Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực MỤC LỤC DANH MỤC HÌNH ẢNH MỞ ĐẦU .3 PHẦN : GIỚI THIỆU TỔNG QUAN .4 PHẦN : CƠ CHẾ PACE TRONG XÁC THỰC .12 PHẦN 3: ỨNG DỤNG CƠ CHẾ PACE 15 KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN .27 TÀI LIỆU THAM KHẢO 28 Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực DANH MỤC HÌNH ẢNH Hình Nhân tố xác thực Hình Xác thực username/password Hình Xác thực CHAP Hình Xác thực Kerberos Hình Xác thực token Hình Xác thực Biometrics Hình Xác thực đa nhân tố Hình Xác thực lẫn Hình Mơ hình xác thực Hộ chiếu sinh trắc Hình 10 Lược đồ PACE Hình 11 Lược đồ TA Hình 12 Lược đồ PA Hình 13 Lược đồ CA Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực MỞ ĐẦU Cùng với phát triển công nghệ thông tin, cơng nghệ mạng máy tính phát triển mạng internet ngày phát triển đa dạng phong phú Các dịch vụ mạng thâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin Internet đa dạng nội dung hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, tính xác tính tin cậy Do vấn đề xác thực đảm bảo xác thực an tồn hiệu ln vấn đề quan Xuất phát từ thực tế chúng tơi “Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực” Đây chế xác thực , giao thức mã hóa an tồn Do thời gian khơng nhiều kiến thức hạn chế nên nội dung nhóm trình bày khơng tránh khỏi thiếu sót Mong đóng góp ý kiến giáo bạn để làm nhóm hồn thiện Chúng xin chân thành cảm ơn hướng dẫn cô giáo trực tiếp hướng cho chúng tôi, giúp chúng tơi hồn thành báo cáo Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực PHẦN : GIỚI THIỆU TỔNG QUAN 1.1 Xác thực Xác thực(Authentication) hành động nhằm thiết lập chứng thực (hoặc người đó) đáng tin cậy, có nghĩa là, lời khai báo người đưa vật thật Xác thực đối tượng cịn có nghĩa cơng nhận nguồn gốc đối tượng, khi, xác thực người thường bao gồm việc thẩm tra nhận dạng họ Việc xác thực thường phụ thuộc vào nhiều nhân tố xác thực để minh chứng cụ thể Trong an ninh máy tính xác thực quy trình nhằm cố gắng xác minh nhận dạng số phần truyền gửi thông tin giao thông liên lạc chẳng hạn yêu cầu đăng nhập Phần gửi cần phải xác thực người dùng sử dụng máy tính, thân máy tính chương trình ứng dụng máy tính Ngược lại tin cậy mù qng hồn tồn khơng thiết lập địi hỏi nhận dạng, song thiết lập quyền địa vị hẹp hịi người dùng chương trình ứng dụng mà thơi Trong mạng lưới tín nhiệm, việc "xác thực" cách để đảm bảo người dùng người mà họ nói họ là, người dùng thi hành chức hệ thống, thực tế, người ủy quyền để làm việc Để phân biệt từ "xác thực" (authentication) với từ gần gũi với nó, "sự ủy quyền" (hay cấp phép) (authorization), hai ký hiệu viết tắt thường dùng để thay - A1 tức xác thực (authentication) A2 tức ủy quyền (authorization) Vấn đề việc ủy quyền thường nhìn nhận vấn đề tương tự vấn đề việc xác thực; Rất nhiều giao thức an ninh, điều lệ bắt buộc, quy chế dựa sở giả định Tuy nhiên, sử dụng xác việc xác thực lại diễn tả quy trình dùng để xác minh nhận dạng người dùng, ủy quyền quy trình nhằm xác minh người dùng biết trước, có quyền lực để thao tác q trình hoạt động hay khơng Sự xác thực phải tiến hành trước ủy quyền Lấy ví dụ, trình diện giấy chứng minh hợp thức với nhân viên thu ngân nhà băng, trước tiên, nhân viên thu ngân Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực chứng thực sau đó, ủy quyền để truy cập thông tin tài khoản nhà băng Đương nhiên, khơng ủy quyền để truy cập tài khoản mà không sở hữu Do việc ủy quyền tiến hành mà khơng có xác thực kèm, thuật ngữ "sự ủy quyền" cịn đơi sử dụng với nghĩa tổ hợp hai, xác thực ủy quyền Một ví dụ quen thuộc ví dụ quản lý truy cập Một hệ thống máy tính đáng nên sử dụng người ủy quyền sử dụng mà thơi phải nỗ lực phát loại trừ người dùng không ủy quyền Việc truy cập máy thường quản lý cách đòi hỏi thủ tục xác thực nhận dạng người dùng tiến hành, với mức độ đáng tin cậy đó, sau ban cho người dùng đặc quyền mà cấp cho danh người dùng Những ví dụ thông thường việc quản lý truy cập mà việc xác thực việc khơng tránh khỏi, gồm có: • • • Rút tiền mặt từ Máy rút tiền tự động (Automated Teller Machine - ATM) Quản lý máy tính từ xa thơng qua Internet Sử dụng hệ thống giao dịch Internet (Online/Internet banking) ngân hàng mạng Tuy vậy, điều cần phải để ý đại phận bàn bạc đề tài lệch lạc thuật ngữ dùng khơng xác cho Một phần lộn xộn âm hưởng 'thi hành luật pháp' hầu hết bàn luận Đồng thời, khơng có máy tính, chương trình ứng dụng máy tính người dùng máy tính “xác thực nhận dạng” người khác Trên bề mặt việc tưởng minh bạch, dễ hiểu, thấy cịn có nhiều vấn đề khúc mắc che giấu bên Chúng ta áp dụng nhiều thử nghiệm để kiểm tra Nếu việc thử nghiệm khơng tìm sai sót đối tượng bị thử nghiệm coi có đủ quyền hạn để tiếp tục tiến hành, quy định Vấn đến chỗ làm để xác định thử nghiệm xứng đáng nhiều quy trình dùng để xác định tính xứng đáng thử nghiệm khơng hoàn hảo Rất nhiều trường hợp trắc nghiệm bị lừa đảo cách thành công, làm cho trắc nghiệm trở nên Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực vô hiệu Bằng thất bại chúng, thân trắc nghiệm cho thấy cách chắn tính bất tương xứng chúng Rất nhiều người tiếp tục coi thử nghiệm, định coi việc thành công vượt qua thử nghiệm, chấp nhận được, đổ lỗi thất bại cho tính “luộm thuộm” tình trạng “kém cỏi” thuộc phần người Nan đề chỗ thử nghiệm đáng phải có hiệu thi hành trường mơi trường lý tưởng, nơi khơng có luộm thuộm khơng bị ảnh hưởng tính cỏi người điều hành Trong trường hợp vậy, thử nghiệm thất bại, khác Hãy xem xét trường hợp phổ biến trường hợp thư điện tử phê chuẩn đòi hỏi phải hồi âm để khởi động trương mục Do việc thư hồi âm dễ dàng bố trí gửi đến từ địa giả địa phát được, phương pháp phương pháp xác minh hồn tồn khơng thể tin tưởng Thành công việc vượt qua thử nghiệm chẳng có ý nghĩa mấy, đương nhiên, tính “luộm thuộm” tình trạng “kém cỏi” chẳng dính dấp tí 1.2 Các chế xác thực Xác thực(authentication) bốn nhân tố bảo mật computer Mặc dù authentication ln có mục tiêu, có nhiều cách tiếp cận khác để hoàn thành Một số nhân tố sử dụng xác thực chẳng hạn: • Password (mật mã) • Key (khóa) • Fingerprints (vân tay) Hình Nhân tố xác thực Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực Một số phương thức xác thực phổ biến nay: 1.2.1 Xác thực dựa User Name Password Sự kết hợp user name password cách xác thực Với kiểu xác thực này, chứng từ ủy nhiệm User đối chiếu với chứng từ lưu trữ database hệ thống , trùng khớp username password, user xác thực không User bị cấm truy cập Phương thức không bảo mật chứng từ xác nhận User gửi xác thực tình trạng plain text, tức khơng mã hóa bị tóm đường truyền Hình Xác thực username/password 1.2.2 Challenge Handshake Authentication Protocol (CHAP) Challenge Handshake Authentication Protocol (CHAP) mơ hình xác thực dựa user name/password Khi user cố gắng log on, server đảm nhiệm vai trò xác thực gửi thông điệp thử thách (challenge message) trở lại máy tính User Lúc máy tính User phản hồi lại user name password mã hóa Server xác thực so sánh phiên xác thực User lưu giữ với phiên mã hóa vừa nhận , trùng khớp, user authenticated Bản thân Password không gửi qua network Phương thức CHAP thường sử dụng User logon vào remote servers cty chẳng hạn RAS server Dữ liệu chứa password mã hóa gọi password băm (hash password) Một gói băm loại mã hóa khơng có phương cách giải mã Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực Hình Xác thực CHAP 1.2.3 Kerberos Kerberos authentication dùng Server trung tâm để kiểm tra việc xác thực user cấp phát thẻ thông hành (service tickets) để User truy cập vào tài nguyên Kerberos phương thức an tồn authentication dùng cấp độ mã hóa mạnh Kerberos dựa độ xác thời gian xác thực Server Client Computer, cần đảm bảo có time server authenticating servers đồng time từ Internet time server Kerberos tảng xác thực nhiều OS Unix, Windows… Hình Xác thực Kerberos Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực 1.2.4 Tokens Tokens phương tiện vật lý thẻ thông minh (smart cards) thẻ đeo nhân viên (ID badges) chứa thông tin xác thực Tokens lưu trữ số nhận dạng cá nhân-personal identification numbers (PINs), thông tin user, passwords Các thơng tin token đọc xử lý thiết bị đặc dụng, ví dụ thẻ smart card đọc đầu đọc smart card gắn Computer, sau thơng tin gửi đến authenticating server Tokens chứa chuỗi text giá trị số thông thương giá trị sử dụng lần Ví dụ Smart Cards Smart cards ví dụ điển hình xác thực tokens- token-based authentication Một smart card thẻ nhựa có gắn chip máy tính lưu trữ loại thông tin điện tử khác Nội dung thông tin card đọc với thiết bị đặc biệt Hình Xác thực token 1.2.5 Biometrics Biometrics (phương pháp nhận dạng sinh trắc học) mơ hình xác thực dựa đặc điểm sinh học cá nhân Quét dấu vân tay (fingerprint scanner), quét võng mạc mắt (retinal scanner), nhận dạng giọng nói(voicerecognition), nhận dạng khn mặt(facerecognition).Vì nhận dạng sinh trắc học tốn chi phí triển khai nên khơng chấp nhận rộng rãi phương thức xác thực khác Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực Hình Xác thực Biometrics 1.2.6 Multi-Factor Authentication Multi-factor authentication, xác thực dựa nhiều nhân tố kết hợp, mơ hình xác thực u cầu kiểm nhân tố xác thực Có thể kết hợp nhân tố ví dụ như: bạn ai, bạn có chứng minh, bạn biết gì? Ví dụ: Multi-Factor Implementation: Cần phải đưa thẽ nhận dạng vào đầu đọc cho biết tiếp password Hình Xác thực đa nhân tố Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực PHẦN 3: ỨNG DỤNG CƠ CHẾ PACE 3.1 Sự tích hợp PACE vào giao thức IKEv2 3.1.1 Định nghĩa PACE giao thức bảo mật thiết lập kênh chứng thực lẫn mã hóa hai bên dựa mật PACE cung cấp khóa phiên mạnh mà không phụ thuộc vào độ mạnh mật PACE thuộc họ giao thức thường gọi giao thức Zero-Knowledge Password Proof (ZKPP), tất dựa vào việc khuếch đại mật yếu vào khóa phiên mạnh Sự tích hợp PACE vào giao thức IKEv2 phương pháp xác thực tương tự giấy chứng nhận thời chế độ xác thực chia sẻ khóa trước(PSK) PACE tích hợp vào IKEv2 có nhiều ưu điểm so với giao thức khác có mục tiêu tương tự PACE thiết kế với mức độ linh hoạt cao thuật toán mã hóa Ví dụ thể thực mô-đun Diffie-Hellman đường cong Elliptic Diffie-Hellman mà không bị giới hạn nhóm tốn học sử dụng, trừ u cầu nhóm mã hóa an tồn Chính thân PACE chứng minh giao thức mã hóa an tồn Giao thức PACE sử dụng tiêu chuẩn quốc tế cho tài liệu du lịch kĩ thuật số 3.1.2 Kí hiệu Các kí hiệu sử dụng tích hợp PACE vào IKEv2: E() D() KA() Map() Pwd SPwd KPwd G GE ENONCE PKEi SKEi Symmetric encryption Symmetric decryption Key agreement Mapping function Shared password Stored password Symmetric key derived from a password Static group generator Ephemeral group generator Encrypted nonce Ephemeral public key of the initiator Ephemeral secret key of the initiator Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực PKEr SKEr AUTH Ephemeral public key of the responder Ephemeral secret key of the responder Authentication payload 3.1.3 Nguyên lý hoạt đông Ở mức độ cao, bước sau thực người khởi tạo người trả lời Chúng tạo hai vòng trao đổi IKE_AUTH, mô tả qua mục đây: Người khởi xướng cách ngẫu nhiên thống chọn nonce s, mã hóa nonce cách sử dụng mật gửi mã ENONCE= E(KPwd, s) Người trả lời phục hồi rõ nonce s với mật chia sẻ Pwd Các nonce s ánh xạ tới khởi tạo nhanh: GE= G^s * SAShareSecret Trong G khởi tạo mô-đun chọn theo cấp số nhân (mod p) nhóm SAShareSecret bí mật chia sẻ tạo bước IKE_SA_INIT Cả người khởi xướng người trả lời tính tốn cặp khóa nhanh (Skei, PKEi= GE^SKEi) (SKEr, PKEr=GE^SKEr) tương ứng dựa phát nhanh GE trao đổi khóa dùng chung Cuối cùng, họ tính tốn chia sẻ bí mật PACEShareSecret= PKEi^SKEr =PKEr^SKEi tạo ra, trao đổi, xác minh xác thực IKE mã hóa thơng báo AUTH sử dụng PACEShareSecret bí mật chia sẻ Chức mã hóa E() phải lựa chọn cẩn thận để tránh công từ điển không muốn kẻ công khôi phục mật Để tránh rủi ro vốn có lưu trữ mật ngắn (thực tể mật thường tái sử dụng lại cho ứng dụng khác nhau), giao thức cho phép đồng đẳng chuyển đổi mật bí mật chia sẻ mã hóa nhanh Những bí mật chia sẻ lưu trữ bên đồng đẳng, thay cho mật ban đầu biển khác Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực 3.2 Cơ chế PACE xác thực hộ chiếu sinh trắc 3.2.1 Hộ chiếu sinh trắc(HCST) gì? Hộ chiếu sinh trắc (biometric passport - HCST), hay gọi hộ chiếu điện tử (ePassport) giấy cước cung cấp thông tin theo thời kỳ (khoảng 10 năm, tuỳ theo nước quy định) công dân, dùng để thay cho hộ chiếu truyền thống Mục tiêu HCST nâng cao an ninh/an tồn q trình cấp phát/kiểm duyệt/xác thực hộ chiếu Với mục tiêu đó, hộ chiếu sinh trắc phát triển dựa chuẩn hộ chiếu thông thường, kết hợp với (i) kỹ thuật đảm bảo an ninh/an tồn thơng tin, (ii) công nghệ định danh dựa tần số radio (Radio Frequency Identification- RFID) (iii) công nghệ xác thực dựa nhân tố sinh trắc học ảnh mặt người, vân tay, mống mắt… Hai yếu tố đầu cho phép nâng cao việc chống đánh cắp thông tin cá nhân, chống làm giả hộ chiếu, ; hai yếu tố sau cho phép nâng cao hiệu q trình xác thực cơng dân mang hộ chiếu sinh trắc HCST nghiên cứu đưa vào triển khai, ứng dụng thực tế số quốc gia phát triển giới như: Mỹ, Châu Âu… Gần phủ Việt Nam phê duyệt đề án quốc gia “Sản xuất phát hành hộ chiếu điện tử Việt Nam” với kỳ vọng năm 2011 xây dựng thử nghiệm HCST Hiện giới, HCST trải qua ba hệ phát triển: từ việc sử dụng ảnh mặt người số hoá lưu chip RFID (thế hệ thứ nhất), kết hợp thêm số nhân tố sinh trắc chế kiểm soát truy cập mở rộng (Extended Access Control – EAC; hệ thứ hai) bổ xung chế thiết lập kết nối có xác thực mật (Password Authenticated Connection Establishment – PACE; hệ thứ 3, cuối năm 2009) Tại Việt Nam, có số dự án nghiên cứu, tìm hiểu liên quan đến mơ hình cấp phát, quản lý, kiểm duyệt HCST Các nghiên cứu bước đầu nghiên cứu chế bảo mật sử dụng HCST, đồng thời đề xuất mô hình HCST sử dụng Việt Nam Tuy nhiên việc nghiên cứu dừng mơ hình phát triển hệ thứ hai Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực 3.2.2 Hộ chiếu sinh trắc hệ thứ ba có ứng dụng PACE Năm 2008, tổ chức Federal Office for Information Security(BSIGermany) đưa tài liệu miêu tả chế bảo mật cho HCST Các tài liệu xem sở để phát triển HCST hệ thứ ba Ngồi CA TA có thay đổi so với mơ hình trước, hệ cịn có thêm chế PACE (Password Authenticated Connection Establishment) Chúng giới thiệu chi tiết mơ hình hệ đây: i PACE dùng để thay BAC, cho phép chip RFID thẩm định đầu đọc có quyền truy cập vào HCST hay không Thẻ đầu đọc sử dụng mật chung (π) kết hợp với giao thức thoả thuận khoá Diffie-Hellman để đưa khoá phiên mạnh Tồn q trình miêu tả: Chip RFID mã hoá số ngẫu nhiên nonce1(s) sử dụng khoá Kπ Với Kπ = SHA-1(π||3) Chip RFID gửi nonce(s) mã hoá tham số tĩnh miền D giao thức thoả thuận khoá Diffie-Hellman (DH) đến cho IS IS sử dụng (π) để khôi phục lại chuỗi mã hoá (s) RFID IS tính tham số miền DH (D’) dựa D s RFID sinh cặp khoá (PACEKPrT, PACEKPuT) gửi cho IS khoá PACEKPuT IS sinh cặp khoá (PACEKPrR, PACEKPuR) gửi đến RFID khố PACEKPuR RFID IS có đủ thơng tin chia sẻ để sinh khoá Kseed RFID IS tính tốn khố phiên KENC KMAC IS tính: TR = MAC(KM, (PACEPuT, D’)) gửi đến cho RFID thẩm định 10 RFID tính: TT = MAC(KM, (PACEPuR, D’)) gửi đến cho IS thẩm định Từ đó, PACE cho phép tạo khố phiên độc lập so với độ dài mật mật sử dụng số lượng ký tự vừa phải (chẳng hạn ký tự) nonce = number used once Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực ii Xác thực đầu đọc TA, đặc tả hệ này, phải thực trước CA phép RFID thẩm định liệu IS có quyền truy cập đến thông tin sinh trắc nhạy cảm hay không Việc xác thực tiến hành với việc sử dụng chứng số sau: IS gửi cho RFID chuỗi chứng gồm chứng DV (CDV), chứng IS (CIS) RFID xác thực chứng sử dụng khố cơng khai CVCA RFID lấy khố cơng khai đầu đọc (RPuK) IS sinh cặp khoá DH ngắn hạn miền D: (RPrKTA, RPuKTA) IS nén khố cơng khai Comp(RPuKTA) gửi khoá liệu bổ trợ thêm ATA đến cho RFID RFID gửi thách đố ngẫu nhiên R đến IS IS sử dụng khố bí mật RPrK kí chuỗi (IDTA||R||Comp(RPuKTA)||ATA) (với IDTA định danh chip RFID) gửi đến RFID RFID thẩm định tính đắn chữ ký chuỗi sử dụng khố cơng khai RPuK tham số biết khác iii Xác thực chip CA thực sau TA CA cần cặp khoá DH ngắn hạn (RPrKTA, RPuKTA) sinh trình TA Các bước thực CA sau: RFID gửi cho IS khố cơng khai (TPuK) IS gửi khố cơng khai ngắn hạn RPuKTA sinh trình TA đến cho RFID RFID tính Comp(RPuKTA) liệu ATA Nó so sánh giá trị Comp với giá trị nhận từ q trình TA RFID IS có đủ thơng tin chia sẻ để tính khố Kseed RFID sinh chuỗi ngẫu nhiên (R) Các khố phiên tính: KMAC = SHA-1(Kseed||R||2) KENC = SHA-1(Kseed ||R||1) RFID tính: TT = MAC (KMAC, (RPuKTA,D)) RFID gửi R TT đến cho IS IS sử dụng R để tính khố phiên từ Kseed Sau thẩm định thẻ xác thực TT Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực 3.2.3 Mơ hình xác thực HCST thử nghiệm ứng dụng chế PACE Dựa mơ hình HCST hệ thứ ba, tiến hành xây dựng mơ hình xác thực HCST tích hợp hai chế PACE EAC Mơ hình bao gồm bước sau: B1: Người mang hộ chiếu xuất trình hộ chiếu cho quan kiểm tra, quan tiến hành thu nhận đặc tính sinh trắc học từ người xuất trình hộ chiếu B2: Kiểm tra đặc tính bảo mật trang hộ chiếu giấy thơng qua đặc điểm an ninh truyền thống biết: thuỷ ấn, dải quang học, lớp bảo vệ ảnh… B3: IS RFID thực trình PACE Sau PACE thành cơng, IS đọc thơng tin chip ngoại trừ DG3, DG4 (ảnh vân tay mống mắt), thông tin trao đổi đầu đọc chip truyền thơng báo bảo mật, mã hố sau xác thực theo cặp khố (K ENC, KMAC) có từ q trình PACE B4: Tiến hành q trình TA để chứng quyền truy cập đầu đọc đến phần liệu DG3, DG4 B5: Thực PA để kiểm tra tính xác thực tồn vẹn thông tin lưu chip thông qua kiểm tra chữ ký SO D khố cơng khai quan cấp hộ chiếu Việc trao đổi khoá thơng qua chứng số theo mơ hình khuyến cáo ICAO B6: Tiến hành CA để chứng minh tính nguyên g ốc chip đồng thời cung cấp khố phiên mạnh cho truyền thơng báo bảo mật B7: IS đối sánh liệu sinh trắc thu nhận trực tiếp từ người xuất trình hộ chiếu với liệu sinh trắc lưu chip Nếu trình đối sánh thành công kết hợp với chứng thực trên, quan kiểm tra hộ chiếu có đủ điều kiện để tin tưởng hộ chiếu xác thực người mang hộ chiếu người mô tả hộ chiếu Nếu quan kiểm tra hộ chiếu khơng triển khai EAC IS khơng có quyền truy cập DG3 DG4 Thông tin sinh trắc học dùng để đối sánh ảnh khuôn mặt Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực Hình Mơ hình xác thực Hộ chiếu sinh trắc Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực 3.2.3.1 Kiểm tra an ninh Cơng dân mang HCST xuất trình hộ chiếu cho hệ thống kiểm duyệt (IS) Trước tiên HCST cần phải trải qua số bước kiểm tra an ninh nghiệp vụ truyền thống điểm xuất/nhập cảnh dùng lớp kim loại bảo vệ để tạo hiệu ứng lồng Faraday nhằm chống khả đọc thông tin chip RFID ý muốn người mang hộ chiếu hay dùng thủy ấn để bảo vệ booklet… 3.2.3.2 PACE PACE thiết lập thông báo bảo mật chip RFID IS, sử dụng mật đơn giản, theo bước lược đồ sau: Chip RFID sinh ngẫu nhiên s, mã hoá s sử dụng Kπ : z = E(Kπ, s) với Kπ=SHA-1(π||3) gửi mã z tham số miền tĩnh D đến cho IS IS khôi phục lại rõ s = D(Kπ, z) sử dụng mật chung π Cả RFID IS thực bước sau: • Tính tham số miền tĩnh D’ dựa D s: D’ = Map(D,s) • Thực giao thức thoả thuận khoá DiffieHellman dựa D’ khoá chia sẻ K=KA(PACEKPrT,PACEKPuR,D’)=KA(PACEKPrR,,PACEKPuT, D’ ) Trong suốt q trình thoả thuận khố DH, bên phải kiểm tra hai khố cơng khai PACEKPuR PACEKPuT khác Từ hai bên tính cá khố phiên KMAC KENC RFID tính thẻ xác thực TT = MAC(KM, (PACEPuR, D’)) gửi đến cho IS thẩm định IS tính thẻ xác thực TR = MAC(KM, (PACEPuT, D’)) gửi đến cho RFID thẩm định Học viện Kỹ thuật Mật Mã – Lớp AT6A Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực Hình 10 Lược đồ PACE 3.2.3.3 Đọc vùng liệu DG1 Sau PACE thành công, hệ thống xác thực HCST tiến hành đọc vùng liệu DG1 chip RFID HCST so sánh với liệu hệ thống đọc từ vùng MRZ Nếu liệu trùng chuyển sang bước 4, khơng chuyển qua bước kiểm tra đặc biệt 3.2.3.4 Xác thực đầu đọc TA cho phép chip RFID thẩm định liệu đầu đọc có quyền truy cập vào vùng liệu nhạy cảm hay không (ảnh vân tay, ảnh mống mắt, …) Các bước TA sau IS gửi chuỗi chứng đến chip gồm CIS CDV RFID kiểm chứng chứng sử dụng PKCVCA trích khố công khai đầu đọc RPuK IS sinh cặp khoá DH ngắn hạn miền D: RPrKTA, RPuKTA Sau gửi Comp(RPuKTA) liệu ATA đến cho RFID RFID gửi thách đố ngẫu nhiên rRFID đến IS IS trả lời chữ ký sIS=Sign(RPuK,IDTA||r||Comp(RPuKTA)||ATA) Chip kiểm tra chữ ký nhận từ IS khoá RPuKTA Verify(RPuKTA, sIS, IDRFID || rRFID || Comp(RPuKTA)||ATA )) Học viện Kỹ thuật Mật Mã – Lớp AT6A Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực Hình 11 Lược đồ TA 3.2.3.5 Xác thực thụ động Q trình PA cho phép kiểm tra tính xác thực tồn vẹn thơng tin lưu chip RFID thông qua việc kiểm tra chữ ký lưu SOD khóa cơng khai quan cấp hộ chiếu Việc trao đổi khóa cơng khai thơng qua chứng số thực theo mơ hình khuyến cáo ICAO Thực thành cơng q trình PA với CA chế EAC khẳng định chắn chip hộ chiếu nguyên gốc 1) Đọc SOD từ chip RFID 2) Lấy chứng DV-Cert từ SOD vừa đọc 3) Kiểm tra DV-Cert từ khóa cơng khai PKCVCA có từ PKD từ sở liệu đượ c trao đổi trực tiếp quốc gia thông qua đường công hàm 4) Kiểm tra chữ ký số SOD.signature sử dụng khóa bí mật KPuDS DV Bước nhằm khẳng định thông tin SOLDS tạo quan cấp hộ chiếu SOLDS không bị thay đổi 5) Đọc thông tin cần thiết từ LDS Học viện Kỹ thuật Mật Mã – Lớp AT6A Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực 6) Tính hàm băm cho thơng tin bước 4, sau so sánh với SOLDS Qua bước khẳng định nhóm liệu xác thực tồn vẹn Hình 12 Lược đồ PA 3.2.3.6 Xác thực chip CA thiết lập thông báo bảo mật chip MRTD IS dựa cặp khoá tĩnh lưu trữ chip CA thay chế AA mà ICAO đưa cung cấp khoá phiên mạnh Các bước tiến hành CA sau: 1) RFID gửi cho IS khố cơng khai (TPuK) 2) IS gửi khố cơng khai ngắn hạn RPuKTA sinh TA đến cho RFID 3) RFID tính Comp(RPuKTA) liệu ATA Nó so sánh giá trị Comp với giá trị nhận từ TA RFID IS có đủ thơng tin chia sẻ để tính khố Kseed 4) 5) 6) 7) RFID sinh chuỗi ngẫu nhiên (R) Các khoá phiên tính: KMAC=SHA-1(Kseed||R||2) KENC = SHA-1(Kseed||R||1) RFID tính: TT = MAC (KMAC, (RPuKTA,D)) RFID gửi R TT đến cho IS IS sử dụng R để tính khố phiên từ Kseed Sau thẩm định thẻ xác thực TT Học viện Kỹ thuật Mật Mã – Lớp AT6A Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực Hình 13 Lược đồ CA 3.2.3.7 Đối sánh đặc trưng sinh trắc Hệ thống kiểm duyệt có quyền truy cập vào vùng liệu DG2, DG3, DG4 tiến hành đọc liệu sinh trắc người sở hữu hộ chiếu (ảnh khuôn mặt, dấu vân tay, mống mắt) lưu chip RFID Cùng lúc đó, thiết bị chuyên dụng, quan kiểm tra tiến hành thu nhận đặc tính sinh trắc học ảnh khuôn mặt, vân tay, mống mắt… từ cơng dân Sau đó, hệ thống thực q trình trích chọn đặc trưng đặc tính sinh trắc, tiến hành đối chiếu đưa kết Nếu ba liệu sinh trắc thu trực tiếp từ người dùng khớp với liệu thu từ chip RFID quan kiểm tra xác thực có đủ điều kiện để tin tưởng hộ chiếu điện tử đắn người mang hộ chiếu hợp lệ Học viện Kỹ thuật Mật Mã – Lớp AT6A Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN A Kết đạt Sau thời gian nghiên cứu tìm hiểu đề tài “Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực” nhóm trình bày nội dung tổng quan xác thực phương thức xác thực, đồng thời đưa nhìn cách khái quát chế PACE số ứng dụng chế này: tích hợp IKEv2 sử dụng xác thực hộ chiếu sinh trắc Tuy nhiên, kiến thức có hạn, đề tài dừng lại mức tìm hiểu, ứng dụng lý thuyết chưa thực ứng dụng vào thực tế B Hướng phát triển Với kiến thức lý thuyết tìm hiểu hướng phát triển đề tài nhóm triển khai ứng dụng chế PACE vào thực tiễn Đó xây dựng mơ hình xác thực hộ chiếu sinh trắc hệ thứ ba có ứng dụng PACE Học viện Kỹ thuật Mật Mã – Lớp AT6A Page Nghiên cứu chế PACE(Password Authentication Connection Establishment) xác thực TÀI LIỆU THAM KHẢO [1] [2] [3] [4] [5] [6] Kuegler & Sheffer, Password Authenticated Connection Establishment with the Internet Key Exchange Protocol version (IKEv2) RFC 6631, IKEv2 with PACE, June 2012 Gildas Avoine, Kassem Kalach, and Jean-Jacques Quisquater ePassport: Securing international contacts with contactless chips In Financial Cryptography 2008, LNCS.SpringerVerlag, 2008 Wikipedia, “Biometric Passport”, http://en.wikipedia.org/wiki/Biometric_passport , truy cập ngày 20/4/2013 “ Năm 2011 bắt đầu phát hành hộ chiếu điện tử”, truy cập 24/4/2013, tham khảo http://vneconomy.vn/20101124070255463P0C16/n am-2011bat-dau-phat-hanh-ho-chieu-dien-tu.htm BSI, Advanced Security Mechanism for Machine Readable Travel Documents Technical Report(BSI-TR03110) Version 2.01, Version 2.02, Versions 2.1 “Các phương thức xác thực -Authentication Methods”, truy cập ngày 20/4/2013 tham khảo http://vnquan.wordpress.com/2011/01/16/cac-ph %C6%B0%C6%A1ng-th%E1%BB%A9c-xac-th%E1%BB%B1cauthentication-methods/ Học viện Kỹ thuật Mật Mã – Lớp AT6A Page ... Hình Xác thực lẫn Page Nghiên cứu chế PACE( Password Authentication Connection Establishment) xác thực PHẦN : CƠ CHẾ PACE TRONG XÁC THỰC 2.1 PAP(Password Authentication Protocol) Password Authentication. .. Page Nghiên cứu chế PACE( Password Authentication Connection Establishment) xác thực Hình Mơ hình xác thực Hộ chiếu sinh trắc Page Nghiên cứu chế PACE( Password Authentication Connection Establishment). . .Nghiên cứu chế PACE( Password Authentication Connection Establishment) xác thực DANH MỤC HÌNH ẢNH Hình Nhân tố xác thực Hình Xác thực username/password Hình Xác thực CHAP Hình Xác thực Kerberos