pháp cho những vấn đề này được phát triển theo cách có hỗ trợ nhiều môi trường hoạt động, giao diện lập trình ứng dụng, và một cơ sở rộng lớn các ứng dụng. Chỉ thông qua cách tiếp cận này , nhu cầu của các bên có thể được hỗ trợ và việc phát triển các ứng dụng được khuyến khích, như là một giải pháp hiệu quả để đáp ứng các yêu cầu trong một tập hợp rất đa dạng của thị trường. Do đó mục tiêu của tài liệu này nhằm : cho phép khả năng tương tác giữa các thành phần chạy trên các nền tảng khác nhau (platform neutral); cho phép các ứng dụng tận dụng lợi thế của các sản phẩm và các thành phần từ nhiều nhà sản xuất (vendor neutral ); cho phép sử dụng các tiến bộ trong công nghệ mà không cần cần viết lại phần mềm mức ứng dụng ( aplication neutral ); duy trì nhất quán với hiện tại, các tiêu chuẩn liên quan đồng thời mở rộng chúng chỉ khi cần thiết và thiết thực . Như một ví dụ thực tế, người giữ một thẻ IC chứa một chứng thư số sẽ có thể xuất trình thẻ cho bất kỳ ứng dụng đang chạy trên bất kỳ host nào và sử dụng thành công thẻ để trình diện chứng thư được chứa đến ứng dụng. Bước đầu tiên để đạt được những mục tiêu này, tài liệu này chỉ định một định dạng tập tin và thư mục để lưu trữ thông tin liên quan đến an ninh trên thẻ mật mã. Nó có các đặc điểm sau: cấu trúc động cho phép triển khai trên nhiều phương tiện truyền thông ; cho phép nhiều ứng dụng cư trú trên thẻ ( nhiều ứng dụng EID ); hỗ trợ lưu trữ bất kỳ loại đối tượng ( khóa , chứng thư và dữ liệu ); hỗ trợ nhiều mã PIN bất cứ khi nào token hỗ trợ . Nói chung, một nỗ lực đã được thực hiện để đủ mềm dẻo cho phép nhiều loại token khác nhau, trong khi vẫn bảo toàn các yêu cầu về tính tương hợp. Một yếu tố quan trọng trong trường hợp của thẻ IC là khái niệm " Directory Files" ( Phần 5.5 ) cung TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 4 cấp một lớp gián tiếp giữa các đối tượng trên thẻ và định dạng thực tế của các đối tượng này. 1.2 Mô hình truy cập thông tin Thông tin trên token PKCS #15 có thể được đọc khi một token chứa đựng thông tin này, và được sử dụng bởi một thông dịch viên PKCS #15 là một phần của môi trường phần mềm, ví dụ trong hình dưới đây : Hình 1 – Nhúng một thông dịch viên PKCS#15 (ví dụ) 2. Thuật ngữ và định nghĩa Ở đây chỉ tóm tắt một số các định nghĩa thường gặp nhất trong tài liệu này ( tham khảo thêm trong tập tin PKCS-15v1_1.doc ) như sau : Bộ định dang ứng dụng (application identifier) : phần tử dữ liệu nhận dạng một ứng dụng trong thẻ . Tập tin thư mục đối tượng xác thực (authentication object directory file) :Tập tin tùy chọn cơ bản chứng thông tin về các đối tượng xác thực được biết đến ứng dụng PKCS#15 . Card Terminal- Interface Card independent Application Driver PKCS#15 Interpreter Application PKCS#11- Interface TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 5 Tập tin thư mục chứng thư (certificate directory file) : Tập tin tùy chọn cơ bản chứng thông tin về chứng thư được biết đến ứng dụng PKCS#15 . Tập tin thư mục đối tượng dữ liệu (data object directory file) : Tập tin tùy chọn cơ bản chứa thông tin về các đối tượng dữ liệu được biết đến ứng dụng PKCS#15 . Tập tin chuyên dụng (dedicated file ) : tập tin chứa thông tin điều khiển tập tin, tùy chọn, bộ nhớ có sẵn để cấp phát , và đó có thể là cha của các tập tin cơ bản và các tập tin chuyên dụng khác. Tập tin thư mục ( directory (DIR) file ) : Tập tin tùy chọn cơ bản chứa danh sách các ứng dụng được hỗ trợ bởi thẻ và các thành phần dữ liệu tùy chọn liên quan . Tập tin cơ bản (elementary file ) : Tập các đơn vị dữ liệu hoặc các bảng ghi chia sẻ chung một bộ định dang tập tin và không thể là cha của một tập tin khác . Bộ định dang tập tin (file identifier ) : Giá trị nhị phân 2 bytes để định địa chỉ một tập tin trên smart card. Tập tin chính (master file ) : Tập tin chuyên dụng duy nhất bắt buộc đại diện cho gốc cấu trúc . Tập tin thư mục đối tượng (object directory file) : Tập tin cơ bản chứa các thông tin về các tập tin thư mục khác trên ứng dụng PKCS#15 . Số nhận dạng cá nhân (Personal identification number ): 4 đến 8 số được nhận vào bởi chủ thẻ để kiếm tra mà chủ thẻ được quyền hạn sử dụng thẻ .Còn được gọi là CHV (CardHolder Verification) . Tập tin thư mục khóa cá nhân ( private key directory file ) :Tập tin tùy chọn cơ bản chứa thông tin về các khóa cá nhân được biết đến ứng dụng PKCS#15 . Tập tin thư mục khóa công khai (public key directory file ) :Tập tin tùy chọn cơ bản chứa thông tin về các khóa công khai được biết đến ứng dụng PKCS#15 . Token : Thiết bị có khả năng di động lưu trữ dữ liệu liên tục . 3. Ký hiệu , thuật ngữ viết tắt 3.1 Ký hiệu DF(x) Dedicated file x EF(x) Elementary file x TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 6 3.2 Thuật ngữ viết tắt AID application provider identifier AODF authentication object directory file APDU application protocol data unit BCD binary-coded decimal CDF certificate directory file DF dedicated File DODF data object directory file EF elementary file IFD interface device (e.g. reader) MF master file ODF object directory file PIN personal identification number PrKDF private key directory file PuKDF public key directory file RID registered application provider identifier SKDF secret key directory file URL uniform resource locator 4. Tổng quan 4.1 Mô hình tổng quan 4.1.1 Các lớp đối tượng Tài liệu này định nghĩa bốn lớp đối tượng chung : Keys (khóa ) , Certificates( chứng thư ), Authentication Objects (Đối tượng xác thực ) và Data Objects (Đối tượng dữ liệu ) .Những lớp đối tượng này có lớp con , ví dụ Private Keys, Secret Keys and Public Keys, mà các thể hiện của chúng trở thành các đối tượng thật sự được lưu trữ trên thẻ .Hình phân cấp đối tượng như sau : TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 7 Chú ý : Các thể hiện của lớp đối tượng trừu tượng không tồn tại trên thẻ Hình 2 – Phân cấp đối tượng PKCS #15 4.1.2 Các loại thuộc tính Tất cả các đối tượng có một số thuộc tính. Đối tượng " kế thừa " các loại thuộc tính từ các lớp cha của nó ( đặc biệt, mỗi đối tượng thừa kế thuộc tính từ đối tượng “common” hoặc top PKCS #15 ). Xem trong phần 6 của tập tin pkcs-15v1_1.doc . 4.1.3 Các phương thức truy cập Đối tượng có thể là cá nhân , có nghĩa là chúng được bảo vệ chống lại các truy cập trái phép, hoặc công cộng. Trong trường hợp thẻ IC, truy cập ( đọc, viết, v.v. ) đến các đối tượng cá nhân được xác định bằng đối tượng xác thực ( bao gồm các thủ tục xác thực ). Điều kiện truy cập ( từ quan điểm của chủ thẻ ) là đạt được với thông tin người dùng tri thức hoặc sinh trắc . Trong trường hợp khác, chẳng hạn như khi PKCS #15 được thực hiện trong phần mềm, các đối tượng cá nhân có thể được bảo vệ chống lại các truy cập trái phép bằng mật mã. Các đối tượng công khai không được bảo vệ từ truy cập đọc. Cho dù chúng được bảo vệ chống lại các sửa đổi hay không phụ thuộc vào việc thực hiện cụ thể. 5. Định dạng tập tin thẻ IC 5.1 Tổng quan Private Key (structural) Secret Key (structural) Public Key (structural) X.509 Certificate (structural) Other Certificates (structural) External data objects (structural) PIN Object (structural) Biometric Template (structural) Key Object (abstract) Certificate Object (abstract) Data Object (abstract) Authen- tication Object (abstract) PKCS#15 Top Object (abstract) (abstract) TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 8 Nói chung, một định dạng tập tin thẻ IC quy định các trừu tượng nhất định , các phần tử mức cao hơn như khóa và chứng thư được thể hiện dưới dạng các phần tử cấp thấp hơn như các tập tin thẻ IC và cấu trúc thư mục. Định dạng cũng có thể đề nghị như thế nào và dưới hoàn cảnh nào mà các đối tượng mức cao hơn này có thể được truy cập bằng các nguồn bên ngoài và như thế nào để các nguyên tắc truy cập này được thực hiện trong các đại diện bên dưới ( tức là hệ điều hành của thẻ ). 5.2 Các yêu cầu của thẻ IC Phần này của tài liệu này yêu cầu thẻ có hỗ trợ cần thiết tiêu chuẩn ISO / IEC 7816- 4, ISO / IEC 7816-5 và ISO / IEC 7816-6 ( kiểm soát có thứ bậc hợp lý hệ thống tập tin, trực tiếp hoặc gián tiếp lựa chọn ứng dụng , cơ chế điều khiển truy cập và thao tác đọc ). Mở rộng các tính năng, đặc biệt là nâng cao chức năng quản lý PIN và hoạt động an ninh mức cao hơn có thể yêu cầu hỗ trợ tiêu chuẩn ISO / IEC 7816-8 và / hoặc ISO / IEC 7816-9 ( hoặc bộ phận của chúng ) . 5.3 Cấu trúc tập tin thẻ Một thẻ thông thường hỗ trợ đặc tả kỹ thuật này sẽ có cách bố trí như sau : Other DFs/EFs Chú ý – Cho mục đích tài liệu này , EF(DIR) chỉ cần thiết trên các thẻ IC mà không hỗ trợ lựa chọn ứng dụng trực tiếp được định nghĩa trong ISO/IEC 7816-5 hoặc khi nhiều ứng dụng PKCS #15 tồn tại trên một thẻ đơn Hình 3 : Sơ đồ thẻ PKCS#15 điển hình MF DF(PKCS #15) EF(DIR) TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 9 Cấu trúc tập tin chung được thể hiện ở trên. Nội dung của thư mục ứng dụng PKCS #15 là phần phụ thuộc vào loại thẻ IC và mục đích sử dụng , nhưng cấu trúc tập tin sau đây được cho là phổ biến nhất : Hình 2 – Nội dung của DF(PKCS15) (Ví dụ ). Những kiến trúc khác có thể tham khảo trong phần Annex D của tập tin pkcs- 15v1_1.doc 5.4 Nội dung thư mục ứng dụng PKCS#15 5.4.1 EF(ODF) Object Directory File là một tập tin cơ bản bắt buộc , nó chứa các con trỏ đến các EF(PrKDFs, PuKDFs, SKDFs, CDFs, DODFs and AODFs) , mỗi một EF chứa một thư mục trên các đối tượng PKCS#15 của một lớp cụ thể . Hình 5 : EF(ODF) trỏ đến các EFs khác .Mũi tên đứt đoạn chỉ tham chiếu chéo. DF(PKCS #15) EF(ODF) EF(PrKDF) EF(CDF) EF(AODF) EF(TokenInfo) EF(PrKDF) EF(AODF) EF(CDF) EF(DODF) EF(ODF) PuKDF pointer PrKDF pointer CDF pointer AODF pointer DODF pointer EF(PuKDF) TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 10 5.4.2 Private Key Directory Files (PrKDFs) Những tập tin cơ bản này có thể được coi là thư mục của các private key được biết đến ứng dụng PKCS #15. Chúng là tùy chọn, nhưng ít nhất một PrKDF phải có mặt trên một thẻ IC có chứa các private key ( hoặc tham chiếu đến các private key) được biết đến các ứng dụng PKCS #15. Chúng chứa các thuộc tính khóa chung như nhãn, dự định sử dụng , bộ định danh , v.v Khi áp dụng, chúng cũng chứa các con trỏ tham chiếu chéo tới các đối tượng xác thực được sử dụng để bảo vệ quyền truy cập đến các khóa . Các mũi tên ngoài cùng bên phải trong hình 6 cho thấy điều này. Hơn nữa, chúng chứa các con trỏ tới bản thân chính các khóa (the keys themselve ) . Có thể có bất kỳ số lượng PrKDFs trong PKCS #15 DF, nhưng người ta dự đoán rằng trong trường hợp bình thường sẽ có nhiều nhất một. Bản thân các khóa có thể cư trú bất cứ nơi nào trên thẻ. Nội dung cú pháp ASN.1 của PrKDFs được trình bày trong phần 6.3 của tập tin pkcs-15v1_1.doc Hình 3 – EF(PrKDF) chứa các thuộc tính private key và con trỏ tới các keys 5.4.3 Public Key Directory Files (PuKDFs) Những tập tin cơ bản này có thể được coi là thư mục của các public key được biết đến ứng dụng PKCS #15. Chúng là tùy chọn, nhưng ít nhất một PuKDF phải có mặt trên một thẻ IC có chứa các public key ( hoặc tham chiếu đến các public key) được biết đến các ứng dụng PKCS #15. Chúng chứa các thuộc tính khóa chung như nhãn, dự định sử dụng , bộ định danh , v.v Hơn nữa, chúng chứa các con trỏ tới các khóa chính chúng (the keys themselve ).Khi mà private key tương ứng với một public key tồn tại trên thẻ , các key phải chia sẽ chung bộ định dang (được chỉ ra với một mũi tên đứt đoạn trong hình 7) . Có thể có bất kỳ số lượng PuKDFs trong PKCS #15 DF, Information about private key #1 Information about private key #2 Information about private key #n Private key #2 Private key #1 . ISO/IEC 7816-5 hoặc khi nhiều ứng dụng PKCS #15 tồn tại trên một thẻ đơn Hình 3 : Sơ đồ thẻ PKCS# 15 điển hình MF DF (PKCS #15) EF(DIR) TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm. Terminal- Interface Card independent Application Driver PKCS# 15 Interpreter Application PKCS# 11- Interface TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 5 Tập tin thư mục chứng thư (certificate directory. Info EF(UnusedSpace) EF(CDF) TÌM HIỂU CÔNG NGHỆ PKCS #15 Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 19 6. Một profile nhận dạng điện tử của PKCS #15 6.1. Phạm vi Phần này mô tả một profile của PKCS #15 phù hợp