i ĐẠI HỌC THÁI NGUYÊN ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG Nghiên cứu ứng dụng chữ ký số cho Hộ chiếu điện tử Trần Thị Hà 2015 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Nghiên cứu ứng dụng chữ ký số cho Hộ chiếu điện tử” sản phẩm riêng cá nhân, không chép lại người khác Trong toàn nội dung luận văn, điều trình bày cá nhân tổng hợp, nghiên cứu từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ trích dẫn rõ ràng Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Thái Nguyên, ngày 20 tháng 08 năm 2015 Học viên thực Trần Thị Hà Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ iii LỜI CẢM ƠN Lời đầu tiên, xin bày tỏ lòng biết ơn đến thầy TS.Hồ Văn Hương – Ban yếu Chính phủ, người tận tình hướng dẫn, bảo giúp đỡ suốt trình nghiên cứu hồn thành luận văn Tơi xin chân thành cảm ơn thầy cô giáo trường Đại học Công nghệ Thông tin Truyền thông - Đại học Thái Nguyên giảng dạy cung cấp cho chúng tơi kiến thức bổ ích thời gian học cao học, giúp tơi có tảng tri thức để phục vụ nghiên cứu khoa học sau Tôi xin cảm ơn Lãnh đạo đồng nghiệp đơn vị tạo điều kiện giúp đỡ tơi suốt q trình nghiên cứu hồn thành luận văn Tơi xin bày tỏ lòng cảm ơn đến gia đình bạn bè, người ln quan tâm, động viên khuyến khích tơi q trình học tập Thái Nguyên, ngày 20 tháng 08 năm 2015 Học viên Trần Thị Hà Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ iv MỤC LỤC LỜI CAM ĐOAN ………………………………………… ……………………………….………….i LỜI CẢM ƠN …………………………………………………… ………………………………… ii MỤC LỤC ……………………………………………………………………… ……………….… iii MỞ ĐẦU .1 Đặt vấn đề……………………………………………………………… ……….…1 Mục tiêu nghiên cứu ……………………………………………………………… Đối tượng phạm vi nghiên cứu………………………………………………… Phương pháp nghiên cứu ………………………………………………………… Ý nghĩa khoa học đề tài……………………………………………………………… Bố cục luận văn……………………………………………………………… CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI VÀ CHỮ KÝ SỐ 1.1 Tổng quan sở hạ tầng mã hóa công khai 1.1.1 Giới thiệu hệ thống mã hóa 1.1.2 Thuật toán mã hóa cổ điển 1.1.3 Thuật tốn mã hóa đại 1.2 Hạ tầng khóa cơng khai PKI 1.2.1 Chức PKI 1.2.2 Các thành phần PKI 1.2.3 Các mơ hình tin cậy PKI 1.3 Hàm băm 12 1.4 Chữ ký số 13 1.4.1 Giới thiệu chữ ký số .13 1.4.2 Quá trình ký số .15 1.4.3 Quá trình kiểm tra, xác thực chữ ký số 16 1.4.4 Thuật toán chữ ký số RSA 18 1.5 Kết luận 19 CHƯƠNG 2: HỘ CHIẾU ĐIỆN TỬ CÁCH THỨC LƯU TRỮ VÀ XỬ LÝ THÔNG TIN TRONG CON CHIP ĐIỆN TỬ .20 2.1 Hộ chiếu điện tử 20 2.1.1 Hộ chiếu điện tử gì? 20 2.1.2 Các thành phần hộ chiếu điện tử 20 2.1.3 Tổ chức liệu logic HCĐT 23 2.1.4 Lưu trữ vật lý 26 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ v 2.2 Các công nghệ Hộ chiếu điện tử .30 2.2.1 Định danh sử dụng tần số vô tuyến RFID .30 2.2.2 Xác thực sinh trắc học 32 2.2.3 Hạ tầng khóa cơng khai PKI HCĐT 33 2.3 Kết luận 38 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG THỬ NGHỆM ỨNG DỤNG CHỮ KÝ SỐ VÀ ĐỀ XUẤT MƠ HÌNH HỘ CHIẾU ĐIỆN TỬ TẠI VIỆT NAM 38 3.1 Các giải pháp bảo mật an toàn liệu trình quản lý hộ chiếu .39 3.1.1 Yêu cầu chung 39 3.1.2 Thực trạng môi trường triển khai Hộ chiếu điện tử Việt Nam 42 3.2 Đặc tả yêu cầu cho HCĐT 46 3.2.1 Đặc tả yêu cầu cho module tạo HCĐT 54 3.2.2 Đặc tả yêu cầu cho moduel xác thực HCĐT 55 3.3 Kiến trúc hệ thống .60 3.4 Thử nghiệm hệ thống 60 3.4.1 Thử nghiệm cho HCĐT giả lập .60 3.4.2 Thử nghiệm cho module tạo HCĐT 61 3.4.3 Thử nghiệm cho module xác thực HCĐT .62 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 63 TÀI LIỆU THAM KHẢO 65 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ vi DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN AA Active Authentication - Cơ chế xác thực chủ động BAC CA CRL CSCA Basic Access Control - Phương pháp kiểm soát truy cập Certificate Authority – Cơ quan có thẩm quyền cấp phát chữ kí số Certificate Revocation List – Danh sách chứng bị thu hồi Country signing Certificate Authority – Cơ quan có thẩm quyền cấp phát chữ kí quốc gia CVCA Country Verifying Certification Authority - Cơ quan xác thực chứng thư số quốc gia DES DV EAC ICAO Data Encryption Standard – Thuật tốn mã hóa liệu chuẩn Document Verifier – xác thực tài liệu Advanced Access Control – Phương pháp kiểm soát truy cập nâng cao International Civil Aviation Orgnization – Tổ chức hàng không dân dụng quốc tế IS Insepection System - Hệ thống kiểm duyệt điểm xuất nhập cảnh ISO LDS MRZ International Organization for Standardization – Tổ chức tiêu chuẩn quốc tế Logical Data Structure – Cấu trúc liệu lôgic Machine Readable Zone – Vùng đọc máy hộ chiếu PA Passive Authentication - Cơ chế xác thực bị động PKC PKD Public Key Crytography – Thuật toán mã hóa khóa cơng khai Public Key Directory – Thư mục khóa cơng khai ICAO thiết lập để nước PKI RFIC thành viên truy cập sử dụng Public Key Infrastructure – Cơ sở hạ tầng khóa cơng khai Radio Frequency Integrated Chip – Vi mạch tích hợp có khả trao đổi liệu sóng vơ tuyến (radio) RSA Ron Rivest, Adi Shamir, Len Adleman: Là thuật tốn mã hóa cơng khai SHA EE Secure Hash Standard – Thuật toán băm liệu chuẩn End entity – Thực thể cuối DANH MỤC CÁC HÌNH ẢNH Trang Hình 1.1: Q trình mã hóa giải mã 10 Hình 1.2 : Mơ hình CA đơn 10 Hình 1.3: Mơ hình CA phân cấp 11 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ vii Hình 1.4: Mơ hình mắt lưới 12 Hình 1.5: Mơ hình sử dụng hàm băm bên gửi .13 Hình 1.6: Mơ hình sử dụng hàm băm bên nhận 16 Hình 1.7: Quá trình ký số 17 Hình 2.1: Các thành phần hộ chiếu điện tử 21 Hình 2.2: Biểu tượng hộ chiếu điện tử 22 Hình 2.3: Cấu trúc tổ chức liệu bên hộ chiếu điện tử .24 Hình 2.4: Tổ chức liệu HCĐT theo nhóm .25 Hình 2.5: Tổ chức vật lí thơng tin hộ chiếu điện tử 27 Hình 2.6: Thơng tin định vị nhóm liệu lưu chip 28 Hình 2.7: Thơng tin tồn nhóm liệu chip 28 Hình 2.8: Thơng tin tồn thành phần liệu nhóm 29 Hình 2.9: Thơng tin xác định vị trí thành phần liệu nhóm 29 Hình 2.10: Luồng xử lý cấu trúc hệ thống sinh trắc học 32 Hình 2.11: Mơ hình xây dựng PKI 33 Hình 2.12 : Mơ hình sử dụng xác thực 34 Hình 2.13: Danh mục khóa cơng khai 35 Hình 2.14: Mơ hình phân cấp CA 36 Hình 2.15: Mơ hình phân cấp CA 37 Hình 3.1: Quá trình tạo đối tượng SOD 44 Hình 3.2: Quá trình cấp phát hộ chiếu điện tử 45 Hình 3.3: Quá trình xác thực hộ chiếu 46 Hình 3.4: Cấu trúc liệu tổ chức HCĐT 48 Hình 3.5: Cấu trúc logic DataGroup .50 Hình 3.6: Cấu trúc logic Data Element 50 Hình 3.7: Cấu trúc hệ thống file 51 Hình 3.8: Định dạng thông điệp lệnh truyền HCĐT thiết bị đọc/ ghi 51 Hình 3.9 : Tạo khóa KSEED 52 Hình 3.10: Tạo cặp khóa KENC KMAC 53 Hình 3.11: Kiến trúc hệ thống .60 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ viii Hình 3.12: Màn hình HCĐT giả lập hộ chiếu 60 Hình 3.13: Màn hình tạo HCĐT hộ chiếu 61 Hình 3.14: Màn hình xác thực hộ chiếu điện tử 62 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ MỞ ĐẦU Đặt vấn đề Như biết, hộ chiếu giấy tờ tùy thân giúp xác thực công dân họ di chuyển quốc gia Q trình quản lí thơng thương nhập cư có tính chất phức tạp bao gồm khối lượng khổng lồ nhân lực Mặc dù quốc gia có nỗ lực định việc cải tiến quy trình quản lí nhằm tăng thuận tiện việc nhập cư đồng thời khuyến khích giao thương nước, nhiên, hộ chiếu truyền thống không đáp ứng hết yêu cầu đặt tính tiện lợi loại giấy tờ mang tính tương tác tồn cầu độ an tồn bảo mật thông tin, tránh làm giả phải dễ dàng thuận tiện cho quan kiểm soát xuất nhập cảnh, công dân nước khác nhập cảnh Vì vậy, cơng nghệ mạnh mẽ để hỗ trợ xác thực quản lí hộ chiếu liên tục nghiên cứu tìm tòi, mơ hình hộ chiếu điện tử (HCĐT) đời Hộ chiếu thông thường dễ giả mạo, việc kiểm tra thiếu tính xác nhiều thời gian Từ hạn chế đó, mơ hình hộ chiếu điện tử (HCĐT) đời nhằm nâng cao khả xác thực thân chủ hộ chiếu Ở hộ chiếu điện tử, đặc điểm khác biệt so với hộ chiếu thông thường việc xác thực ký số Với nhiều ưu điểm quản lý, cấp phát kiểm soát, hộ chiếu điện tử triển khai nhiều nước phát triển giới Nhìn chung, việc triển khai sử dụng hộ chiếu điện tử dựa công nghệ RFID (Radio Frequency Identification) với thẻ thông minh phi tiếp xúc; xác thực ký số; hạ tầng khố cơng khai PKI Từ đó, hệ thống thơng tin phục vụ quản lý/cấp/kiểm soát khai thác, phát huy điểm mạnh công nghệ, yếu tố để nâng cao hiệu xác thực công dân mang hộ chiếu Ở Việt Nam, nhu cầu hội nhập quốc tế ngày đòi hỏi nâng cao hiệu việc kiểm sốt xuất/nhập cảnh Vì vậy, việc tìm hiểu mơ hình xác thực hộ chiếu điện tử có giới để từ vận dụng vào thực trạng Việt Nam vấn đề cần có quan tâm nghiên cứu Mơ hình đề xuất phải đảm bảo tính khả dụng, phù hợp với tiêu chuẩn quốc tế, chủ yếu ICAO (International Civil Aviation Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Organization) đề xuất Trong năm gần đây, Việt Nam có đề xuất giải pháp Hộ chiếu điện tử cho công dân, chưa áp dụng thực tế, trước xu hội nhập giới, việc sử dụng Hộ chiếu điện tử chuẩn quốc tế cần thiết Chính lý mà em mạnh dạn nghiên cứu triển khai thành luận văn với đề tài: “Nghiên cứu ứng dụng chữ ký số cho Hộ chiếu điện tử” Mục tiêu nghiên cứu Từ vấn đề nêu trên, luận văn hướng tới mục tiêu sau : - Tìm hiểu tổng quan sở mật mã khóa cơng khai chữ ký số - Tìm hiểu công nghệ, cấu trúc hộ chiếu điện tử, cách thức lưu trữ xử lý thông tin chip điện tử - Nghiên cứu, tìm hiểu ứng dụng chữ ký số cho hộ chiếu điện tử từ tiến hành xây dựng hệ thống thử nghiệm xác thực hộ chiếu điện tử đề xuất thông qua chữ ký số - Thử nghiệm hệ thống đánh giá kết thu Đối tượng phạm vi nghiên cứu Đối tượng phạm vi nghiên cứu luận văn tập trung vào nghiên cứu tìm hiểu ứng dụng lý thuyết hạ tầng mã hóa cơng khai chữ kí số để phục vụ việc kí lên hộ chiếu điện tử (trực tiếp chip hộ chiếu điện tử) xác thực thông tin hộ chiếu điện tử cửa quốc tế Phương pháp nghiên cứu Sử dụng phương pháp nghiên cứu sau: - Phương pháp nghiên cứu lý thuyết: Tổng hợp tài liệu, suy diễn, qui nạp, phương pháp hình thức - Phương pháp thực nghiệm - Phương pháp trao đổi khoa học, lấy ý kiến chuyên gia Ý nghĩa khoa học đề tài Mơ hình đề xuất hộ chiếu điện tử Việt Nam dựa ba đặc trưng sinh trắc: ảnh mặt người, ảnh mống mắt ảnh vân tay Với việc ứng dụng chữ ký số cho hộ chiếu Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 55 Với ý nghĩa thành phần sau:  CLA: Instruction Class  INS: Instruction Code (e.g: read memory)  P1: Instruction code qualifier (e.g: memory address) – Thành phần tham số  P2: Additional INS code qualifier – Thành phần tham số  P3: Thân thông điệp, cụ thể bao gồm thành phần: Le, Lc Data in Định dạng thông điệp lệnh dạng chi tiết sau: Có bytes trạng thái gửi sau kết thúc việc gửi liệu yêu cầu từ ICC tới IFD, SW1 SW2 Nếu việc diễn tốt đẹp thông điệp kết trả kèm theo tham số SW1, SW2 = 90hex, 00hex Khi SW1 = 6X 9X có nghĩa có lỗi xảy Chuẩn ISO 7816-3 định nghĩa lỗi sau:  SW1 = 6E: Cho biết HCĐT không hỗ trợ thơng điệp lệnh có CLA gửi  SW1 = 6D: Cho biết mã INS không hợp lệ  SW1 = 6B: Cho biết liên kết không  SW1 = 67: Cho biết độ dài không  SW1 = 6F: No particular diagnosis Bảo mật truy cập liệu Có hai chế cho việc bảo mật điều khiển truy cập liệu HCĐT, Basic Access Control (BAC) [15-17] Extend Access Control (EAC) [20] Luận văn chọn BAC để xây dựng chế truy cập an tồn cho HCĐT Nội dung sau: Đầu tiên q trình trích rút trường thông tin Passport No, Date of birth Date of expire Kết thúc giai đoạn ta thu chuỗi ghép, S = 1220000016D6408125F1110078 Sau tiến hành băm SHA-1 để khóa KSeed phục vụ cho q trình Hình 3.9 : Tạo khóa KSEED Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 56 Trong sơ đồ hình vẽ có:  Passport No: 1220000016D  Date of birth: 6408125F  Date of expire: 1110078 Tiếp theo bước trên, ghép khóa KSEED với hai tham số C0 = 00 00 00 01 C1 = 00 00 00 02 làm giá trị đầu vào cho hai q trình tạo khóa tương ứng KENC KMAC Cụ thể theo sơ đồ đây: Hình 3.10 – Tạo cặp khóa KENC KMAC Hai khóa KENC KMAC với bytes cao gọi Ka bytes gọi Kb Cặp (Ka, Kb) sử dụng mã hóa giả mã TDES (Triple DES) Cơ chế BAC thực qua bước sau:  Tại IFD B1 Đầu đọc HCĐT gửi lệnh Get Challenge (Yêu cầu gửi RND.ICC) tới HCĐT, khơng gặp lỗi đầu đọc HCĐT nhận RND.ICC từ HCĐT B2 Sinh cặp khóa (RND.IFD  {0,1}64, KIFD  {0,1}128) ngẫu nhiên, sau ghép thành chuỗi S = RND.IFD||RND.ICC||KIFD B3 Tính tốn mã hóa E_IFD = E[KENC] (S) tạo CheckSum M_IFD = MAC[KMAC] (E_IFD) B4 Gửi chuỗi E_IFD||M_IFD tới HCĐT (Mutual Authenticate) B5 Sau trình xử lý tương tự từ HCĐT, đầu đọc nhận chuỗi E_ICC||M_ICC gửi từ HCĐT Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 57 B6 Kiểm tra CheckSum M_ICC E_ICC, sau giải mã R = D e[KENC] (E_ICC) rút KICC RND.ICC từ R B7 Tính KSseed = KIFD  KICC  Tại ICC B1 Sau nhận thông điệp lệnh Get Challenge từ đầu đọc HCĐT, tạo khóa ngẫu nhiên RND.ICC  {0,1}64 gửi lại cho đầu đọc HCĐT B2 Sau nhận thông điệp lệnh Mutual Authenticate từ đầu đọc, kiểm tra CheckSum M_IFD = MAC[KMAC] (E_IFD) B3 Giải mã S = De[KENC] (E_IFD) rút KIFD RND.IFD từ S B4 Tạo khóa ngẫu nhiên KICC  {0,1} 128 B5 Tạo chuỗi R = RND.ICC||RND.IFD||KICC B6 Tính tốn mã E_ICC = E[K_ENC] (R ) tạo Checksum M_ICC = MAC[KMAC] (E_ICC), sau gửi chuỗi E_ICC||M_ICC cho Reader B7 Tính KSseed = KIFD  KICC Sau q trình khóa KS seed chung thiết lập cho hai bên (IFD ICC), sau bên gửi gửi thông điệp lệnh bên nhận xử lý thông điệp lệnh nhận tự động tăng giá trị KS seed lên đơn vị Điều chống cơng khóa chung KSseed thống kê 3.2.1 Đặc tả yêu cầu cho module tạo HCĐT Module tạo HCĐT cần có chức sau đây:  Ghi liệu lên HCĐT không tiếp xúc (Bảo vệ mật khẩu)  Tạo chữ ký số trường liệu cần ghi  Tạo MRZcode  Cài đặt chứng thư số khóa riêng hệ thống mình, phục vụ việc tạo HCĐT Theo phần trên, liệu HCĐT tổ chức theo Data group theo định dạng định Vì thơng tin cá nhân người dùng trước ghi lên HCĐT cần tổ chức thành nhóm liệu (data group) với định dạng qui định Tạo chữ ký số lên liệu HCĐT Chữ ký số thông tin kèm theo liệu chứa HCĐT (thông tin cá nhân thông thường, liệu ảnh sinh trắc nhận dạng…) nhằm mục đích xác định người chủ liệu Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 58 Để sử dụng chữ ký số liệu cần phải mã hóa hàm băm (dữ liệu “băm” thành chuỗi, thường có độ dài cố định ngắn văn đầu vào) sau dùng khóa bí mật Document Signer để mã hóa, ta chữ ký số Thông thường giải thuật băm sử dụng hệ thống SHA-1, giải thuật tạo chữ ký số RSA Ghi liệu lên HCĐT Các Datagroup cần tạo cho HCĐT bao gồm:  DG1 (Datagroup 1): Chứa thông tin cá nhân chủ HCĐT như: Họ Tên, năm sinh, nơi sinh, quốc tịch…  DG2 (Datagroup 2): Chứa mã hóa liệu sinh trắc học khn mặt chủ nhân HCĐT  DG3 (Datagroup 3): Chứa mã hóa liệu sinh trắc học dấu vân tay  Cặp khóa KENC KMAC  DG_SOD (DG Security Oject Data) chứa giá trị bảng băm Datagroup trên, chữ ký số kèm Tạo MRZcode Mã MRZ (Machine Readable Zone) [15-17] ghép từ hai phần dài 44 kí tự: MRZCode A MRZCode B Phần MRZCode A tạo thành từ trường thông tin: Document type, Issuing State or organization Name of holder Cụ thể:  Document type: Mặc định có giá trị P<  Issuing State or organization: Mã kí tự nước phát hành  Name of holder: Thay kí tự (“_” “,”) phân cách tên họ chuỗi “