Tiêu chuẩn Quốc gia TCVN 11817-2:2017

Thông tin tài liệu

Tiêu chuẩn này quy định cơ chế xác thực thực thể sử dụng thuật toán mã hóa đối xứng. Có 4 cơ chế cung cấp xác thực thực thể giữa hai thực thể không có bên thứ ba tin cậy tham gia; hai trong các cơ chế đó là cơ chế xác thực một chiều của một thực thể này với một thực thể khác; hai cơ chế còn lại là cơ chế xác thực lẫn nhau của hai thực thể. Các cơ chế còn lại yêu cầu bên thứ ba tin cậy cho việc thiết lập khóa bí mật chung và thực hiện xác thực thực thể một chiều hoặc lẫn nhau.

TIÊU CHUẨN QUỐC GIA TCVN 11817-2:2017 ISO/IEC 9798-2:2008 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - XÁC THỰC THỰC THỂ - PHẦN 2: CƠ CHẾ SỬ DỤNG THUẬT TỐN MÃ HĨA ĐỐI XỨNG Information technology - Security techniques - Entity authentication - Part 2: Mechanisms using symmetric encipherment algorithms Lời nói đầu TCVN 11817-2:2017 hồn tồn tương đương với ISO/IEC 9798-2:2008 đính kỹ thuật 3:2013 TCVN 11817-2:2017 (ISO/IEC 9798-2:2008) Cục Quản lý mật mã dân Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố Bộ tiêu chuẩn TCVN 11817:2017 Công nghệ thông tin - Các kỹ thuật an toàn - Xác thực thực thể gồm tiêu chuẩn sau: - TCVN 11817-1:2017 (ISO/IEC 9798-1:2010), Phần 1: Tổng quan - TCVN 11817-2:2017 (ISO/IEC 9798-2:2008), Phần 2: Cơ chế sử dụng thuật tốn mã hóa đối xứng - TCVN 11817-3:2017 (ISO/IEC 9798-3:1998), Phần 3: Cơ chế sử dụng kỹ thuật chữ ký số Bộ ISO/IEC 9798 Information technology - Security techniques - Entity authentication tiêu chuẩn sau: - ISO/IEC 9798-4:1999, Part 4: Mechanisms using a cryptographic check function - ISO/IEC 9798-5:2009, Part 5: Mechanisms using zero-knowledge techniques - ISO/IEC 9798-6:2010, Part 6: Mechanisms using manual data transfer CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - XÁC THỰC THỰC THỂ - PHẦN 2: CƠ CHẾ SỬ DỤNG THUẬT TỐN MÃ HĨA ĐỐI XỨNG Information technology - Security techniques - Entity authentication - Part 2: Mechanisms using symmetric encipherment algorithms Phạm vi áp dụng Tiêu chuẩn quy định chế xác thực thực thể sử dụng thuật tốn mã hóa đối xứng Có chế cung cấp xác thực thực thể hai thực thể khơng có bên thứ ba tin cậy tham gia; hai chế chế xác thực chiều thực thể với thực thể khác; hai chế lại chế xác thực lẫn hai thực thể Các chế lại yêu cầu bên thứ ba tin cậy cho việc thiết lập khóa bí mật chung thực xác thực thực thể chiều lẫn Các chế quy định tiêu chuẩn sử dụng tham số biến thiên theo thời gian tem thời gian, số số ngẫu nhiên để ngăn chặn thông tin xác thực hợp lệ chấp nhận sau sử dụng lại Nếu khơng có bên thứ ba tin cậy tham gia tem thời gian số sử dụng, chuyến cần thiết cho xác thực chiều, hai chuyến cần thiết để đạt xác thực lẫn Nếu khơng có tham gia bên thứ ba tin cậy thách thức số ngẫu nhiên sử dụng phương pháp đáp ứng sử dụng, hai chuyến cần thiết cho xác thực chiều, xác thực lẫn yêu cầu phải sử dụng chuyến Nếu có tham gia bên thứ ba tin cậy, giao tiếp bổ sung thực thể bên thứ ba tin cậy đòi hỏi phải bổ sung thêm hai chuyến việc trao đổi truyền thông Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn không ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) TCVN 11817-1:2017 (ISO/IEC 9798-1): Cơng nghệ thơng tin - Các kỹ thuật an toàn-Xác thực thực thể Phần 1: Tổng quan Thuật ngữ định nghĩa TCVN 11817-2 áp dụng thuật ngữ định nghĩa TCVN 11817-1 đây: 3.1 Mã hóa có xác thực (authenticaticated encryption) (Khả nghịch) Phép biến đổi liệu thuật tốn mật mã để tạo mã mà khơng thể thay đổi thực thể trái phép mà không phát hiện, tức cung cấp bảo mật, toàn vẹn xác thực nguồn gốc liệu 3.2 Bản mã (ciphertext) Dữ liệu biến đổi để giấu nội dung thông tin liệu 3.3 Bên xác thực (claimant) Thực thể có định danh xác thực, bao gồm chức liệu cá nhân cần thiết để tham gia trao đổi xác thực thay mặt cho chủ thể [ISO/IEC 9798-5:2004] 3.4 Mã xác thực thông điệp (message authentication code) MAC (MAC) Xâu bit đầu thuật tốn MAC CHÚ THÍCH MAC gọi giá trị kiểm tra mật mã [ISO/IEC 9797-1:1999] 3.5 Thuật toán mã xác thực thơng điệp (message authentication code (MAC) algorithm) Thuật tốn để tính tốn hàm ánh xạ xâu bit khóa bí mật vào xâu bit có chiều dài cố định, thỏa mãn hai thuộc tính sau: - Cho khóa xâu đầu vào bất kỳ, hàm tính tốn cách hiệu - Cho khóa cố định, khơng biết trước khóa, khơng thể tính tốn giá trị hàm cho chuỗi đầu vào nào, biết tập chuỗi đầu vào giá trị hàm tương ứng, giá trị chuỗi đầu vào thứ i chọn sau quan sát giá trị giá trị hàm thứ i-1 CHÚ THÍCH Thuật tốn MAC đơi gọi hàm kiểm tra mật mã (xem ví dụ ISO 7498-2) CHÚ THÍCH Tính khả thi việc tính tốn phụ thuộc vào mơi trường yêu cầu an toàn cụ thể người dùng [ISO/IEC 9797-1] 3.6 Tem thời gian (time stamp) Tham số biến thiên theo thời gian đánh dấu thời điểm hệ tham chiếu thời gian thông thường [ISO/IEC 18014-1:2008] 3.7 Bên thứ ba tin cậy (trusted third party) Một tổ chức có thẩm quyền an tồn, đại diện đủ tư cách quan đó, tin cậy thực thể khác khía cạnh hoạt động liên quan đến an toàn [ISO/IEC 18014-1:2008] Ký hiệu từ viết tắt A, B Nhãn sử dụng cho thực thể tham gia vào chế dK Quá trình giải mã xác thực sử dụng khóa bí mật K eK Q trình mã hóa xác thực thực thi sử dụng khóa bí mật K eK(X) Kết q trình mã hóa liệu X dùng thuật tốn mã hóa đối xứng sử dụng khóa K IU Định danh phân biệt thực thể U K Khóa bí mật sử dụng q trình mã hóa giải mã KUV Khóa bí mật chia sẻ thực thể U V sử dụng kỹ thuật mật mã đối xứng NU Số cấp thực thể U P Ký hiệu mô tả bên thứ ba tin cậy RU Số ngẫu nhiên cấp thực thể U TNU TokenUV TU TVPU X || Y Tham số biến thiên theo thời gian có nguồn gốc từ thực thể U tem thời gian TU số NU Thẻ gửi từ thực thể U đến thực thể V Tem thời gian cấp thực thể U Tham số biến thiên theo thời gian có nguồn gốc từ thực thể U, tem thời gian TU, số NU số ngẫu nhiên RU Kết phép ghép nối mục liệu X Y theo trình tự quy định Trong trường hợp kết phép ghép hai nhiều mục liệu mã hóa phần chế đặc tả phần tiêu chuẩn này, kết đặt theo trật kết xâu liệu cấu thành, tức để khơng có khả khơng rõ ràng việc biên dịch Tính chất đạt nhiều cách khác tùy thuộc vào ứng dụng Ví dụ, đảm bảo cách (a) ấn định chiều dài xâu suốt miền chế (b) mã hóa phép ghép xâu sử dụng phương pháp đảm bảo việc giải mã nhất, ví dụ sử dụng quy tắc giải mã phân biệt định nghĩa ISO/IEC 8825- 1[1] CHÚ THÍCH Không việc ghép nối xâu mà trật tự chúng cần thiết Thông thường, ký hiệu cho trật tự [X1,…, Xn] Các yêu cầu Trong chế xác thực quy định tiêu chuẩn này, thực thể xác thực chứng thực định danh cách chứng minh thơng tin khóa xác thực bí mật Thực thể đạt điều cách sử dụng khóa bí mật để mã hóa liệu cụ thể Các liệu mã hóa giải chia sẻ khóa xác thực bí mật thực thể Dữ liệu mã hóa phải bao gồm tham số biến thiên theo thời gian Tham số xác thực theo cách sau đây: Nếu số ngẫu nhiên, bên nhận cần chắn giống hệt với số thách thức ngẫu nhiên gửi tới bên xác thực Đối với việc tạo sử dụng số ngẫu nhiên, tham khảo tiêu chuẩn ISO/IEC 18031 Nếu tem thời gian, bên nhận phải kiểm tra tính hợp lệ tem thời gian Nếu số tuần tự, bên nhận phải có khả so sánh với số nhận trước lưu trữ (các) số để khơng phát lại Các chế xác thực có yêu cầu sau Nếu yêu cầu sau không đáp ứng q trình xác thực bị tổn hại thực a) Bên xác thực chứng thực thân để bên xác thực chia sẻ khóa xác thực bí mật chung với bên xác thực kia, trường hợp chế quy định Điều áp dụng thực thể cần chia sẻ khóa xác thực bí mật với bên thứ ba tin cậy chung, trường hợp chế Điều áp dụng Các khóa cần biết bên liên quan trước bắt đầu diễn chế xác thực Các phương pháp để đạt điều nằm phạm vi tiêu chuẩn Hướng dẫn quản lý chia sẻ khóa bí mật cung cấp tiêu chuẩn ISO/IEC 117701 ISO/IEC 11770-2 b) Nếu bên thứ ba tin cậy tham gia, chế cần tin tưởng bên xác thực bên xác thực c) Khóa xác thực bí mật chia sẻ bên xác thực bên xác thực thực thể bên thứ ba tin cậy, cần biết hai bên có thể, thực thể khác mà hai tin tưởng không sử dụng sai khóa, ví dụ giả mạo bên tham gia CHÚ THÍCH Thuật tốn mật mã thời gian sử dụng khóa cần chọn cho khơng khả thi mặt tính tốn với khóa suy suốt chu kỳ sống khóa Ngồi thời gian sử dụng khóa cần chọn đề ngăn chặn công biết rõ rõ lựa chọn d) Các thẻ sử dụng chế phải giả biết thông tin thẻ cũ Nói cách khác, thẻ cũ khơng thể tái sử dụng cách (một phần toàn bộ) để tạo thẻ Đối với khóa bí mật K, hàm mã hóa eK hàm giải mã dK tương ứng cần có thuộc tính sau Q trình giải mã dK, áp dụng với xâu eK(X) phải cho bên nhận xâu phát giả mạo hay thay đổi liệu, tức bên sử dụng khóa bí mật tạo xâu mà “chấp nhận” đưa q trình giải mã dK CHÚ THÍCH Trong thực tế, vấn đề đạt nhiều cách Các phương pháp tiếp cận khuyến nghị sử dụng khóa bí mật K với kỹ thuật mã hóa xác thực mà cung cấp bảo vệ bí mật tồn vẹn, tiêu chuẩn hóa tiêu chuẩn ISO/IEC 19772 e) Các chế tiêu chuẩn yêu cầu sử dụng tham số biến thiên theo thời gian tem thời gian, số số ngẫu nhiên Các thuộc tính tham số này, đặc biệt khơng tính đến chúng để lặp lại thời gian sử dụng khóa xác thực bí mật, quan trọng cho chế Để biết thêm thông tin xem Phụ lục B TCVN 11817-1 f) Khóa xác thực bí mật việc thực số chế đặc tả phần Bộ tiêu chuẩn phải khác biệt với khóa sử dụng cho mục đích khác g) Xâu liệu mã hóa điểm khác chế xác thực không xếp theo thứ chủng thay đổi lẫn CHÚ THÍCH Điều thực cách bao gồm yếu tố xâu liệu mã hóa sau đây: - Định danh đối tượng đặc tả Phụ lục A, phần tiêu chuẩn ISO định danh cụ thể, phần số chế xác thực; - Một số xác định xâu mã hóa chế Hằng số bỏ qua chế có xâu mã hóa Người nhận xâu liệu mã hóa kiểm tra định danh đối tượng số xác định vị trí ký chế kỳ vọng h) Trong chế đặc tả Điều 7, người giữ khóa KAP KBP phải sử dụng theo cách, nghĩa việc thực thi TTP P thực thể A (hoặc B) Nghĩa khơng có thực thể hoạt động TTP trường hợp giao thức hoạt động A B trường hợp giao thức khác, sử dụng chung khóa cho hai trường hợp Cơ chế không liên quan đến bên thứ ba tin cậy Trong chế thực thể A B chia sẻ khóa xác thực bí mật chung KAB hai khóa bí mật chiều KAB vàKBA trước bắt đầu diễn chế xác thực Trong trường hợp sau khóa chiều KAB KBA sử dụng tương ứng cho việc xác thực A B ngược lại Tất trường văn quy định chế sau có sẵn để sử dụng ứng dụng phạm vi tiêu chuẩn (chứng rỗng) Mối quan hệ nội dung phụ thuộc vào ứng dụng cụ thể Xem Phụ lục B thông tin sử dụng trường văn 6.1 Xác thực chiều Xác thực chiều có nghĩa hai thực thể xác thực sử dụng chế 6.1.1 Cơ chế - Xác thực đơn chuyến Trong chế xác thực bên xác thực A khởi tạo trình xác thực Bên xác thực B Tính nhất/đúng lúc kiểm sốt cách tạo kiểm tra tem thời gian số (Xem Phụ lục B TCVN 11817-1) Cơ chế minh họa Hình Hình 1: Cơ chế - Xác thực đơn chuyến Hình thức thẻ (TokenAB), gửi Bên xác thực A đến Bên xác thực B là: Bên khiếu nại A sử dụng tham số biến thiên theo thời gian TNA tem thời gian TA số NA Sự lựa chọn phụ thuộc vào khả kỹ thuật bên xác thực bên xác thực môi trường Việc đưa định danh phân biệt lB TokenAB tùy chọn CHÚ THÍCH Định danh phân biệt lB bao gồm TokenAB để ngăn chặn việc tái sử dụng TokenAB thực thể A kẻ mạo danh thực thể B Việc bao gồm tùy chọn mơi trường mà kẻ cơng khơng thể xảy ra, bỏ qua Định danh phân biệt IB bỏ qua khóa chiều sử dụng Sau mơ tả chế - Xác thực đơn chuyến (1) A tạo gửi TokenAB cho B (2) Khi nhận thông báo chứa TokenAB, B xác thực TokenAB giải mã phần mã (giải mã ngụ ý đáp ứng yêu cầu đưa Điều d) sau kiểm tra tính đắn định danh phân biệt IB, có, tem thời gian số 6.1.2 Cơ chế - Xác thực hai chuyến Trong chế bên xác thực A xác thực bên xác thực B để khởi tạo q trình Tính lúc kiểm soát cách tạo kiểm tra số ngẫu nhiên RB (xem Phụ lục B TCVN 11817-1) Cơ chế xác thực minh họa Hình Hình 2: Cơ chế - Xác thực hai chuyến Hình thức thẻ (TokenAB), gửi Bên xác thực A đến Bên xác thực B là: Việc đưa định danh phân biệt lB TokenAB tùy chọn CHÚ THÍCH Để ngăn chặn khả công rõ chọn, tức cơng phân tích mã người phân tích mã biết rõ hoàn chỉnh hay nhiều xâu mã, thực thể A bao gồm số ngẫu nhiên RA Text2 CHÚ THÍCH Định danh phân biệt lB bao gồm TokenAB để ngăn chặn bên sử dụng TokenAB nhưTokenBA Việc đưa định danh phân biệt lB tùy chọn mơi trường mà cơng khơng thể xảy bỏ qua Định danh phân biệt lB bỏ qua khóa chiều sử dụng Sau mô tả chế - Xác thực hai chuyến (1) B tạo số ngẫu nhiên RB gửi nó, tùy chọn, trường văn Text1 tới A (2) A tạo gửi TokenAB cho B (3) Khi nhận thơng báo có chứa TokenAB, B xác minh TokenAB cách giải mã phần mã (giải mã ngụ ý đáp ứng yêu cầu đưa Điều d) kiểm tra tính đắn định danh phân biệt lB, có, số ngẫu nhiên RB, gửi đến A bước (1), đồng ý với số ngẫu nhiên chứa TokenAB 6.2 Xác thực lẫn Xác thực lẫn nghĩa hai thực thể giao tiếp chứng thực với cách sử dụng chế Hai chế mô tả Điều 6.1.1 6.1.2 tương ứng tương thích Điều 6.2.1 6.2.2, để đạt xác thực lẫn Trong hai trường hợp đòi hỏi nhiều chuyển nhiều kết hai bước tiếp CHÚ THÍCH Cơ chế xác thực thứ ba để xác thực lẫn xây dựng từ hai trường hợp chế quy định 6.1.2, bắt đầu thực thể A bắt đầu thực thể B 6.2.1 Cơ chế - Xác thực hai chuyến Trong chế xác thực tính nhất/đúng lúc kiểm soát cách tạo kiểm tra tem thời gian số (xem Phụ lục B TCVN 11817-1) Cơ chế xác thực minh họa Hình Hình 3: Cơ chế - Xác thực hai chuyến Hình thức thẻ (TokenAB), gửi từ A đến B, giống quy định 6.1.1 Hình thức thẻ (TokenBA), gửi từ B đến A là: Việc đưa định danh phân biệt lB TokenAB việc bao gồm định danh phân biệt lA TokenBA (một cách độc lập) tùy chọn CHÚ THÍCH Định danh phân biệt lB bao gồm TokenAB để ngăn chặn việc tái sử dụng TokenAB thực thể A kẻ công giả mạo thực thể B Với lý tương tự định danh phân biệt lA có TokenBA Việc bao gồm thực tùy chọn đó, mơi trường mà công không xảy ra, hai bỏ qua Các định danh phân biệt lA lB bỏ qua sử dụng khóa chiều (xem bên dưới) Sự lựa chọn việc sử dụng tem thời gian số chế phụ thuộc vào khả bên xác thực bên xác thực môi trường Sau mô tả chế - xác thực hai chuyến: (1) A tạo gửi TokenAB cho B (2) Khi nhận thơng báo có chứa TokenAB, B xác minh TokenAB cách giải mã phần mã [giải mã ngụ ý đáp ứng yêu cầu đưa Điều d] kiểm tra tính đắn định danh phân biệt lB, có, tem thời gian số (3) B tạo gửi TokenBA cho A (4) Thông báo bước (3) xử lý cách tương tự bước (2) 6.1.1 CHÚ THÍCH Hai thơng báo chế khơng bị ràng buộc với cách nào, khác với hoàn toàn kịp thời gian; chế liên quan đến việc sử dụng độc lập chế 6.1.1 hai lần Hơn ràng buộc với thơng báo đạt cách sử dụng hợp lý trường văn Nếu khóa chiều sử dụng khóa KAB TokenBA thay khóa chiều KBA, khóa thích hợp sử dụng bước (4) 6.2.2 Cơ chế - xác thực ba chuyến Trong chế xác thực tính lúc kiểm soát cách tạo kiểm tra số ngẫu nhiên (xem Phụ lục B TCVN 11817-1) Cơ chế xác thực minh họa Hình Hình - Cơ chế - xác thực ba chuyến Các thẻ có dạng sau: Việc đưa định danh phân biệt lB TokenAB tùy chọn CHÚ THÍCH Khi có mặt định danh phân biệt lB bao gồm TokenAB để ngăn chặn công phản xạ Cuộc công đặc trưng thực tế kẻ xâm nhập ‘phản xạ’ thách thức RB đến B giả vờ A Sự bao gồm định danh phân biệt lB tùy chọn đó, mơi trường mà công xảy ra, bỏ qua Định danh phân biệt lB bỏ qua sử dụng khóa chiều (xem bên dưới) Sau mơ tả chế - xác thực ba chuyến: (1) B tạo số ngẫu nhiên RB gửi nó, tùy chọn, trường văn Text1 cho A (2) A tạo số ngẫu nhiên RA, tạo gửi TokenAB đến B (3) Khi nhận thơng báo có chứa TokenAB, B xác minh TokenAB cách giải mã phần mã (giải mã ngụ ý đáp ứng yêu cầu đưa Điều 5d) kiểm tra tính đắn định danh phân biệt lB, có, số ngẫu nhiên RB, gửi đến A bước (1), đồng ý với số ngẫu nhiên chứa TokenAB (4) B tạo gửi TokenBA đến A (3) Khi nhận thơng báo có chứa TokenBA, A xác minh TokenBA cách giải mã phần mã [giải mã ngụ ý đáp ứng yêu cầu đưa Điều d] kiểm tra tính đắn định danh phân biệt lB, có, số ngẫu nhiên RB, nhận từ B bước (1), đồng ý với số ngẫu nhiên chứa TokenBA số ngẫu nhiên RA, gửi tới B bước (2), đồng ý với số ngẫu nhiên chứa TokenBA Nếu khóa chiều sử dụng khóa KAB TokenBA thay khóa KBA khóa thích hợp sử dụng bước (5) Cơ chế liên quan đến bên thứ ba tin cậy Cơ chế xác thực Điều khơng sử dụng khóa bí mật chia sẻ hai thực thể trước trình xác thực Tuy nhiên Cơ chế sử dụng bên thứ ba tin cậy (ký hiệu P) mà thực thể A B chia sẻ khóa bí mật KAP KBP tương ứng Trong hai chế thực thể yêu cầu khóa KAB từ bên thứ ba tin cậy Cơ chế mô theo chế mô tả 6.2.1 6.2.2 tương ứng Như mô tả bên chuyến định bỏ qua chế yêu cầu xác thực chiều Tất trường văn quy định chế sau có sẵn để sử dụng ứng dụng nằm phạm vi tiêu chuẩn (chúng rỗng) Mối quan hệ nội dung phụ thuộc vào ứng dụng cụ thể Xem Phụ lục B thông tin sử dụng trường văn 7.1 Cơ chế - xác thực bốn chuyến Cơ chế tương đương với chế thiết lập khóa số tiêu chuẩn ISO/IEC 11770-2:2008 Cơ chế xác thực minh họa Hình Hình - Cơ chế số - xác thực bốn chuyến Hình thức thẻ (TokenPA), gửi từ P đến A là: Hình thức thẻ (TokenAB), gửi từ A đến B là: Hình thức thẻ (TokenBA), gửi từ B đến A là: Sự lựa chọn việc sử dụng tem thời gian số chế phụ thuộc vào khả thực thể môi trường Việc sử dụng tham số biến thiên theo thời gian TVPA bước (1) đến (3) Hình theo quy định khác so với sử dụng bình thường Nó cho phép A kết hợp thông báo đáp ứng (2) với thông báo yêu cầu (1) Các đặc tính quan trọng tham số biến thiên theo thời gian không lặp lại, để hạn chế việc tái sử dụng TokenPAđược sử dụng trước CHÚ THÍCH Tham số biến thiên theo thời gian TVPA số ngẫu nhiên Tuy nhiên không giống số ngẫu nhiên sử dụng số chế tiêu chuẩn TCVN 11817, khơng cần thiết TVPA khơng thể đoán trước cho bên thứba giá trị đếm khơng lập thích hợp Sau mô tả chế số - xác thực bốn chuyến: (1) A tạo tham số biến thiên theo thời gian TVPA, gửi nó, định danh phân biệt IB và, tùy chọn, trường văn Text1 đến bên thứ ba tin cậy P (2) Bên thứ ba tin cậy P tạo gửi TokenPA cho A (3) Khi nhận thơng báo có chứa TokenPA, A xác minh TokenPA cách giải mã phần mã sử dụng KAP (giải mã ngụ ý đáp ứng yêu cầu đưa Điều d) kiểm tra tính đắn định danh phân biệt IB tham số biến thiên theo thời gian, gửi từ P bước (1), đồng ý với tham số biến thiên theo thời gian chứa TokenPA Ngoài ra, A nhận khóa xác thực bí mật KAB A sau trích xuất từ TokenPA sử dụng để xây dựng TokenAB (4) A tạo gửi cho B TokenAB (5) Khi nhận thơng báo có chứa TokenAB, B xác minh TokenAB cách giải mã phần mã [giải mã ngụ ý đáp ứng yêu cầu đưa Điều d)] kiểm tra tính đắn định danh phân biệt IA IB (các) tem thời gian (các) số Ngồi B nhận khóa xác thực bí mật KAB (6) B tạo gửi cho A TokenBA (7) Khi nhận thơng báo có chứa TokenBA, A xác minh TokenBA cách giải mã phần mã (giải mã ngụ ý đáp ứng yêu cầu đưa Điều d) kiểm tra tính đắn định danh phân biệt IA tem thời gian số Các bước (6) (7) bỏ qua yêu cầu xác thực chiều A tới B 7.2 Cơ chế - xác thực năm chuyến Trong chế xác thực lẫn tính lúc kiểm soát cách tạo kiểm tra số ngẫu nhiên (xem Phụ lục B TCVN 11817-1) Cơ chế tương đương với chế thiết lập khóa số tiêu chuẩn ISO/IEC 11770-2 Cơ chế xác thực minh họa Hình Hình - Cơ chế - xác thực năm chuyến Hình thức thẻ (TokenPA), gửi từ P đến A là: Hình thức thẻ (TokenAB), gửi từ A đến B là: Hình thức thẻ (TokenBA), gửi từ B đến A là: Sau mô tả chế số - xác thực năm chuyến: (1) B tạo số ngẫu nhiên RB gửi nó, tùy chọn, trường văn Text1 đến A (2) A tạo số ngẫu nhiên RA gửi nó, số ngẫu nhiên R B, định danh phân biệt lB và, tùy chọn, trường văn Text2 đến bên thứ ba tin cậy P (3) Bên thứ ba tin cậy P tạo gửi TokenPA đến A (4) Khi nhận thơng báo có chứa TokenPA, A xác minh TokenPA cách giải mã phần mã sử dụng KAP [giải mã ngụ ý đáp ứng yêu cầu đưa Điều d] kiểm tra tính đắn định danh phân biệt lB số ngẫu nhiên RA, gửi tới P bước (2), đồng ý với số ngẫu nhiên chứa TokenPA Ngồi ra, A nhận khóa xác thực bí mật KAB A sau trích xuất từ TokenPA sử dụng để xây dựng TokenAB (5) A tạo số ngẫu nhiên thứ hai R'A tạo gửi TokenAB đến B (6) Khi nhận thông báo có chứa TokenAB, B xác minh TokenAB cách giải mã phần mã (giải mã ngụ ý đáp ứng yêu cầu đưa Điều d) kiểm tra tính đắn định danh phân biệt lA số ngẫu nhiên RB, gửi tới Atrong bước (1), đồng ý với hai chứa TokenAB Ngồi B lấy khóa xác thực bí mật KAB (7) B tạo gửi TokenBA đến A (8) Khi nhận thơng báo có chứa TokenBA, A xác minh TokenBA cách giải mã phần mã (giải mã ngụ ý đáp ứng yêu cầu đưa Điều d) kiểm tra số ngẫu nhiên RB nhận từ B bước (1), đồng ý với số ngẫu nhiên chứa TokenBA số ngẫu nhiên R’A, gửi đến B bước (5), đồng ý với số ngẫu nhiên chứa TokenBA Các bước (7) (8) bỏ qua yêu cầu xác thực chiều A tới B Phụ lục A (Quy định) OID cú pháp ASN.1 A.1 Định nghĩa thức A.2 Sử dụng định danh đối tượng Mỗi chế xác thực thực thể sử dụng kỹ thuật mã hóa đối xứng Do đó, định danh đối tượng chế xác thực thực thể theo sau định danh đối tượng quy định cụ thể kỹ thuật mã hóa sử dụng, ví dụ định danh cho chế quy định ISO/IEC 19772 A.3 Ví dụ mã hóa phù hợp với quy tắc mã hóa ASN.1 Để phù hợp với tiêu chuẩn ISO/IEC 8825-1, định danh đối tượng bao gồm nhiều tám Mỗi dãy mã hóa số - Bit (bit có trọng số cao nhất) thiết lập tám cuối dãy tám trước đó, có nhiều tám - Nối bit đến tám dãy mã hóa số Mỗi số cần mã hóa cách sử dụng tám có thể, tám ‘80’ khơng hợp lệ vị trí dãy - Số số tiêu chuẩn; số thứ hai, có, phần tiêu chuẩn gồm nhiều phần Một định danh đối tượng tham chiếu tới chế định nghĩa tiêu chuẩn - Để xác định tiêu chuẩn ISO, tám thiết lập ‘28’, tức 40 theo hệ thập phân (xem ISO/IEC 8825-1) - Hai tám thiết lập ‘CC46’ 9798 '2646' hệ thập lục phân, tức 0010 0110 0100 0110, tức hai khối bảy bit 1001100 1000110 Sau chèn giá trị thích hợp bit tám, việc mã hóa dãy 11001100 01000110, tức ‘CC46’ - Các tám thiết lập ‘02’ để xác định phần - Các tám định danh chế xác thực - ‘01’ định danh chế xác thực chiều đơn chuyến không liên quan đến bên thứ ba tin cậy - '02’ định danh chế xác thực chiều hai chuyến không liên quan đến bên thứ ba tin cậy - '03' định danh chế xác thực lẫn hai chuyến không liên quan đến bên thứ ba tin cậy - '04' định danh chế xác thực lẫn ba chuyến không liên quan đến bên thứ ba tin cậy - '05' định danh chế xác thực lẫn bốn chuyến liên quan đến bên thứ ba tin cậy - '06' định danh chế xác thực lẫn năm chuyến liên quan đến bên thứ ba tin cậy VÍ DỤ phần tử '28 CC 46 02 05’ đọc {tiêu chuẩn iso 9798 5}, tức chế thứ năm tiêu chuẩn này, tức chế xác thực lẫn bốn chuyến liên quan đến bên thứ ba tin cậy Phần tử liệu chuyển tải đối tượng liệu BER-TLV sau (xem quy tắc mã hóa ASN.1, ISO/IEC 8825-1, thẻ lớp toàn cầu '06') nơi dấu gạch ngang dấu ngoặc nhọn không quan trọng chèn vào cho rõ ràng Đối tượng liệu = {‘06’-‘05’-‘28 CC 46 02 05'} Phụ lục B (Tham khảo) Sử dụng trường văn Thẻ quy định Điều Điều tiêu chuẩn chứa trường văn Việc sử dụng thực tế mối quan hệ trường văn khác chuyến cho trước phụ thuộc vào ứng dụng Một ví dụ đưa đây; xem thêm Phụ lục A TCVN 11817-1 - Bất kỳ thông tin cần bảo mật chứng thực nguồn gốc nên cần đặt phần mã hóa thẻ Phụ lục C (Tham khảo) Tính chất chế xác thực thực thể Bảng C.1 tóm tắt thuộc tính chế xác thực thực thể quy định tiêu chuẩn Các tùy chọn hiển thị dấu ngoặc, ví dụ chế số có tùy chọn phiên ba chuyến giao thức để đạt xác thực chiều Bảng C.1 - Tính chất chế Cơ chế Số chuyến 2 (hoặc tùy (hoặc tùy chọn 3) chọn 4) Lẫn Lẫn Lẫn Lẫn (Một chiều) (Một chiều) Một chiều/Lẫn bên Một chiều Một chiều xác thực bên xác thực (Các) biến đảm bảo tính chất (CHÚTHÍCH 1) TNA RB TNA TNB RA RB TVPA, TNB TNP RA RB Thực thể khởi tạo chế (xác thực) A B A B A B Không Chỉ cho A Chỉ cho A Chỉ cho A Chỉ cho A Bên xác thực biết Không thành công Các thích sau áp dụng cho bảng trên: CHÚ THÍCH Đối với chế số 2, sử dụng (các) số ngẫu nhiên để đảm bảo tính chất khơng cần thiết để trìhoặc đồng hồ đồng số hai thực thể CHÚ THÍCH Trong chế xác thực mô tả tiêu chuẩn bên xác thực gửi chứng nhận dạng hình thức thẻ mã hóa Trong số trường hợp khơng có đáp ứng từ thực thể khác chứng chấp nhận thành công Hàng cuối Bảng C.1 nơi mà giao thức vốn đảm bảo thông tin xác thực thành công Trong tất trường hợp khác, cần thiết hệ thống cung cấp thông tin thành công Thư mục tài liệu tham khảo [1] ISO/IEC 8825-1, Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER) [2] ISO/IEC 9797-1:1999, Information technology - Security techniques - Message Authentication Codes (MACS) - Part 1: Mechanisms using a block cipher [3] ISO/IEC 9798-5:2004, Information technology - Security techniques - Entity authentication - Part 5: Mechanisms using zero-knowledge techniques [4] ISO/lEC 10116:2006, Information technology- Security techniques - Modes of operation for an n-bit block cipher [5] ISO/IEC 11770-1, Information technology - Security techniques - Key management- Part1: Framework [6] ISO/IEC 11770-2:2008, Information technology - Security techniques - Key management-Part 2: Mechanisms using symmetric techniques [7] ISO/IEC 18014-1:2008, Information technology- Security techniques - Time-stamping services - Part 1: Framework [8] ISO/IEC18031, Information technology-Security techniques-Random bit generation [9] ISO/lEC 19772:-2), Information technology- Security techniques-Authenticated encryption [10] D, Basin, C Cremers and S Meier, ‘Provably repairing the ISO/IEC 9798 standard for entity authentication’ In: P Degano, J D Guttman (eds.), Principles of Security abd Trust - First International Conferencw, POST 2012, Tallinn, Esstinia, March 24 - April 1, 2012, Proceedings Springer LNCS 7215, pp.129-148, 2012 MỤC LỤC Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Ký hiệu từ viết tắt Các yêu cầu Cơ chế không liên quan đến bên thứ ba tin cậy 6.1 Xác thực chiều 6.1.1 Cơ chế - Xác thực đơn chuyến 6.1.2 Cơ chế - Xác thực hai chuyến 6.2 Xác thực lẫn 6.2.1 Cơ chế - Xác thực hai chuyến 6.2.2 Cơ chế - Xác thực ba chuyến Cơ chế liên quan đến bên thứ ba tin cậy 7.1 Cơ chế - xác thực bốn chuyến 7.2 Cơ chế - xác thực năm chuyến Phụ lục A (Quy định) OID cú pháp ASN.1 A.1 Định nghĩa thức A.2 Sử dụng định danh đối tượng A.3 Ví dụ mã hóa phù hợp với quy tắc mã hóa ASN.1 Phụ lục B (Tham khảo) Sử dụng trường văn Phụ lục C (Tham khảo) Tính chất chế xác thực thực thể Thư mục tài liệu tham khảo ... mà cung cấp bảo vệ bí mật tồn vẹn, tiêu chuẩn hóa tiêu chuẩn ISO/IEC 19772 e) Các chế tiêu chuẩn yêu cầu sử dụng tham số biến thiên theo thời gian tem thời gian, số số ngẫu nhiên Các thuộc tính... hợp lệ vị trí dãy - Số số tiêu chuẩn; số thứ hai, có, phần tiêu chuẩn gồm nhiều phần Một định danh đối tượng tham chiếu tới chế định nghĩa tiêu chuẩn - Để xác định tiêu chuẩn ISO, tám thiết lập... định tiêu chuẩn sử dụng tham số biến thiên theo thời gian tem thời gian, số số ngẫu nhiên để ngăn chặn thông tin xác thực hợp lệ chấp nhận sau sử dụng lại Nếu khơng có bên thứ ba tin cậy tham gia

Ngày đăng: 27/10/2020, 18:19

Xem thêm: