TIểu luận môn CHỨNG THỰC SỐ TÌM HIỂU CÔNG NGHỆ PKCS 15

LỜI NÓI ĐẦU PKCS 15 là một bước đầu tiên để đảm bảo rằng các chủ thẻ (tokenholder) sẽ có thể sử dụng các thẻ mật mã của họ để tự nhận diện điện tử đến bất kỳ ứng dụng nào bất kể giao diện thẻ ứng dụng. Mục tiêu cuối cùng nhằm cho phép người giữ thẻ có thể sử dụng bất kỳ thẻ nào từ nhà sản xuất bất kỳ để xác định chính mình cho bất kỳ ứng dụng đang chạy trên nền tảng nào .Mặc dù đã cố gắng nhưng do giới hạn về thời gian , nhóm chúng em xin đưa ra các đặc điểm chung về chuẩn PKCS 15 v1.1 cũng như cách tổ chức định dạng file trên các token PKCS 15 .Tài liệu này chủ yếu được tham khảo từ tập tin pkcs15v1_1.doc của RSA Laboratories .Nội dung cú pháp ANS.1 của các tập tin thư mục trên token không được trình bày và chúng ta có thể tham khảo trong tập tin pkcs15v1_1.doc trên trang chủ của RSA

LỜI NÓI ĐẦU

PKCS #15 là một bước đầu tiên để đảm bảo rằng các chủ thẻ (token-holder) sẽ

có thể sử dụng các thẻ mật mã của họ để tự nhận diện điện tử đến bất kỳ ứng dụngnào bất kể giao diện thẻ ứng dụng Mục tiêu cuối cùng nhằm cho phép người giữ thẻ

có thể sử dụng bất kỳ thẻ nào từ nhà sản xuất bất kỳ để xác định chính mình cho bất

kỳ ứng dụng đang chạy trên nền tảng nào Mặc dù đã cố gắng nhưng do giới hạn vềthời gian , nhóm chúng em xin đưa ra các đặc điểm chung về chuẩn PKCS #15 v1.1cũng như cách tổ chức định dạng file trên các token PKCS #15 Tài liệu này chủ yếuđược tham khảo từ tập tin pkcs#15v1_1.doc của RSA Laboratories Nội dung cúpháp ANS.1 của các tập tin thư mục trên token không được trình bày và chúng ta cóthể tham khảo trong tập tin pkcs#15v1_1.doc trên trang chủ của RSA

Phạm Minh Hùng 07520163Nguyễn Mậu Lĩnh 07520479

1.Giới thiệu

1.1 Bối cảnh

Thẻ mật mã (Cryptograpic token) , chẳng hạn như thẻ vi mạch ( Smart Card hoặc ICcard ) thực chất là các nền tảng tính toán an toàn lý tưởng để cung cấp mức độ anninh và chức năng bảo mật cho các ứng dụng Chúng có thể xử lý thông tin xác thựcnhư chứng thư số ,quyền hạn và các khóa mật mã Hơn nữa, chúng cung cấp khảnăng lưu trữ an toàn và các cơ sở tính toán cho các thông tin nhạy cảm như:

 private key và key fragments ;

 số tài khoản và giá trị lưu trữ ;

 mật khẩu và mã bí mật chia sẻ ;

 Quyền hạn và quyền cá nhân

Đồng thời, nhiều token này cung cấp một khả năng xử lý tách biệt sử dụng thông tinnày mà không cần thể hiện nó trong môi trường máy chủ nơi chứa đựng nguy cơtiềm tàng từ các mã nguy hiểm ( virus,Trojan, vv ) Điều này trở nên cực kỳ quantrọng cho các hoạt động nhất định như:

 khởi tạo chữ ký số, sử dụng private key , để nhận dạng cá nhân;

 mạng xác thực dựa trên những mã bí mật chia sẻ;

 duy trì giá trị đại diện điện tử ;

 khả năng portable nhằm sử dụng trong các tình huống off- line

Không may, việc sử dụng các token này cho các mục đích xác thực và ủy quyền đã bịcản trở bởi thiếu khả năng tương tác ở nhiều cấp độ Trước tiên, ngành công nghiệpthiếu các tiêu chuẩn để lưu trữ một định dạng phổ biến của các thông tin số (digitalcredential : khóa , chứng thư ) trên chúng Điều này gây ra khó khăn khi tạo ra cácứng dụng mà có thể làm việc với các thông tin từ nhiều nhà cung cấp công nghệ Nỗlực để giải quyết vấn đề này trong miền ứng dụng luôn làm tăng chi phí cho cả haiphía phát triển và duy trì Chúng cũng tạo ra một vấn đề đáng kể cho người sử dụngđầu cuối vì thông tin được gắn với một ứng dụng cụ thể chạy chống lại một giao diệnlập trình ứng dụng cụ thể cho một cấu hình phần cứng cụ thể

Thứ hai, các cơ chế cho phép nhiều ứng dụng chia sẻ có hiệu quả thông tin số mật mã

Web, ví dụ - phòng hạn chế nhiều thẻ cùng với sự mong đợi chấp nhận phổ biến củangười tiêu dùng sẽ buộc chia sẻ thông tin trên các nhà cung cấp Nếu không có cáctiêu chuẩn thỏa thuận để chia sẻ thông tin , chấp nhận và sử dụng ở hai phía nhà pháttriển ứng dụng và người tiêu dùng sẽ bị giới hạn.

Để tối ưu hóa lợi ích cho ngành công nghiệp lẫn người dùng , điều quan trọng là giảipháp cho những vấn đề này được phát triển theo cách có hỗ trợ nhiều môi trườnghoạt động, giao diện lập trình ứng dụng, và một cơ sở rộng lớn các ứng dụng Chỉthông qua cách tiếp cận này , nhu cầu của các bên có thể được hỗ trợ và việc pháttriển các ứng dụng được khuyến khích, như là một giải pháp hiệu quả để đáp ứng cácyêu cầu trong một tập hợp rất đa dạng của thị trường

Do đó mục tiêu của tài liệu này nhằm :

 cho phép khả năng tương tác giữa các thành phần chạy trên các nền tảng khácnhau (platform neutral);

 cho phép các ứng dụng tận dụng lợi thế của các sản phẩm và các thành phần

từ nhiều nhà sản xuất (vendor neutral );

 cho phép sử dụng các tiến bộ trong công nghệ mà không cần cần viết lại phầnmềm mức ứng dụng ( aplication neutral );

 duy trì nhất quán với hiện tại, các tiêu chuẩn liên quan đồng thời mở rộngchúng chỉ khi cần thiết và thiết thực

Như một ví dụ thực tế, người giữ một thẻ IC chứa một chứng thư số sẽ có thể xuấttrình thẻ cho bất kỳ ứng dụng đang chạy trên bất kỳ host nào và sử dụng thành côngthẻ để trình diện chứng thư được chứa đến ứng dụng

Bước đầu tiên để đạt được những mục tiêu này, tài liệu này chỉ định một định dạngtập tin và thư mục để lưu trữ thông tin liên quan đến an ninh trên thẻ mật mã Nó cócác đặc điểm sau:

 cấu trúc động cho phép triển khai trên nhiều phương tiện truyền thông ;

 cho phép nhiều ứng dụng cư trú trên thẻ ( nhiều ứng dụng EID );

 hỗ trợ lưu trữ bất kỳ loại đối tượng ( khóa , chứng thư và dữ liệu );

 hỗ trợ nhiều mã PIN bất cứ khi nào token hỗ trợ

Nói chung, một nỗ lực đã được thực hiện để đủ mềm dẻo cho phép nhiều loại tokenkhác nhau, trong khi vẫn bảo toàn các yêu cầu về tính tương hợp Một yếu tố quan

cấp một lớp gián tiếp giữa các đối tượng trên thẻ và định dạng thực tế của các đốitượng này.

1.2 Mô hình truy cập thông tin

Thông tin trên token PKCS #15 có thể được đọc khi một token chứa đựng thông tinnày, và được sử dụng bởi một thông dịch viên PKCS #15 là một phần của môi trườngphần mềm, ví dụ trong hình dưới đây :

Terminal-Card independent Application Driver

PKCS#15 Interpreter

Application

Interface

PKCS#11- Tập tin thư mục chứng thư (certificate directory file) : Tập tin tùy chọn cơ bảnchứng thông tin về chứng thư được biết đến ứng dụng PKCS#15

 Tập tin thư mục đối tượng dữ liệu (data object directory file) : Tập tin tùychọn cơ bản chứa thông tin về các đối tượng dữ liệu được biết đến ứng dụngPKCS#15

 Tập tin chuyên dụng (dedicated file ) : tập tin chứa thông tin điều khiển tập tin,tùy chọn, bộ nhớ có sẵn để cấp phát , và đó có thể là cha của các tập tin cơ bản và cáctập tin chuyên dụng khác

 Tập tin thư mục ( directory (DIR) file ) : Tập tin tùy chọn cơ bản chứa danhsách các ứng dụng được hỗ trợ bởi thẻ và các thành phần dữ liệu tùy chọn liên quan

 Tập tin cơ bản (elementary file ) : Tập các đơn vị dữ liệu hoặc các bảng ghi chia

sẻ chung một bộ định dang tập tin và không thể là cha của một tập tin khác

 Bộ định dang tập tin (file identifier ) : Giá trị nhị phân 2 bytes để định địa chỉmột tập tin trên smart card

 Tập tin chính (master file ) : Tập tin chuyên dụng duy nhất bắt buộc đại diệncho gốc cấu trúc

 Tập tin thư mục đối tượng (object directory file) : Tập tin cơ bản chứa cácthông tin về các tập tin thư mục khác trên ứng dụng PKCS#15

 Số nhận dạng cá nhân (Personal identification number ): 4 đến 8 số được nhậnvào bởi chủ thẻ để kiếm tra mà chủ thẻ được quyền hạn sử dụng thẻ Còn được gọi là

 Token : Thiết bị có khả năng di động lưu trữ dữ liệu liên tục

3 Ký hiệu , thuật ngữ viết tắt

3.1 Ký hiệu

DF(x) Dedicated file x EF(x) Elementary file x

3.2 Thuật ngữ viết tắt

AID application provider identifierAODF authentication object directory fileAPDU application protocol data unitBCD binary-coded decimal

CDF certificate directory file

DF dedicated FileDODF data object directory file

EF elementary fileIFD interface device (e.g reader)

MF master fileODF object directory filePIN personal identification numberPrKDF private key directory filePuKDF public key directory fileRID registered application provider identifierSKDF secret key directory file

URL uniform resource locator

Chú ý : Các thể hiện của lớp đối tượng trừu tượng không tồn tại trên thẻ

Hình 2 – Phân cấp đối tượng PKCS #15

4.1.2 Các loại thuộc tính

Tất cả các đối tượng có một số thuộc tính Đối tượng " kế thừa " các loại thuộc tính

từ các lớp cha của nó ( đặc biệt, mỗi đối tượng thừa kế thuộc tính từ đối tượng

“common” hoặc top PKCS #15 ) Xem trong phần 6 của tập tin pkcs-15v1_1.doc

4.1.3 Các phương thức truy cập

Đối tượng có thể là cá nhân , có nghĩa là chúng được bảo vệ chống lại các truy cậptrái phép, hoặc công cộng Trong trường hợp thẻ IC, truy cập ( đọc, viết, v.v ) đếncác đối tượng cá nhân được xác định bằng đối tượng xác thực ( bao gồm các thủ tụcxác thực ) Điều kiện truy cập ( từ quan điểm của chủ thẻ ) là đạt được với thông tinngười dùng tri thức hoặc sinh trắc Trong trường hợp khác, chẳng hạn như khi PKCS

#15 được thực hiện trong phần mềm, các đối tượng cá nhân có thể được bảo vệchống lại các truy cập trái phép bằng mật mã Các đối tượng công khai không đượcbảo vệ từ truy cập đọc Cho dù chúng được bảo vệ chống lại các sửa đổi hay khôngphụ thuộc vào việc thực hiện cụ thể

X.509 Certificate (structural)

Other Certificates (structural)

External data objects (structural)

PIN Object (structural)

Biometric Template (structural)

Key Object

(abstract)

Certificate Object (abstract)

Data Object (abstract)

tication Object (abstract)

Authen-PKCS#15 Top Object (abstract) (abstract)

Nói chung, một định dạng tập tin thẻ IC quy định các trừu tượng nhất định ,các phần tử mức cao hơn như khóa và chứng thư được thể hiện dưới dạng các phần

tử cấp thấp hơn như các tập tin thẻ IC và cấu trúc thư mục Định dạng cũng có thể đềnghị như thế nào và dưới hoàn cảnh nào mà các đối tượng mức cao hơn này có thểđược truy cập bằng các nguồn bên ngoài và như thế nào để các nguyên tắc truy cậpnày được thực hiện trong các đại diện bên dưới ( tức là hệ điều hành của thẻ )

5.2 Các yêu cầu của thẻ IC

Phần này của tài liệu này yêu cầu thẻ có hỗ trợ cần thiết tiêu chuẩn ISO / IEC

7816-4, ISO / IEC 7816-5 và ISO / IEC 7816-6 ( kiểm soát có thứ bậc hợp lý hệ thống tậptin, trực tiếp hoặc gián tiếp lựa chọn ứng dụng , cơ chế điều khiển truy cập và thaotác đọc ) Mở rộng các tính năng, đặc biệt là nâng cao chức năng quản lý PIN vàhoạt động an ninh mức cao hơn có thể yêu cầu hỗ trợ tiêu chuẩn ISO / IEC 7816-8 và/ hoặc ISO / IEC 7816-9 ( hoặc bộ phận của chúng )

5.3 Cấu trúc tập tin thẻ

Một thẻ thông thường hỗ trợ đặc tả kỹ thuật này sẽ có cách bố trí như sau :

Other DFs/EFs

Chú ý – Cho mục đích tài liệu này , EF(DIR) chỉ cần thiết trên các thẻ IC mà không hỗ trợ lựa chọn ứng dụng trực tiếp được định nghĩa trong ISO/IEC 7816-5 hoặc khi nhiều ứng dụng PKCS #15 tồn tại trên một thẻ đơn

Hình 3 : Sơ đồ thẻ PKCS#15 điển hình

MF

DF(PKCS #15) EF(DIR)

Cấu trúc tập tin chung được thể hiện ở trên Nội dung của thư mục ứng dụng PKCS

#15 là phần phụ thuộc vào loại thẻ IC và mục đích sử dụng , nhưng cấu trúc tập tinsau đây được cho là phổ biến nhất :

Hình 2 – Nội dung của DF(PKCS15) (Ví dụ ).

Những kiến trúc khác có thể tham khảo trong phần Annex D của tập tin 15v1_1.doc

pkcs-5.4 Nội dung thư mục ứng dụng PKCS#15

5.4.1 EF(ODF)

Object Directory File là một tập tin cơ bản bắt buộc , nó chứa các con trỏ đến cácEF(PrKDFs, PuKDFs, SKDFs, CDFs, DODFs and AODFs) , mỗi một EF chứa mộtthư mục trên các đối tượng PKCS#15 của một lớp cụ thể

Hình 5 : EF(ODF) trỏ đến các EFs khác Mũi tên đứt

đoạn chỉ tham chiếu chéo.

DF(PKCS #15)

EF(PrKDF)

EF(AODF) EF(CDF)

EF(DODF)

EF(ODF)

PuKDF pointer PrKDF pointer CDF pointer AODF pointer DODF pointer

EF(PuKDF)

5.4.2 Private Key Directory Files (PrKDFs)

Những tập tin cơ bản này có thể được coi là thư mục của các private key được biếtđến ứng dụng PKCS #15 Chúng là tùy chọn, nhưng ít nhất một PrKDF phải có mặttrên một thẻ IC có chứa các private key ( hoặc tham chiếu đến các private key) đượcbiết đến các ứng dụng PKCS #15 Chúng chứa các thuộc tính khóa chung như nhãn,

dự định sử dụng , bộ định danh , v.v Khi áp dụng, chúng cũng chứa các con trỏtham chiếu chéo tới các đối tượng xác thực được sử dụng để bảo vệ quyền truy cậpđến các khóa Các mũi tên ngoài cùng bên phải trong hình 6 cho thấy điều này.Hơn nữa, chúng chứa các con trỏ tới bản thân chính các khóa (the keys themselve )

Có thể có bất kỳ số lượng PrKDFs trong PKCS #15 DF, nhưng người ta dự đoánrằng trong trường hợp bình thường sẽ có nhiều nhất một Bản thân các khóa có thể

cư trú bất cứ nơi nào trên thẻ Nội dung cú pháp ASN.1 của PrKDFs được trình bàytrong phần 6.3 của tập tin pkcs-15v1_1.doc

Hình 3 – EF(PrKDF) chứa các thuộc tính private key và con trỏ tới các keys

5.4.3 Public Key Directory Files (PuKDFs)

Những tập tin cơ bản này có thể được coi là thư mục của các public key được biếtđến ứng dụng PKCS #15 Chúng là tùy chọn, nhưng ít nhất một PuKDF phải có mặttrên một thẻ IC có chứa các public key ( hoặc tham chiếu đến các public key) đượcbiết đến các ứng dụng PKCS #15 Chúng chứa các thuộc tính khóa chung như nhãn,

dự định sử dụng , bộ định danh , v.v Hơn nữa, chúng chứa các con trỏ tới các khóa

Information about

private key #1 Information about

private key #2 Information about

private key #n

Private key #2 Private key #1

nhưng người ta dự đoán rằng trong trường hợp bình thường sẽ có nhiều nhất một.Bảnthân các khóa có thể tồn tại bất kỳ nơi đâu trên thẻ Nội dung của PuKDFs được trìnhbày trong phần 6.4 của tập tin pkcs-15v1_1.doc

Chú ý – Khi một đối tượng chứng thư trên thẻ có chứa khóa công khai, đối tượngkhóa công khai và đối tượng chứng thư sẽ chia sẻ cùng một bộ định danh Điều này cónghĩa rằng trong một số trường hợp ba đối tượng ( một private key , một public key vàmột certificate) sẽ chia sẻ cùng một bộ định danh

Hình 4 – EF(PuKDF) các thuộc tính public key và các con trỏ tới các key

5.4.4 Secret Key Directory Files (SKDFs)

Những tập tin cơ bản này có thể được coi là thư mục của các secret key được biết đếnứng dụng PKCS #15 Chúng là tùy chọn, nhưng ít nhất một SKDK phải có mặt trênmột thẻ IC có chứa các secret key ( hoặc tham chiếu đến các secret key) được biếtđến ứng dụng PKCS #15 Chúng chứa các thuộc tính khóa chung như nhãn, dự định

sử dụng , bộ định danh , v.v Khi được áp dụng , chúng chứa các con trỏ tham chiếuchéo tới các đối tượng xác thực được sử dụng để bảo vệ truy cập đến các key Hơnnữa , chúng chứa các con trỏ tới chính bản thân các khóa Có thể có bất kỳ số lượngSKDFs trong PKCS #15 DF, nhưng người ta dự đoán rằng trong trường hợp bìnhthường sẽ có nhiều nhất một.Bản thân các khóa có thể tồn tại bất kỳ nơi đâu trên thẻ Nội dung cú pháp ASN.1 của SKDFs được trình bày trong phần 6.5 của tập tin pkcs-15v1_1.doc

Hình 5 – EF(SKDF) các thuộc tính secret key và các con trỏ tới các key

5.4.5 Certificate Directory Files (CDFs)

Những tập tin cơ bản này có thể được coi là thư mục của các chứng thư được biếtđến ứng dụng PKCS #15.Chúng là tùy chọn, nhưng ít nhất một CDF phải có mặt trênmột thẻ IC trong đó chứa các chứng thư ( hoặc tham chiếu đến các chứng thư) đượcbiết đến ứng dụng PKCS #15.Chúng chứa các thuộc tính chứng thư chung như nhãn,

bộ định danh v.v Khi một chứng thư chứa một public key có một private key cũngnằm trên thẻ, chứng thư và private key phải chia sẻ cùng một bộ định danh ( điềunày được chỉ ra với một mũi tên đứt đoạn trong Hình 9).Hơn nữa, các tập tin thư mụcchứng thư chứa các con trỏ đến bản thân các chứng thư Có thể có bất kỳ số lượngCDF trong PKCS #15 DF, nhưng người ta dự đoán rằng trong trường hợp bìnhthường sẽ chỉ có một hoặc hai (một cho chứng thư tin cậy và một trong đó các chủthẻ có thể cập nhật ) Bản thân các chứng thư có thể cư trú bất cứ nơi nào trên thẻ (hoặc thậm chí bên ngoài thẻ, xem Phần 8) Nội dung cú pháp ASN.1 của CDF đượctrình bày trong phần 6.6 của tập tin pkcs-15v1_1.doc

Hình 6 – EF(CDF) các thuộc tính chứng thư và các con trỏ đến các chứng thư

Information about secret key #1 Information about secret key #2 Information about secret key #n

Secret key #2 Secrect key #1

Information about certificate #1 Information about certificate #2 Information about

certificate #n

Certificate #2 Certificate #1

5.4.6 Data Object Directory Files (DODFs)

Những tập tin này có thể được coi là thư mục của các đối tượng dữ liệu ( là các khóahoặc chứng thư ) được biết đến các ứng dụng PKCS #15.Chúng là tùy chọn, nhưng ítnhất một DODF phải có mặt trên một thẻ IC có chứa các đối tượng dữ liệu đó ( hoặctham chiếu đến các đối tượng dữ liệu như vậy ) được biết đến ứng dụng PKCS #15.Chúng chứa các thuộc tính đối tượng dữ liệu chung như bộ định danh của ứng dụng

mà các đối tượng dữ liệu thuộc , cho dù đó là một đối tượng riêng hoặc công khai ,v.v Hơn nữa, chúng chứa các con trỏ tới bản thân chính các đối tượng dữ liệu Cóthể có bất kỳ số lượng DODFs trong PKCS #15 DF, nhưng người ta dự đoán rằngtrong trường hợp bình thường sẽ có nhiều nhất một Bản thân các đối tượng dữ liệu

có thể cư trú bất cứ nơi nào trên thẻ Nội dung cú pháp ASN.1 của DODFs được mô

tả trong Phần 6.7 của tập tin pkcs-15v1_1

Hình 7 – EF(DODF) chứa các thuộc tính đối tượng dữ liệu và các con trỏ tới các đối tượng dữ liệu

5.4.7 Authentication Object Directory Files (AODFs)

Những tập tin cơ bản này có thể được coi là thư mục của các đối tượng xác thực ( ví

dụ như mã PIN, mật khẩu, dữ liệu sinh trắc ) được biết đến các ứng dụng PKCS #15.Chúng là tùy chọn , nhưng ít nhất một AODF phải có mặt trên một thẻ IC , trong đóchứa các đối tượng xác thực hạn chế truy cập đến các đối tượng PKCS #15 Chúngchứa các thuộc tính đối tượng xác thực chung như ( trong trường hợp của mã PIN )cho phép các ký tự, độ dài mã PIN, PIN padding character , v.v Hơn nữa , chúngchứa các con trỏ tới bản thân các đối tượng xác thực ( ví dụ như trong trường hợpcủa mã PIN, các con trỏ đến DF trong đó tập tin mã PIN tồn tại ) Các đối tượngxác thực vật được sử dụng để kiểm soát truy cập đến các đối tượng khác như cáckhóa Thông tin về đối tượng xác thực mà bảo vệ key cụ thể được lưu trữ trong thư

Information about data object #1 Information about data object #2 Information about

data object #n

Data object #2 Data object #1