Tiêu chuẩn này quy định các cơ chế cho việc cung cấp các dịch vụ chống chối bỏ cụ thể liên quan đến việc truyền thông, sử dụng các kỹ thuật mật mã phi đối xứng. Mục đích của một dịch vụ chống chối bỏ là tạo ra, thu thập, duy trì, sẵn sàng cung cấp và xác minh bằng chứng liên quan đến một sự kiện hay hành động đã yêu cầu nhằm giải quyết tranh chấp về sự xuất hiện hay không xuất hiện của sự kiện hay hành động.
TIÊU CHUẨN QUỐC GIA TCVN 11393-3:2016 ISO/IEC 13888-3:2009 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - CHỐNG CHỐI BỎ - PHẦN 3: CÁC CƠ CHẾ SỬ DỤNG KỸ THUẬT PHI ĐỐI XỨNG Information technology - Security techniques - Non-repudiation - Part 3: Mechanisms using asymmetric techniques Lời giới thiệu Mục đích dịch vụ chống chối bỏ tạo ra, thu thập, trì, sẵn sàng cung cấp xác minh chứng liên quan đến kiện hay hành động yêu cầu nhằm giải tranh chấp xuất hay không xuất kiện hay hành động Phần tiêu chuẩn TCVN 11393 (ISO/IEC 13888) đề cập đến dịch vụ chống chối bỏ sau đây: - Chống chối bỏ nguồn gốc; - Chống chối bỏ việc chuyển phát; - Chống chối bỏ việc đệ trình; - Chống chối bỏ việc vận chuyển Các chế chống chối bỏ liên quan đến việc trao đổi thẻ chống chối bỏ đặc trưng cho dịch vụ chống chối bỏ Các chế chống chối bỏ định nghĩa tiêu chuẩn bao gồm chữ ký số liệu bổ sung Các thẻ chống chối bỏ lưu giữ thông tin chống chối bỏ sử dụng tiếp kiện có tranh chấp Thơng tin bổ sung u cầu để hoàn thành thẻ chống chối bỏ Tùy thuộc vào sách chống chối bỏ hành cho ứng dụng cụ thể mơi trường pháp lý, ứng dụng hoạt động, thơng tin bổ sung cần có hai dạng sau: - Thông tin cung cấp tổ chức cấp tem thời gian, tổ chức cung cấp bảo đảm chữ ký thẻ chống chối bỏ tạo trước thời điểm cho - Thông tin cung cấp dịch vụ đánh dấu thời gian, dịch vụ cung cấp bảo đảm chữ ký thẻ chống chối bỏ ghi lại trước thời điểm cho Chống chối bỏ cung cấp ngữ cảnh sách an toàn định nghĩa rõ ứng dụng cụ thể môi trường pháp lý Các sách chống chối bỏ mơ tả ISO/IEC 10181-4 CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - CHỐNG CHỐI BỎ - PHẦN 3: CÁC CƠ CHẾ SỬ DỤNG KỸ THUẬT PHI ĐỐI XỨNG Information technology - Security techniques - Non-repudiation - Part 3: Mechanisms using asymmetric techniques Phạm vi áp dụng Tiêu chuẩn quy định chế cho việc cung cấp dịch vụ chống chối bỏ cụ thể liên quan đến việc truyền thông, sử dụng kỹ thuật mật mã phi đối xứng Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi (nếu có) TCVN 13888-1:2016 (ISO/IEC 13838-1:2010), Cơng nghệ thơng tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 1: Tổng quan (Information technology - Security techniques - Non-repudiation - Part 1: General) TCVN 7818-1 (ISO/IEC 18014-1), Công nghệ thông tin - Kỹ thuật mật mã - Dịch vụ tem thời gian Phần 1: Khung tổng quát Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ, định nghĩa TCVN 11393-1:2016 Ký hiệu chữ viết tắt A Bên phát thông điệp yêu cầu B Bên nhận thông điệp bên nhận thông điệp dự kiến C Định danh phân biệt bên thứ ba tin cậy CA Tổ chức chứng thực (Certification Authority) Di Định danh phân biệt tổ chức chuyển phát thứ i, bên thứ ba tin cậy (i Ỵ {1,2, n}), n số lượng tổ chức chuyển phát hệ thống) fi Phần liệu (cờ) biểu thị kiểu dịch vụ chống chối bỏ (i Ỵ {nguồn gốc, chuyển phát, đệ trình, vận chuyển}) lmp(y) Dấu vết liệu y, bao gồm y mã băm y với định danh hàm băm sử dụng M Thông điệp gửi từ thực thể A tới thực thể B tương ứng với dịch vụ chống chối bỏ cung cấp NR Chống chối bỏ (non-repudiation) NRD Chống chối bỏ chuyển phát (non-repudiation of delivery) NRDT Thẻ chống chối bỏ chuyển phát (non-repudiation of delivery token) NRO Chống chối bỏ nguồn gốc (non-repudiation of origin) NROT Thẻ chống chối bỏ nguồn gốc (non-repudiation of origin token) NRS Chống chối bỏ việc đệ trình (non-repudiation of submission) NRST Thẻ chống chối bỏ việc đệ trình (non-repudiation of submission token) NRT Chống chối bỏ vận chuyển (non-repudiation of transport) NRTT Thẻ chống chối bỏ vận chuyển (non-repudiation of transport token) Pol Định danh phân biệt sách chống chối bỏ (hoặc sách) áp dụng cho chứng Q Dữ liệu tùy chọn chứa thơng tin bổ sung, ví dụ định danh phân biệt củathơng điệp m, chế chữ ký, hàm băm S Phép toán ký thực với thuật toán chữ ký Chữ ký thơng điệp m tính khóa bí mật thực thể X ký hiệu S( X, m) Ti Ngày xảy kiểu thứ i kiện hành động (i số kiện hoặchành động), i Ỵ {1, 2, 3, 4}) Tg Ngày chứng tạo texti Phần liệu tùy chọn, chứa thơng tin bổ sung, ví dụ định danh khóa /hoặc định danh thơng điệp (i Ỵ {1, 2, 3, 4, 5, 6}) TSA Tổ chức cấp tem thời gian (Time-Stamping Authority) TST Thẻ tem thời gian (Time-Stamp Token) TTP Bên thứ ba tin cậy (Trusted Third Party) X, Y Các biến sử dụng để biểu thị tên thực thể y || z Kết việc ghép nối y z theo thứ tự cho Khi ghép nối phần liệu, cần phải mã hóa phù hợp để phần liệu đơn lẻ khôi phục từ chuỗi ghép nối Các yêu cầu Tùy thuộc vào chế dùng để tạo thẻ chống chối bỏ độc lập với dịch vụ chống chối bỏ hỗ trợ chế chống chối bỏ, yêu cầu sau đặt cho thực thể tham gia vào trao đổi chống chối bỏ tiêu chuẩn này: - Các thực thể thực trao đổi chống chối bỏ phải tin cậy bên thứ ba tin cậy (TTP) - Khóa chữ ký thuộc thực thể phải giữ bí mật thực thể - Một hàm Imp chung phải hỗ trợ tất thực thể dịch vụ chống chối bỏ Hàm Imp cần hàm định danh hàm băm chống xung đột định nghĩa ISO/IEC 10118 - Cơ chế chữ ký số sử dụng cần thỏa mãn yêu cầu an toàn quy định sách chống chối bỏ - Trước tạo chứng, bên tạo chứng phải biết chứng cần tạo tương ứng với sách chống chối bỏ nào, kiểu chứng cần tạo chế cần sử dụng để xác minh chứng - Các chế để tạo xác minh chứng phải sẵn sàng cho thực thể thực trao đổi chống chối bỏ cụ thể tổ chức tin cậy phải sẵn sàng để cung cấp chế - Bên tạo chứng bên xác minh chứng cần sử dụng dịch vụ cấp tem thời gian dịch vụ đánh dấu thời gian Sự tham gia bên thứ ba tin cậy Các bên thứ ba tin cậy tham gia vào việc cung cấp dịch vụ chống chối bỏ, vai trị xác họ phụ thuộc vào chế sử dụng sách chống chối bỏ hành Một bên thứ ba tin cậy hoạt động với nhiều vai trị sau: - Một tổ chức chuyển phát (DA) tin cậy để chuyển phát thông điệp tới bên nhận dự kiến để cung cấp thẻ chống chối bỏ việc đệ trình chống chối bỏ chuyển phát - Việc sử dụng kỹ thuật mật mã phi đối xứng yêu cầu tham gia bên thứ ba tin cậy để đảm bảo tính xác thực khóa xác minh cơng khai, mơ tả ví dụ ISO/IEC 9594-8 - Chính sách chống chối bỏ hành yêu cầu chứng tạo phần toàn bên thứ ba tin cậy - Một thẻ tem thời gian phát hành tổ chức cấp tem thời gian (TSA) sử dụng để đảm bảo thẻ chống chối bỏ hợp lệ - Một tổ chức cấp tem thời gian tham gia để cung cấp bảo đảm việc chữ ký thẻchống chối bỏ cho ghi lại trước thời điểm cho - Một tổ chức ghi chứng tham gia để ghi chứng để lấy sau có tranh chấp Bên thứ ba tin cậy liên quan mức độ khác giai đoạn khác việc cung cấp dịch vụ chống chối bỏ Khi trao đổi chứng, bên phải biết đồng ý sách chống chối bỏ áp dụng chứng Chữ ký số Đối với chế quy định tiêu chuẩn này, thẻ chống chối bỏ tạo lập việc sử dụng chữ ký số Kỹ thuật chữ ký số dùng để tạo chữ ký số phải phù hợp với ISO/IEC 9796 ISO/IEC 14888 Khóa công khai cần sử dụng để xác minh chữ ký phải có chứng thư khóa cơng khai Chứng thư phải bao gồm khoảng thời gian biểu thị thời khoảng CA xử lý trạng thái thu hồi chứng thư Chữ ký từ thẻ NR cần phải có tính chất xác minh thời gian hiệu lực chứng thư, dùng để xác nhận khóa kiểm tra cơng khai sử dụng để xác minh chữ ký, thời gian hợp lệ chứng thư hết hạn Để đạt mục đích này, việc sử dụng dịch vụ cấp tem thời gian dịch vụ đánh dấu thời gian điều cần thiết (xem Điều 11) Các chế mô tả Điều 11 phải sử dụng để bảo đảm thẻ chống chối bỏ hiệu lực chứng thư cần sử dụng để xác minh chữ ký thẻ NR hết hạn chứng thư bị thu hồi Sử dụng thẻ chống chối bỏ trường hợp có khơng có tổ chức chuyển phát Việc sử dụng thẻ chống chối bỏ trường hợp tổ chức chuyển phát (DA) không sử dụng thể Hình Các chế tn thủ mơ hình quy định Điều Bên thứ ba tin cậy C bên tạo thẻ NRO NRD, tùy chọn trường hợp cụ thể dịch vụ chống chối bỏ Hình - Sử dụng thẻ chống chối bỏ khơng có tổ chức chuyển phát Hình minh họa việc sử dụng bốn kiểu thẻ chống chối bỏ trường hợp có bên thứ ba - Tổ chức chuyển phát (DA) sử dụng Các chế mơ hình quy định Điều 10 Hình - Sử dụng thẻ chống chối bỏ với tổ chức chuyển phát Bằng chứng tạo thực thể đầu cuối 9.1 Giới thiệu chung Các chế chống chối bỏ quy định Điều cho phép việc tạo chứng cho chống chối bỏ nguồn gốc (NRO) chống chối bỏ chuyển phát (NRD) khơng có tham gia bên thứ ba - Tổ chức chuyển phát (DA) Giả thiết thực thể A muốn gửi thông điệp m tới thực thể B, nguồn gốc chống chối bỏ vận chuyển Thực thể B bên nhận Giả thiết thực thể A biết chứng thư khóa cơng khai khóa riêng liên quan, thực thể Bbiết chứng thư khóa cơng khai khóa riêng liên quan chứng thư khóa cơng khai có sẵn cho tất thực thể có liên quan Nếu bên thứ ba tin cậy C tham gia (tùy chọn), C phải giữ tất thẻ NRO tạo ghi lại việc thẻ NRO có hay khơng sử dụng để tạo thẻ NRD Hai chế chống chối bỏ khác mô tả phần 9.2 Chống chối bỏ nguồn gốc 9.2.1 Thẻ chống chối bỏ nguồn gốc (NRO) Một thẻ NRO sử dụng để cung cấp bảo vệ chống lại việc từ chối sai bên phát phát đithông điệp Thẻ NRO có đặc điểm: - Được tạo nguồn phát A thông điệp m (hoặc tổ chức C), - Được gửi A tới bên nhận B, - Được lưu trữ bên nhận B sau B xác minh thẻ NRO sử dụng chứng thư khóa cơng khai củaA Cấu trúc thẻ NRO sau: NROT = text1 || z1 || S(A, z1), đó: z1 = Pol || forigin || A [|| B] || C || Tg [|| T1] || Q || lmp(m) Chuỗi liệu z1 thẻ NRO bao gồm phần liệu sau: Pol Định danh phân biệt sách (hoặc sách) chống chối bỏ áp dụng cho chứng, forigin Cờ biểu thị chống chối bỏ nguồn gốc, A Định danh phân biệt nguồn phát thơng điệp m, ví dụ địa email, B (Các) định danh phân biệt (các) bên nhận dự kiến thơng điệp m (tùy chọn), ví dụ địa email, C Định danh phân biệt tổ chức tham gia (tùy chọn): Nếu thẻ tạo tổ chức C phần liệu bắt buộc chữ ký S(A z1) thẻ NRO,NROT, cần thay S(C, z1), Tg Ngày giờ, tùy theo bên tạo thẻ, thẻ tạo ra, Ti Ngày giờ, tùy theo nguồn phát, thơng điệp m gửi (tùy chọn), Q Một phần liệu tùy chọn chứa thơng tin bổ sung, ví dụ định danh phân biệt thông điệp m, chế chữ ký / hàm băm thông tin liên quan chứng hiệu lực khóa cơng khai, Imp (m) Dấu vết liệu m, bao gồm m hàm băm m với định danh hàm băm sử dụng 9.2.2 Cơ chế chống chối bỏ nguồn gốc Thẻ chống chối bỏ nguồn gốc (NRO) tạo nguồn phát A thông điệp gửi tới bên nhận thông điệp B Giao dịch - từ thực thể A tới thực thể B a) Nếu bên thứ ba tin cậy C tham gia (tùy chọn), 1) A yêu cầu C tạo thẻ NRO cho thông điệp m 2) C nhận thơng điệp m kiểm tra tính hợp lệ yêu cầu cho thẻ NRO 3) C tạo thẻ NRO quy định Điều 9.2.1 4) C gửi thẻ NRO tới A giữ 5) A nhận thẻ NRO từ C Ngược lại, A hình thành thẻ NRO quy định Điều 9.2.1 b) A gửi thẻ NRO (cùng với thông điệp m) tới B B kiểm tra tính hợp lệ thẻ NRO nội dung cách kiểm tra: - kiểu giá trị phần liệu NROT, - Tính hợp lệ chữ ký NROT Nếu chúng hợp lệ, thẻ NRO lưu chứng cho chống chối bỏ nguồn gốc 9.3 Chống chối bỏ chuyển phát 9.3.1 Thẻ chống chối bỏ chuyển phát (NRD) Một thẻ NRD sử dụng để cung cấp bảo vệ chống lại việc từ chối sai bên nhận việc nhận chấp nhận nội dung thông điệp m Thẻ NRD có đặc điểm: - tạo bên nhận B (hoặc tổ chức C), - gửi B tới nhiều thực thể bao gồm nguồn phát thông điệp A, biết trước, - lưu trữ thực thể sau A xác minh thẻ NRD cách sử dụng chứng thư khóa cơng khai B (hoặc thông qua tổ chức C) Cấu trúc thẻ NRD sau: NRDT = text2 || z2 || S(B, z2) đó: z2 = Pol || fdelivery [|| A] || B [|| C] || Tg [|| T2] || Q || lmp(m) chuỗi liệu z2 thẻ NRD bao gồm phần liệu sau: Pol Định danh phân biệt sách (các sách) chống chối bỏ áp dụng chobằng chứng, fdelivery Cờ biểu thị chống chối bỏ chuyển phát, A Định danh phân biệt thực thể tuyên bố B nguồn phát thơngđiệp m (tùy chọn), ví dụ địa email, B Định danh phân biệt bên nhận thơng điệp m, ví dụ địa email, C Định danh phân biệt tổ chức có liên quan (tùy chọn): Nếu thẻ tạo tổ chức C phần liệu bắt buộc chữ ký S(B, z2) thẻ NRO, NROT, cần thay S (C, z2), Tg Ngày thẻ, tùy theo bên tạo thẻ, thẻ tạo ra, T2 Ngày giờ, tùy theo bên nhận, thơng điệp m nhận (tùy chọn), Q Một phần liệu tùy chọn chứa thơng tin bổ sung, ví dụ định danhphân biệt thông điệp m, chế ký / hàm băm, thông tin liên quan đến chứng thư tính hợp lệ khóa cơng khai, Imp (m) Dấu vết liệu m, bao gồm m hàm băm m với địnhdanh hàm băm sử dụng 9.3.2 Cơ chế chống chối bỏ chuyển phát Thẻ chống chối bỏ chuyển phát (NRDT) tạo bên nhận thông điệp B gửi tới nguồnphát thông điệp A sau B nhận thông điệp m Giao dịch - Từ nguồn phát thông điệp A tới bên nhận thông điệp B A gửi thông điệp m yêu cầu thẻ NRD tới B Giao dịch - Từ thực thể B tới thực thể A a) B nhận thơng điệp m kiểm tra tính hợp lệ yêu cầu thẻ NRD b) Nếu bên thứ ba tin cậy C tham gia vào (tùy chọn), 1) B gửi m m || lmp( NROT) (nếu A gửi NROT với m NROT tạo C) tới Cvà yêu cầu C tạo thẻ NRD cho thông điệp m 2) C nhận m (và, tùy chọn, lmp( NROT)) có, kiểm tra xem thẻ NRO tạo Cchưa thẻ NRD tương ứng với dấu vết thẻ NRO chưa tạo Nếu việc kiểm tra không đạt, C từ chối yêu cầu thẻ NRD 3) C hình thành thẻ NRD quy định Điều 9.3.1 ghi lại việc thẻ NROT sử dụng để tạo thẻ NRD 4) C gửi thẻ NRD tới B 5) B nhận thẻ NRD từ C Ngược lại, B hình thành thẻ NRD quy định 9.3.1 c) B gửi thẻ NRD tới A A kiểm tra thẻ NRD nội dung cách kiểm tra: - kiểu giá trị phần liệu NRDT, - tính hợp lệ chữ ký NRDT Nếu hợp lệ, thẻ NRD lưu lại A chứng thể B nhận thông điệp m 10 Bằng chứng tạo tổ chức chuyển phát 10.1 Tổng quan Điều quy định số chế bổ sung, chứng tạo tổ chức chuyển phát tin cậy phần q trình chống chối bỏ Cơ chế kết hợp chặt chẽ với chế quy định Điều để đáp ứng u cầu định nghĩa sách an tồn Các thuật ngữ việc đệ trình / vận chuyển sử dụng nơi tổ chức chuyển phát DA phát hành thẻ chống chối bỏ (NRS/NRT) sau: - Một thẻ NRS cho phép nguồn phát tổ chức chuyển phát trước nhận chứng việc thơng điệp đệ trình cho việc vận chuyển hệ thống lưu trữ chuyển tiếp - Một thẻ NRT cho phép nguồn phát lấy chứng việc thông điệp chuyển phát tổ chức chuyển phát DA tới bên nhận dự kiến 10.2 Chống chối bỏ việc đệ trình 10.2.1 Thẻ chống chối bỏ việc đệ trình (NRS) Trong chế này, thẻ NRS tạo lập tổ chức chuyển phát DA (Delivery Authority) Bên tạo chứng trường hợp tổ chức chuyển phát DA Khi nguồn phát tổ chức chuyển phát đứng trước X (A Di, i Ỵ {1, 2, …, n -1}) gửi thông điệp m tới tổ chức chuyển phát Y (D1 Di+1, tương ứng) sau tổ chức chuyển phát Y nhận thông điệp m, Y sẽgửi thẻ NRS tới X Điều cung cấp chứng việc thông điệp đệ trình cho chuyển phát tiếp Thẻ NRS có đặc điểm: - tạo tổ chức chuyển phát Y, - gửi Y tới X (nguồn phát thông điệp A tổ chức chuyển phát định trước Di), - lưu trữ X sau X xác minh thẻ NRS sử dụng chứng thư khóa cơng khai Y Cấu trúc thẻ NRS (NRST) gửi từ Di+1 tới Di là: NRST = text3 || z3 || S (Di+1, z3), đó: z3 = Pol || fsubmission [|| A] || B || D1 || D2 || … || Di || Di+1 || Tg || T3 [|| Q] || lmp(m) Tiếp theo tên bên nhận, tên tổ chức chuyển phát liên quan liệt kê theo thứ tự mà thông điệp m chuyển phát Chuỗi liệu z3 thẻ NRS bao gồm phần liệu sau: Pol Định danh phân biệt sách (các sách) chống chối bỏ áp dụng chobằng chứng, fsubmission Cờ biểu thị chống chối bỏ việc đệ trình, A Định danh phân biệt nguồn phát thơng điệp m (tùy chọn), tínhhiệu lực định danh A, ví dụ địa email, không xác minh C, B Định danh phân biệt bên nhận dự kiến thông điệp m, ví dụ địa chỉemail, Di Tổ chức chuyển phát, bên thứ ba tin cậy (i Ỵ {1,2, …, n}, với n số lượng tổ chức chuyển phát hệ thống) Tg Ngày giờ, tùy theo bên tạo thẻ, thẻ tạo ra, T3 Ngày giờ, tùy theo bên tạo thẻ, thơng điệp m đệ trình, Q Một phần liệu tùy chọn chứa thơng tin bổ sung, ví dụ định danhphân biệt thơng điệp m, chế chữ ký / hàm băm, thơng tin liênquan đến chứng thư tính hợp lệ khóa cơng khai, Imp (m) Dấu vết liệu m, bao gồm m hàm băm m với địnhdanh hàm băm sử dụng 10.2.2 Cơ chế chống chối bỏ việc đệ trình Trong giao dịch chế này, thực thể bên gửi X (A Di, i Î {1, 2, , n -1}) gửi thông điệp tới tổ chức chuyển phát Y (D1 Di+1 tương ứng) để chuyển phát tiếp Trong giaodịch thứ 2, thẻ NRD gửi từ tổ chức chuyển phát Y tới thực thể X Chống chối bỏ việc đệ trìnhđược thiết lập giao dịch thứ Giao dịch - Từ thực thể X tới tổ chức chuyển phát Y X gửi thông điệp m yêu cầu thẻ NRS tới Y Giao dịch - Từ tổ chức chuyển phát Y tới thực thể X a) Y hình thành thẻ NRS quy định Điều 10.2.1 b) Y gửi thẻ NRS tới X Thực thể X kiểm tra thẻ NRS nội dung cách kiểm tra: - kiểu giá trị phần liệu NRST - tính hợp lệ chữ ký NRST Nếu hợp lệ, thẻ NRS lưu lại X chứng để chống chối bỏ việc đệ trình (nghĩa thơng điệp đệ trình) 10.3 Chống chối bỏ vận chuyển 10.3.1 Thẻ chống chối bỏ vận chuyển (NRT) Một thẻ NRT sử dụng nguồn phát thông điệp chứng việc thông điệp m gửi tới B tổ chức chuyển phát cuối chuỗi tổ chức chuyển phát Bên tạo chứng trường hợp tổ chức chuyển phát (xem Hình 2) Khi nguồn phát số tổchức chuyển phát định trước X (A Di, i Ỵ {1, 2, …, n -1}) gửi thông điệp m tới tổ chứcchuyển phát Y (D1 Di+1 tương ứng), sau tổ chức chuyển phát cuối Dn nhận thông điệp m, Dn vận chuyển thông điệp m tới bên nhận B đồng thời gửi thẻ NRT tới nguồn phátA thông điệp m Điều cung cấp chứng việc thông điệp m vận chuyển tới Thẻ NRT có đặc điểm: - tạo tổ chức chuyển phát Dn, - gửi Dn tới nguồn phát thông điệp A, - lưu trữ A sau A xác minh thẻ NRT sử dụng chứng thư khóa cơng khai Dn Cấu trúc thẻ NRT (NRTT) gửi từ Dn tới A là: NRTT = text4 || z4 || S (Dn, z4), đó: z4 = Pol || ftransport [|| A] || B || D1 || D2 || … || Dn || Tg || T4 [|| Q] || lmp(m) Tiếp theo tên bên nhận, tên tổ chức chuyển phát liên quan liệt kê theo thứ tự mà thông điệp m chuyển phát Chuỗi liệu z4 thẻ NRT bao gồm phần liệu sau: Pol Định danh phân biệt sách (các sách) chống chối bỏ áp dụng chobằng chứng, ftransport Cờ biểu thị chống chối bỏ vận chuyển, A Định danh phân biệt nguồn phát thông điệp m (tùy chọn), tínhhiệu lực định danh A, ví dụ địa email, khơng xác minh bởiC, B Định danh phân biệt bên nhận dự kiến thơng điệp m, ví dụ địa chỉemail, Di Tổ chức chuyển phát, bên thứ ba tin cậy (i Ỵ {1, 2, …, n}, với n số lượng tổ chức chuyển phát hệ thống) Tg Ngày giờ, tùy theo bên tạo thẻ, thẻ tạo ra, T4 Ngày giờ, tùy theo bên tạo thẻ, thơng điệp m chuyển phát, Q Một phần liệu tùy chọn chứa thơng tin bổ sung, ví dụ định danhphân biệt thông điệp m, chế chữ ký / hàm băm, thông tin liên quan đến chứng thư tính hợp lệ khóa cơng khai, Imp (m) Dấu vết liệu m, bao gồm m hàm băm m với định danh hàm băm sử dụng 10.3.2 Cơ chế chống chối bỏ vận chuyển Trong giao dịch chế này, thực thể bên gửi X (A Di, i Ỵ {1, 2, …, n -1}) gửi mộtthông điệp m tới tổ chức chuyển phát Y (D1 Di+1 tương ứng) để chuyển phát tiếp Trong giao dịch thứ 2, thông điệp m gửi từ Dn tới bên nhận B Trong giao dịch thứ ba, thẻ NRT tạo Dn gửi tới thực thể A, nguồn thông điệp m Chống chối bỏ vận chuyển thiết lập giao dịch thứ ba Giao dịch - Từ thực thể X tới tổ chức chuyển phát Y X gửi thông điệp m tới Y Giao dịch - Từ tổ chức chuyển phát Dn tới thực thể B Dn gửi thông điệp m tới B Giao dịch - Từ tổ chức chuyển phát Dn tới thực thể A a) Dn hình thành thẻ NRT quy định Điều 10.3.1 b) Dn gửi thẻ NRT tới A A kiểm tra thẻ NRT nội dung cách kiểm tra: - kiểu giá trị phần liệu NRTT - tính hợp lệ chữ ký NRTT Nếu hợp lệ, thẻ NRT lưu trữ A chứng cho chống, chối bỏ vận chuyển (nghĩa thông điệp chuyển phát tới bên nhận dự kiến B) 11 Các chế đảm bảo thẻ NR ký trước thời điểm t 11.1 Giới thiệu chung Mỗi thẻ NR ký Vì tổ chức chứng thực không xử lý trạng thái thu hồi chứng thư hết hạn, nên cần thiết phải thể chữ ký thẻ NR thực khoảng thời gian hiệu lực chứng thư sử dụng để xác nhận chữ ký thẻ NR Nếu chứng thư dùng để xác nhận chữ ký thẻ NR bị thu hồi, cần thiết phải thể chữ ký thực thi trước thời gian chứng thư bị thu hồi Điều thực cách áp dụng thẻ tem thời gian chữ ký thẻ NR sử dụng dấu thời gian (TimeMark), tức ghi vết kiểm tốn an tồn chữ ký giá trị băm với định danh thuật toán băm Các chế cho phép thực tế chữ ký thẻ chống chối bỏ tạo trước thời điểm cho cần phải thiết lập Những chế cho phép thẻ NR trì hiệu lực vô hạn: a) Sau hết hạn chứng thư sử dụng để xác minh chữ ký thè NR b) Nếu chứng thư bị thu hồi 11.2 Cơ chế sử dụng dịch vụ cấp tem thời gian Việc trao đổi thực thể (bên yêu cầu) TSA yêu cầu tem thời gian cần tuân theo bước mô tả tiêu chuẩn TCVN 7818-1 (ISO/IEC 18014-1) 11.3 Cơ chế sử dụng dịch vụ đánh dấu thời gian Thực thể X phải trao đổi với dịch vụ đánh dấu thời gian thông qua kênh truyền thơng an tồn cung cấp xác thực nguồn gốc liệu tính tồn vẹn Bên yêu cầu X tạo giá trị băm cho chữ ký thẻ NR để đánh dấu thời gian, bổ sung thêm định danh thuật toán băm; kết hợp xem “dữ liệu y” phần sau Trong giao dịch chế này, thực thể yêu cầu X yêu cầu dấu thời gian (Time-Mark) cách gửi liệu y mà muốn đánh dấu thời gian Trong giao dịch thứ hai, dịch vụ đánh dấu thời gian đáp ứng việc trả lại liệu Giao dịch -Từ thực thể X tới dịch vụ đánh dấu thời gian a) Thực thể X hình thành yêu cầu Req: Req = text5 || y text5 bao gồm: - định danh phân biệt tổ chức đánh dấu thời gian, - sách sử dụng để lấy dấu thời gian, - tên bên yêu cầu X b) Thực thể X gửi yêu cầu Req tới dịch vụ đánh dấu thời gian Giao dịch - Từ dịch vụ đánh dấu thời gian tới thực thể X a) Dịch vụ đánh dấu thời gian kiểm tra tính hợp lệ yêu cầu ghi lại Req với ngày từ nguồn tin cậy b) Dịch vụ đánh dấu thời gian gửi liệu Resp trở lại thực thể X: Resp = text6 || recording number text6 bao gồm: - liệu y, - ngày việc ghi hồ sơ, - tất phần text5, - sách sử dụng để cấp dấu thời gian Trong trao đổi tiếp theo, thực thể X thực thể phép cung cấp số hiệu ghi phải nhận lại: - liệu y, - ngày việc ghi hồ sơ, - tất phần text5, - sách sử dụng để cấp dấu thời gian THƯ MỤC TÀI LIỆU THAM KHẢO [1] TCVN 9696-2:2013 (ISO 7498-2:1989) Công nghệ thông tin - Liên kết hệ thống mở - Mơ hình tham chiếu sở - Phần 2: Kiến trúc an ninh [2] ISO/IEC 9594-8:2008, Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks (Công nghệ thông tin - Liên kết hệ thống mở - Danh bạ: khung cho khóa cơng khai chứng thuộc tính) [3] ISO/IEC 9796 (all parts), Information technology - Security techniques - Digital signature scheme giving message recovery (Công nghệ thông tin - Kỹ thuật an tồn - Lược đồ chữ ký số cho khơi phục thông điệp) [4] ISO/IEC 10118-2:2000/Cor.2: 2007, Information technology - Security techniques - Hashfunctions Part 2: Hash-functions using an n-bit block cipher (Công nghệ thông tin - Kỹ thuật an toàn - Các hàm băm - Phần 2: Các hàm băm sử dụng khối mã n bit) [5] ISO/IEC 10118-3:2004/Amd.1:2006, Information technology - Security techniques - Hashfunctions Part 3: Dedicated hash-functions (Công nghệ thông tin - Kỹ thuật an toàn - Các hàm băm - Phần 3: Các hàm băm dùng riêng) [6] ISO/IEC 10118-4:1998, Information technology - Security techniques - Hash-functions - Part 4: Hash-functions using modular arithmetic (Cơng nghệ thơng tin - Kỹ thuật an tồn - Các hàm băm Phần 4: Các hàm băm sử dụng tính tốn số học theo khối) [7] ISO/IEC 10181-1:1996, Information technology - Open Systems Interconnection - Security frameworks for open systems: Overview (Công nghệ thông tin - Liên kết hệ thống mở - Bộ khung an toàn cho hệ thống mở: Tổng quan) [8] ISO/IEC 10181-4:1997, Information technology - Open Systems Interconnection - Security frameworks for open systems - Part 4: Non-repudiation framework (Công nghệ thông tin - Liên kết hệ thống mở - Bộ khung an toàn cho hệ thống mở - Phần 4: Bộ khung chống chối bỏ) [9] ISO/IEC TR 14516:2002, Information technology - Security techniques - Guidelines for the use and management of Trusted Third Party services (Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn sử dụng quản lý dịch vụ bên thứ ba tin cậy) [10] ISO/IEC 14888 (all parts), Information technology - Security techniques - Digital signatures with appendix (Công nghệ thông tin - Các kỹ thuật an toàn - Các chữ ký số với phụ lục) [11] ISO/IEC 15945:2002, Information technology - Security techniques - Specification of TTP services to support the application of digital signatures (Công nghệ thông tin - Các kỹ thuật an toàn - Đặc tả dịch vụ TTP để hỗ trợ ứng dụng với chữ ký số) [12] ISO/IEC 15946-2:2002, Information technology - Security techniques - Cryptographic techniques based on elliptic curves - Part 2: Digital signatures (Công nghệ thơng tin - Các kỹ thuật an tồn - Các kỹ thuật mật mã dựa đường cong Elliptic - Phần 2: Chữ ký số) [13] TCVN 7818 (tất phần) (ISO/IEC 18014), Công nghệ thông tin - Kỹ thuật an toàn - Các dịch vụ cấp tem thời gian MỤC LỤC Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Ký hiệu thuật ngữ viết tắt Các yêu cầu Sự tham gia bên thứ ba tin cậy Chữ ký số Sử dụng thẻ chống chối bỏ trường hợp có khơng có tổ chức chuyển phát Bằng chứng tạo thực thể đầu cuối 9.1 Giới thiệu chung 9.2 Chống chối bỏ nguồn gốc 9.2.1 Thẻ chống chối bỏ nguồn gốc (NRO) 9.2.2 Cơ chế chống chối bỏ nguồn gốc 9.3 Chống chối bỏ chuyển phát 9.3.1 Thẻ chống chối bỏ chuyển phát (NRD) 9.3.2 Cơ chế chống chối bỏ chuyển phát 10 Bằng chứng tạo tổ chức chuyển phát 10.1 Tổng quan 10.2 Chống chối bỏ việc đệ trình 10.2.1 Thẻ chống chối bỏ việc đệ trình (NRS) 10.2.2 Cơ chế chống chối bỏ việc đệ trình 10.3 Chống chối bỏ vận chuyển 10.3.1 Thẻ chống chối bỏ vận chuyển (NRT) 10.3.2 Cơ chế chống chối bỏ vận chuyển 11 Các chế đảm bảo thẻ NR ký trước thời gian t 11.1 Giới thiệu chung 11.2 Cơ chế sử dụng dịch vụ cấp tem thời gian 11.3 Cơ chế sử dụng dịch vụ đánh dấu thời gian Thư mục tài liệu tham khảo ... nghệ thơng tin - Các kỹ thuật an tồn - Chống chối bỏ - Phần 1: Tổng quan (Information technology - Security techniques - Non-repudiation - Part 1: General) TCVN 781 8-1 (ISO/IEC 1801 4-1 ), Công nghệ... tem thời gian Việc trao đổi thực thể (bên yêu cầu) TSA yêu cầu tem thời gian cần tuân theo bước mô tả tiêu chuẩn TCVN 781 8-1 (ISO/IEC 1801 4-1 ) 11.3 Cơ chế sử dụng dịch vụ đánh dấu thời gian Thực... nhận lại: - liệu y, - ngày việc ghi hồ sơ, - tất phần text5, - sách sử dụng để cấp dấu thời gian THƯ MỤC TÀI LIỆU THAM KHẢO [1] TCVN 969 6-2 :2013 (ISO 749 8-2 :1989) Công nghệ thông tin - Liên kết