Đang tải... (xem toàn văn)
Hộ chiếu điện tử (ePassport) đã được sử dụng lần đầu tiên tại Malaysia vào năm 1998, do đó đã có trước tiêu chuẩn ICAO. Bỉ là một trong những nước đầu tiên trên thế giới phát hành ePassport tuân thủ tiêu chuẩn này. Ngày nay, nhiều quốc gia khác phát hành ePassport như Pháp, Đức, Nederlands, Hoa Kỳ,… Động cơ cơ bản của việc thực hiện hộ chiếu điện tử là cung cấp hộ chiếu an toàn hơn thông qua một vi mạch điện tử được nhúng trong cuốn sách của mình. Chip này cho phép đảm bảo tính toàn vẹn dữ liệu, tức là không ai có thể sửa đổi nội dung của hộ chiếu mà không bị phát hiện; tính toàn vẹn này được đảm bảo bởi chữ ký số của cơ quan cấp phát hành. Tính xác thực của dữ liệu cũng được bảo vệ: chế tạo một hộ chiếu từ đầu là không thể vì một người làm giả không thể tự tạo chữ ký được đề cập. Bên cạnh đó, chip điện tử cho phép kết hợp sinh trắc học để ràng buộc hộ chiếu với quốc tịch đích thực của nó, do đó bổ sung thêm các tính năng nhận dạng bổ sung. Do tính chất vật lý và điện của nó, con chip này là một lưu trữ rất an toàn về thông tin tiểu sử và sinh trắc học (tên, ngày sinh, số hộ chiếu, hình ảnh khuôn mặt, ...), có thể được so sánh với những người được tiết lộ trực quan trên trang đầu tiên của hộ chiếu và với sinh trắc học của người vật lý. Cuối cùng, chip có thể ngăn chặn nhân bản hoặc thay thế thông qua một cơ chế trong đó chip phải chứng minh việc sở hữu khóa riêng dựa trên khóa công khai được tạo ra một cách an toàn cao bởi nhà nước phát hành.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO NGHIÊN CỨU TỔNG QUAN VỀ ỨNG DỤNG PKI TRONG TRIỂN KHAI HỘ CHIẾU ĐIỆN TỬ Học phần: Chứng thực điện tử Hà Nội, 2018 MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI VÀ CHỮ KÝ SỐ 1.1 Tổng quan sở hạ tầng khóa cơng khai 1.1.1 1.2 Các thành phần PKI Chứng thư số CA 1.2.1 Quy trình cấp chứng thư số 1.3 Chứng số CHƯƠNG II: HỘ CHIẾU ĐIỆN TỬ 2.1 Hộ chiếu điện tử 2.1.1 Cấu trúc hộ chiếu điện tử 10 Cấu trúc logic hộ chiếu điện tử (Logical Data Structure - LDS) 12 2.1.2 Một số yêu cầu bảo mật thông tin hộ chiếu điện tử 14 2.1.3 Các chế bảo mật thông tin hộ chiếu điện tử 15 CHƯƠNG III: ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ 17 2.1 Xác thực thụ động (Passive Authentication) 17 2.2 Xác thực đầu cuối (Terminal Authentication) 17 2.3 Quy trình cấp phát hộ chiếu điện tử đề xuất 22 2.4 Quy trình xác thực hộ chiếu điện tử 23 NHẬN XÉT LỜI NÓI ĐÂU Hộ chiếu điện tử (ePassport) sử dụng lần Malaysia vào năm 1998, có trước tiêu chuẩn ICAO Bỉ nước giới phát hành ePassport tuân thủ tiêu chuẩn Ngày nay, nhiều quốc gia khác phát hành ePassport Pháp, Đức, Nederlands, Hoa Kỳ,… Động cơ việc thực hộ chiếu điện tử cung cấp hộ chiếu an tồn thơng qua vi mạch điện tử nhúng sách Chip cho phép đảm bảo tính tồn vẹn liệu, tức khơng sửa đổi nội dung hộ chiếu mà không bị phát hiện; tính tồn vẹn đảm bảo chữ ký số quan cấp phát hành Tính xác thực liệu bảo vệ: chế tạo hộ chiếu từ đầu khơng thể người làm giả tự tạo chữ ký đề cập Bên cạnh đó, chip điện tử cho phép kết hợp sinh trắc học để ràng buộc hộ chiếu với quốc tịch đích thực nó, bổ sung thêm tính nhận dạng bổ sung Do tính chất vật lý điện nó, chip lưu trữ an toàn thông tin tiểu sử sinh trắc học (tên, ngày sinh, số hộ chiếu, hình ảnh khn mặt, ), so sánh với người tiết lộ trực quan trang hộ chiếu với sinh trắc học người vật lý Cuối cùng, chip ngăn chặn nhân thay thơng qua chế chip phải chứng minh việc sở hữu khóa riêng dựa khóa cơng khai tạo cách an toàn cao nhà nước phát hành CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI VÀ CHỮ KÝ SỐ 1.1 Tổng quan sở hạ tầng khóa công khai PKI (Public Key Infrastructure) hoạt động dựa hỗ trợ thẻ chứng thực số (digital certificates), bao gồm thành phần: Hardware, software, tập sách, thủ tục phát hành/thu hồi thẻ chứng thực chuẩn Các thành phần kết hợp với để thiết lập phương thức trao đổi thơng tin mơi trường mạng đảm bảo tính xác thực định danh đối tác mức an toàn cao Nhiệm vụ PKI sử dụng chiến lược mã hóa khóa cơng cộng (public key encryption) để tạo, quản lý thu hồi thẻ chứng thực, Cụ thể: - Tạo xác định tính hợp lệ chữ ký số (digital signatures) - Đáp ứng đăng ký thẻ người sử dụng - Xác thực người sử dụng phân phối thẻ chứng thực đến họ - Thu hồi thẻ chứng thực hết hạn - Tạo private key public key cho PKI client Với hỗ trợ PKI, hệ thống bảo mật xác thực người sử dụng theo cách an toàn so với cách xác thực chuẩn (xác thực thơng qua user name password): Nó sử dụng thẻ chứng thực có chứa thơng tin định danh public key đối tác trao đổi thơng tin để xác định định danh tính hợp lệ họ Ngồi ra, PKI cịn giúp mã hóa thơng tin nhạy cảm “ký” tài liệu số Có thể nói, PKI hạ tầng kỹ thuật thơng tin, cho phép người dùng Internet trao đổi thông tin cách riêng tư bảo mật thơng qua việc sử dụng cặp khóa public private riêng họ Cặp khóa nhận chia sẻ thông qua trung tâm ủy quyền tin cậy (CA) PKI cung cấp thẻ chứng thực số cho đối tác tham gia trao đổi thông tin môi trường Internet Thẻ sử dụng để định danh cá nhân, tổ chức dịch vụ thư mục 1.1.1 Các thành phần PKI Hệ thống PKI bao gồm thành phần sau: • PKI client • Certification Authority (CA) – Ủy quyền thẻ chứng thực CA thành phần thứ tin cậy (trusted third part), nhận yêu cầu phát hành (cấp) thẻ chứng thực, từ tổ chức cá nhân đó, phát hành thẻ chứng thực yêu cầu đến họ sau xác thực client yêu cầu (Verisign MSN hai công ty CA tiếng giới) CA dựa vào sách, trao đổi thơng tin mơi trường bảo mật, tổ chức để định nghĩa tập quy tắc, thủ tục liên quan đến việc phát hành thẻ chứng thực Mọi họat động tạo, phát hành, thu hồi thẻ chứng thực sau tuân theo quy tắc, thủ tục • Registration Authority (RA) – Ủy quyền đăng ký Nhiệm vụ RA kiểm tra yêu cầu thẻ chứng thực số client Khi PKI client gửi yêu cầu phát hành thẻ chứng thực số đến CA, CA ủy quyền phản hồi xác thực yêu cầu đến RA Sau kiểm tra yêu cầu thành công, RA forward yêu cầu đến CA CA nhận yêu cầu, phát hành thẻ chứng thực yêu cầu, gửi thẻ chứng thực đến RA RA forward thẻ đến cho PKI client (gửi u cầu phát hành thẻ chứng thực trước đó) • Digital certificates (DC) – Chứng số Thẻ chứng thực số xem card định danh (ID card) sử dụng môi trường điện tử/môi trường mạng máy tính Nếu thực tế, người ta dùng ID card để định danh cá nhân mơi trường trao đổi thơng tin an toàn, PKI sử dụng thẻ chứng thực số để định danh đối tượng suốt q trình truyền thơng Thẻ chứng thực số chứa thông tin sau: - Số serial thẻ chứng thực - Ngày hết hạn thẻ chứng thực - Chữ ký số CA - Public key PKI client Trong trình giao dịch, bên gửi gửi thẻ chứng thực số, với liệu mã hóa, cho bên nhận Bên nhận cuối sử dụng thẻ chứng thực số để xác nhận tính hợp lệ xác thực bên gửi Bên nhận, sử dụng public key CA để giải mã public key bên gửi (được nhận với thông điệp mã hóa đến từ bên gửi) Sau định dang bên gửi xác định, bên nhận sử dụng public key bên gửi để giải mã liệu mà nhận Một số loại chứng số thông dụng là: - Chứng X.509 - Chứng khóa cơng khai đơn giản (Simple Public Key Certificates - SPKC) - Chứng Pretty Good Privacy (PGP) - Chứng thuộc tính (Attribute Certificates – AC) • Certificate Distribution System (CDS) – Hệ thống phân phối thẻ CDS lưu trữ tất thẻ chứng thực phát hành đến cho người sử dụng mạng CDS lưu trữ cặp khóa, tính hợp lệ “chữ ký” khóa public Danh sách khóa hết hạn, khóa bị thu hồi bị mất, bị hết hạn CDS lưu trữ Ngoài cịn có thành phần khác: • Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính hợp lệ thể chứng thực số đối tác trao đổi thơng tin • Certificate revocation list (CRL): Chứa danh sách thẻ chứng thực bị thu hồi CA Danh sách Thu hồi Chứng (CRL) danh sách chứng kỹ thuật số bị thu hồi Tổ chức phát hành Chứng (CA) trước ngày hết hạn lên lịch khơng cịn đáng tin cậy CRL loại danh sách cấm sử dụng điểm cuối khác để xác minh xem chứng có hợp lệ đáng tin cậy hay khơng • Kỹ thuật mã hóa public key privte key: Có thể sử dụng để mã hóa giải mã thơng tin • Các đối tác (partner)/Đối tượng (Subject): Có thể users, organizations service systems: Đây đối tượng muốn sử dụng kỹ thuật public key private key để trao đổi thơng tin cách an tồn Hình sau cho ta nhìn khái quát chức thành phần hệ thống PKI hoạt động hệ thống này: User gửi yêu cầu phát hành thẻ chứng thực public key đến RA (1); Sau xác nhận tính hợp lệ định danh user RA chuyển yêu cầu đến CA (2); CA phát hành thẻ chứng thực cho user (3); Sau user “ký” thông điệp trao đổi với thẻ chứng thực vừa nhận từ CA sử dụng chúng (thẻ chứng thục số + chữ ký số) giao dịch (4); Định danh user kiểm tra đối tác thông qua hỗ trợ VA (5): Nếu thẻ chứng thực user xác nhận tính hợp lệ (6) đối tác tin cậy user bắt đầu q trình trao đổi thơng tin với (VA nhận thơng tin thẻ chứng thực phát hành từ CA (a)) Chứng thư số CA Chứng thư số hay gọi chứng thư điện tử, giống chứng minh thư nhân dân hộ chiếu bạn vậy, dùng để xác nhận danh tính đối tượng ví dụ phần mềm , ứng dụng, máy chủ đại diện cho cá nhân, tổ chức tham gia giao dịch điện tử, nhằm đảm bảo an tồn q trình giao dịch điện tử 1.2 Một chứng thư số phải đảm bảo đủ thông tin sau: Tên chủ thể, chủ sở hữu chứng thư số − Khóa cơng khai (Public key) − Một số thông tin khác như: thông tin doanh nghiệp, hạn sử dụng, thông tin sản phẩm… − Chữ ký số người cấp chứng thư Chứng thư số dùng để xác định danh tính đối tượng tham gia vào giao dịch điện tử dựa máy chủ xác thực danh tính 1.2.1 Quy trình cấp chứng thư số − • Bước 1: Khách hàng chuẩn bị đầy đủ hồ sơ thông tin cá nhân doanh nghiệp tên, giấy phép kinh doanh gửi thông tin đăng ký đến nhà cung cấp dịch vụ chữ ký số • Bước 2: Các nhà cung cấp dịch vụ chữ ký số xác thực thông tin cá nhân, doanh nghiệp có với thơng tin trung tâm liệu quốc gia, thông tin hồ sơ đăng ký chứng thư số chấp nhận Thông tin khách hàng nạp vào usb token smart card Khi khách hàng nhận hợp đồng thiết bị từ nhà cung cấp, cần xác nhận nội dung chứng thư số gì? Tên doanh nghiệp thời hạn chứng thư số có với hợp đồng hay khơng? • Bước 3: Nhà cung cấp NewCA gửi toàn thông tin doanh nghiệp A đến Trung tâm chứng thực chữ ký số quốc gia (Root CA) – Trực thuộc cục Ứng dụng công nghệ thông tin Bộ Thơng tin Truyền thơng • Bước 4: Doanh nghiệp đăng ký tài khoản với máy chủ Tổng cục thuế (Tên đăng nhập Mã số thuế doanh nghiệp), đồng thời gửi khóa cơng khai • Bước 5: Máy chủ thuế gửi yêu cầu xác nhận thông tin tới Trung tâm chứng thực chữ ký số quốc gia • Bước 6: Trung tâm chứng thực chữ ký số quốc gia (Root CA) trả lại kết xác nhận với quan thuế 1.3 Chứng số − Chứng số tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, cơng ty Internet Nó giống lái xe, hộ chiếu, chứng minh thư hay giấy tờ xác minh cá nhân Để có chứng minh thư, bạn phải quan Công An sở cấp − Chứng số vậy, phải tổ chức đứng chứng nhận thông tin bạn xác, gọi Nhà cung cấp chứng thực số (CA Certificate Authority) CA phải đảm bảo độ tin cậy, chịu trách nhiệm độ xác chứng số mà cấp Trong chứng số có ba thành phần chính: + Dữ liệu cá nhân người cấp + Khố cơng khai (Public key) người cấp + Chữ ký số CA cấp chứng • Dữ liệu cá nhân: − Bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức v.v − Phần giống thông tin chứng minh thư người • Khố cơng khai: − Là giá trị nhà cung cấp chứng thực đưa khóa mã hoá, kết hợp với khoá cá nhân tạo từ khố cơng khai để tạo thành cặp mã khoá bất đối xứng − Nguyên lý hoạt động khố cơng khai chứng số hai bên giao dịch phải biết khố cơng khai Bên A muốn gửi cho bên B phải dùng khố cơng khai bên B để mã hố thơng tin Bên B dùng khố cá nhân để mở thơng tin − Tính bất đối xứng mã hố thể chỗ khố cá nhân giải mã liệu mã hố khóa cơng khai, khố cơng khai khơng có khả giải mã lại thơng tin, kể thơng tin khố cơng khai mã hố − Một cách hiểu nơm na, chứng số chứng minh thư nhân dân, khố cơng khai đóng vai trị danh tính bạn giấy chứng minh thư (gồm tên địa chỉ, ảnh ), cịn khố cá nhân gương mặt dấu vân tay bạn − Nếu coi bưu phẩm thông tin truyền đi, "mã hoá" địa tên người nhận bạn, dù có dùng chứng minh thư bạn với mục đich lấy bưu phẩm này, họ khơng nhân viên bưu điện giao bưu kiện ảnh mặt dấu vân tay khơng giống • Chữ ký số CA cấp chứng chỉ: Còn gọi chứng gốc Đây xác nhận CA, bảo đảm tính xác hợp lệ chứng Muốn kiểm tra chứng số, trước tiên phải kiểm tra chữ ký số CA có hợp lệ hay khơng Trên chứng minh thư, dấu xác nhận Công An Tỉnh Thành phố mà bạn trực thuộc Về nguyên tắc, kiểm tra chứng minh thư, phải xem dấu này, để biết chứng minh thư có bị làm giả hay không Một số loại chứng số: − − Chứng X.509 Chứng khóa cơng khai đơn giản (Simple Public Key Trong 16 nhóm liệu LDS, nhóm liệu DG1 DG2 bắt buộc, cịn 14 nhóm liệu sau tùy chọn: • DG1: Nhóm liệu chứa thông tin giống với thông tin lưu MRZ • DG2: Nhóm liệu lưu trữ ảnh khn mặt mã hóa ngƣời sở hữu hộ chiếu Ảnh định dạng theo chuẩn JPEG JPEG2000 Kích thước ảnh khoảng từ 12 đến 20K (kilobytes) Đây thông tin thống toàn cầu giúp cho việc kiểm tra định danh người sử dụng với thông tin HCĐT • DG3: Nhóm liệu lưu trữ dấu vân tay ngƣời sở hữu HCĐT mã hóa 13 • DG4: Nhóm liệu lưu trữ mống mắt người sở hữu HCĐT mã hóa Hai nhóm liệu DG3 DG4 tùy chọn quốc gia việc đưa vào chip RFID HCĐT để xác thực người dùng • DG5: Lưu ảnh chân dung người mang hộ chiếu Định dạng ảnh JPEG JPEG2000 • DG6: Nhóm liệu dự phịng dùng tương lai • DG7: Nhóm liệu lưu chữ ký ngƣời mang hộ chiếu Thông tin lƣu dạng ảnh JPEG2000 • DG8/9/10: Các nhóm liệu mơ tả thơng tin đặc tính liệu, đặc tính cấu trúc • DG11/12: Nhóm liệu lưu trữ thông tin chi tiết thêm người sở hữu hộ chiếu ngồi thơng tin đƣợc lưu DG1 • DG13: Nhóm liệu chứa thông tin riêng biệt quan cấp hộ chiếu thể • DG14: Nhóm liệu dự phịng dùng cho tương lai • DG15: Nhóm liệu lưu khóa cơng khai dùng cho q trình xác thực chủ động • DG16: Nhóm liệu lưu trữ thơng tin người cần liên lạc 2.1.2 Một số yêu cầu bảo mật thông tin hộ chiếu điện tử Vấn đề bảo mật thông tin hộ chiếu điện tử quy trình cấp phát, kiểm duyệt vấn đề tối quan trọng an ninh quốc gia Vấn đề cần phải thỏa mãn yêu cầu sau: Tính chân thực: Cơ quan cấp hộ chiếu phải ghi thơng tin người cấp hộ chiếu, khơng có nhầm lẫn q trình ghi thơng tin cấp hộ chiếu Đây điều đương nhiên bắt buộc phải có Tính khơng thể nhân bản: Mục tiêu phải đảm bảo khơng thể tạo xác RFIC Tính nguyên vẹn tính xác thực: Cần chứng thực tất thông tin lưu trang liệu RFIC quan cấp phát hộ chiếu tạo Hơn cần chứng thực thông tin khơng bị thay đổi từ lúc bắt đầu lưu Tính liên kết người – hộ chiếu: Cần phải chứng minh hộ chiếu điện tử thuộc người mang hay nói cách khác thơng tin hộ chiếu mô tả, ghi thông tin người sở hữu hộ chiếu 14 Tính liên kết hộ chiếu- chip: Cần phải khẳng định booklet khớp với mạch RFIC nhúng Kiểm sốt truy cập: Đảm bảo việc truy cập thông tin lưu trữ chip đồng ý người sở hữu nó, hạn chế truy cập tới thông tin sinh trắc học nhạy cảm tránh mát thông tin cá nhân 2.1.3 Các chế bảo mật thông tin hộ chiếu điện tử Để đáp ứng yêu cầu bảo mật liệu hộ chiếu điện tử cần phải có chế bảo mật thơng tin nhằm ngăn chặn nguy đáp ứng yêu cầu bảo mật thông tin Tổ chức Hãng hàng không dân dụng quốc tế ICAO đưa chế bảo mật cho hộ chiếu điện tử sau [3]: Passive Authentication (PA): Cơ chế xác thực bị động, chế bắt buộc trình xác thực hộ chiếu điện tử Cơ chế làm nhiệm vụ kiểm tra tính nguyên vẹn xác thực thông tin lưu chip RFID cách kiểm tra chữ ký số quan cấp hộ chiếu để xác thực liệu lưu nhóm cấu trúc liệu logic LDS chip RFID Basic Access Control (BAC): Đây hệ chế kiểm soát truy cập sử dụng nhiều ePassports toàn giới Hệ thống kiểm tra bắt nguồn từ khóa truy cập cách đọc Vùng máy đọc (MRZ) datapage ePassport (thơng tin khóa tay khơng thể đọc máy MRZ) Các khóa sử dụng BAC đối xứng (tức khóa sử dụng để mã hóa liệu để truyền cho người đọc người đọc sử dụng để giải mã liệu) Thiết lập kết nối xác thực mật (PACE): PACE thiết kế để khắc phục hạn chế BAC, có sức mạnh hạn chế sử dụng mật mã đối xứng Nói cách đơn giản, q trình cho PACE giống BAC; nhiên, PACE sử dụng mật mã bất đối xứng để thiết lập bảo vệ mạnh chống lại nghe Active Authentication (AA): Cơ chế xác thực chủ động, chế đảm bảo tính xác thực chip tích hợp hộ chiếu điện tử cách đưa cặp khóa riêng Khóa bí mật lưu DG15 bảo vệ chế PA Khóa cơng khai tương ứng lưu vào nhớ bảo mật sử dụng chip RFID khơng thể đọc bên ngồi Cơ chế nên sử dụng nơi mà BAC áp dụng Extended Access Control (EAC): Mục đích chế EAC để tăng cường bảo vệ thông tin sinh trắc học nhạy cảm (vân tay, mống mắt) đồng thời khắc phục hạn chế trình xác thực chủ động Tuy nhiên ICAO đề cập tới chế dạng tùy chọn để quốc gia, giới khoa học tiếp tục nghiên cứu bổ sung Cơ chế bao gồm hai trình: − Xác thực chip (Chip Authentication) 15 Là giao thức cho phép hệ thống kiểm tra xác thực tính đắn chip RFID HCĐT Trước sử dụng giao thức chip RFID cần bảo vệ giao thức BAC − Xác thực đầu đọc (Terminal Authentication) Là giao thức chip RFID xác minh xem hệ thống kiểm tra có quyền truy cập đến vùng liệu nhạy cảm hay không Khi hệ thống kiểm tra truy cập đến liệu sinh trắc tất truyền thơng phải bảo vệ cách phù hợp Trước thực giao thức bắt buộc phải thực thành công giao thức Chip Authentication Supplement Access Control (SAC): Là chế kiểm soát truy cập bổ sung xuất vào tháng 12/2014 SAC dựa giao thức thiết lập kết nối có xác thực mật PACE ( Password Authenticated Connection Establishment) PACE cịn tích hợp tùy chọn để sử dụng số truy cập thẻ bổ sung cho MRZ (tức liệu cá nhân người chủ hộ chiếu in trang hộ chiếu) SAC khắc phục nhược điểm chế BAC, đảm bảo mức độ an toàn riêng tư cao 16 CHƯƠNG III: ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ PKI (Public Key Infrastructure) công nghệ đằng sau ePassport Cơ sở hạ tầng khóa cơng khai hộ chiếu điện tử hệ thống xác thực IS (Inspection System - Hệ thống kiểm duyệt điểm xuất nhập cảnh) PKI sử để xác thực liệu lưu chip điện tử RFID khiến cho đắt tiền khó giả mạo tất chế bảo mật triển khai đầy đủ xác Như sở hạ tầng khóa cơng khai triển khai cần phải đáp ứng hai trình: 2.1 Xác thực thụ động (Passive Authentication) Là trình kiểm tra tính ngun vẹn xác thực thơng tin lưu chip RFID Trong quy trình cấp phát hộ chiếu điện tử, sau ghi thông tin vào chip RFID, quan cấp hộ chiếu phải ký số lên chip để chứng thực thông tin vừa ghi vào Sau nhận chứng số CDS CA cấp cao phát hành, quan cấp HCĐT DS sử dụng khóa bí mật để ký số lên hộ chiếu đó, cịn khóa cơng khai lưu CDS Tại bước kiểm tra hộ chiếu điểm xuất nhập cảnh, hệ thống IS sử dụng chế Passive Authentication để kiểm tra xác thực chữ ký DS Hệ thống IS tiến hành đọc HCĐT, lấy chứng số CDS, kiểm tra tính xác thực khóa cơng khai CA phân phối, khóa cơng khai nước có triển khai HCĐT trao đổi với qua đường cơng hàm thơng qua danh mục khóa cơng khai PKD Sau xác thực xong CDS, hệ thống IS dùng CDS để xác thực nội dung lưu chip RFID 2.2 Xác thực đầu cuối (Terminal Authentication) Xác thực đầu cuối (TA) sử dụng để xác định xem hệ thống kiểm tra (IS) có phép đọc liệu nhạy cảm từ hộ chiếu điện tử hay không Cơ chế 17 dựa chứng kỹ thuật số có định dạng chứng xác minh thẻ Tại quốc gia có triển khai hộ chiếu điện tử, có quan cấp chứng số quốc gia, CSCA (Coutry Signing Certification Authority) CVCA (Country Verifying Certification Authority) Các CA cấp quốc gia phân phối chứng cho quan cấp hộ chiếu điện tử DS (Document Signer) để ký số lên hộ chiếu quan xác thực hộ chiếu điện tử DV (Document Verifier) để kiểm tra hộ chiếu Trong trình xác thực hộ chiếu điện tử, Terminal Authentication yêu cầu hệ thống kiểm tra IS chứng minh quyền truy cập vào vùng liệu nhạy cảm Khi hệ thống kiểm duyệt trang bị hệ thống xác thực chứng (Inspection System Certificate - ISC) để mã hóa khóa cơng khai hệ thống kiểm duyệt quyền truy cập, tương ứng với khóa bí mật Sau hệ thống kiểm duyệt chứng minh thơng tin khóa bí mật chip RFID chấp nhận cho hệ thống kiểm duyệt truy cập vào vùng liệu nhạy cảm ISC Mơ hình PKI triển khai với chế Terminal Authentication có thực thể sau: Mơ hình PKI phân cấp phục vụ chế Terminal Authentication CVCA (Country Verifying Certification Authority): Cơ quan xác thực chứng số quốc gia - DV (Document Verifier): Cơ quan xác thực hộ chiếu điện tử - IS (Inspection System): Hệ thống kiểm duyệt điểm xuất nhập cảnh 18 • Country Verifying Cas (CVCA) Tại quốc gia có triển khai hộ chiếu điện tử cần phải thiết lập điểm tin cậy (trust-point), gọi CVCA, nơi cung cấp xác thực chứng số DVCert cho quan xác thực hộ chiếu điện tử DV CVCA xác định tất quyền truy cập đến tới chip RFID cho tất DV (bao gồm DV quốc gia DV quốc gia khác) cách cung cấp chứng cho DV, có mơ tả quyền truy cập thông tin Để giảm thiểu nguy mát thơng tin, DV-Cert có giá trị khoảng thời gian ngắn CVCA có tồn quyền gán thời hạn cho DV-Cert chứng DV khác có thời hạn khác • Document Verifiers Inspection Systems Document Verifiers (DV) quan xác thực hộ chiếu, đơn vị tổ chức quản lý hệ thống kiểm duyệt IS, cung cấp chứng số IS-Cert cho IS Như vậy, DV CA xác thực CVCA Inspection System (IS) hệ thống kiểm duyệt HCĐT điểm xuất nhập cảnh Để chip RFID chứng thực chứng số IS-Cert IS cần phải gửi chuỗi chứng hay chứng liên kết quốc gia (CVCA Link Certificates), bao gồm DV- Cert IS-Cert 19 Mơ hình PKI chung cho HCĐT IS ICAO PKD Để chữ ký điện tử trở thành tính bảo mật hiệu hiệu quả, quốc gia phải trao đổi chứng tương ứng với Trong hai chứng CSCA DSC trao đổi song phương, số lượng ngày tăng nước phát hành ePassports khối lượng ePassports tương ứng cao dẫn đến hệ thống không hiệu quả, phức tạp dễ bị lỗi Như vậy, ICAO tạo hệ thống để tạo thuận lợi cho việc chia sẻ thông tin quốc gia: Danh bạ khóa cơng khai ICAO (PKD) PKD ICAO thư mục tập trung cung cấp nguồn trực tuyến độc lập, có tổ chức, an tồn tiết kiệm chi phí để cập nhật thơng tin 20 Người tham gia PKD tải lên chứng CSCA tương ứng họ, chứng người ký chứng DSC, Danh sách thu hồi chứng CRL Danh sách Chính cho PKD ICAO Trong người tham gia PKD yêu cầu gửi chứng CSCA họ đến PKD ICAO, họ không xuất trực tiếp thư mục để tải xuống Thay vào đó, chúng sử dụng Nhà điều hành PKD để xác thực chứng người ký chứng chỉ, chứng người đăng ký danh sách danh sách thu hồi chứng trạng thái phát hành trước mục xuất lên PKD ICAO cung cấp cho người tham gia PKD người dùng khác để tải xuống 21 2.3 Quy trình cấp phát hộ chiếu điện tử đề xuất Quy trình cấp phát hộ chiếu điện tử đề xuất Quá trình cấp phát hộ chiếu điện tử trải qua bước sau: Bước 1: Đăng ký cấp hộ chiếu theo mẫu quan cấp phát, quản lý hộ chiếu phát hành Bước 2: Kiểm tra nhân thân Bước 3: Thu nhận thông tin sinh trắc học gồm có ảnh khn mặt, ảnh vân tay, ảnh mống mắt Tuy nhiên tùy thuộc vào ngữ cảnh đối tượng tương ứng mà thu nhận đặc điểm sinh trắc Bước 4: Ghi thông tin vào chip RFID, in hộ chiếu − − − − Ghi thông tin trang hộ chiếu giấy vào DG1 Ghi ảnh khuôn mặt vào DG2; Ghi ảnh hai vân tay vào DG3 Ghi hai ảnh hai mống mắt vào DG4 22 − Ghi thơng tin khác khóa cơng khai PKRFIC phục vụ q trình Chip Authentication vào DG14, khóa bí mật SKRFIC phục vụ q trình Chip Authentication − Khóa cơng khai PKCVCA dùng cho q trình Terminal Authentication vào nhớ bí mật − Ghi SOD tạo giá trị băm nhóm thơng tin theo thuật tốn SHA-256 Tập tất giá trị băm gọi SOLDS Tiến hành lấy SOLDS khóa bí mật quan cấp hộ chiếu ta chữ ký SOLDS ký hiệu SOD.Signature Cấu trúc SOD (SOLDS,… , SOLDS.cert) SOLDS.cert chứng thư số Phần thông tin phục vụ Passive Authentication trình tạo đối tượng SOD 2.4 Quy trình xác thực hộ chiếu điện tử Quá trình kiểm tra, xác thực hộ chiếu điện tử cửa thực theo bước sau: 23 Quy trình xác thực hộ chiếu điện tử đề xuất • Bước 1: Người mang hộ chiếu xuất trình hộ chiếu cho quan kiểm tra, quan tiến hành thu nhận đặc tính sinh trắc học từ người xuất trình hộ chiếu • Bước 2: Kiểm tra đặc tính bảo mật trang hộ chiếu giấy thông qua đặc điểm an ninh truyền thống: thủy ấn, dải quang học, lớp bảo vệ ảnh… • Bước 3: Hệ thống RFIC thực q trình BAC, sau BAC thành cơng hệ thống đọc thơng tin chip Mọi thông tin trao đổi đầu đọc chip truyền thơng qua mã hóa sau xác thực theo cặp khóa IS tiến hành thực chế BAC HCĐT Đây chế chống nghe đọc trộm thông tin truyền từ chip RFIC đến IS Ý tưởng BAC phải 24 có đồng ý người sở hữu hộ chiếu phép đọc thông tin từ chip RFIC Do hệ thống cho phép truy cập thơng tin nhận khóa truy cập từ vùng liệu MRZ Nghe đọc trộm bị chặn cách truyền thông báo bảo mật, liệu trao đổi RFIC IS mã hóa sử dụng cặp khóa phiên có từ BAC • Bước 4: Thực xác thực bị động Passive Authentication để kiểm tra tính xác thực tồn vẹn thơng tin lưu chip thông qua kiểm tra chữ ký khố cơng khai quan cấp hộ chiếu Tiến hành thực trình Passive Authentication để kiểm tra tính xác thực tồn vẹn thơng tin lưu chip RFID thông qua việc kiểm tra chữ ký lưu SOD khóa cơng khai quan cấp hộ chiếu Việc trao đổi khóa cơng khai thông qua chứng số đƣợc thực theo mô hình khuyến cáo ICAO Thực thành cơng q trình Passive Authentication với Chip Authentication chế EAC khẳng định chắn chip hộ chiếu ngun gốc • Bước 5: Q trình Terminal Authentication chứng minh quyền truy cập thông tin hệ thống đến thông tin sinh trắc học Chỉ thực quan kiểm tra hộ chiếu triển khai EAC Sau Terminal Authentication thành công, đầu đọc truy cập thơng tin theo quyền thể chứng thư số • Bước 6: Hệ thống thực so sánh thông tin sinh trắc học thu nhận trực tiếp từ người xuất trình hộ chiếu với thông tin sinh trắc học lưu chip Hệ thống kiểm duyệt có quyền truy cập vào vùng liệu DG2, DG3, DG4 tiến hành đọc liệu sinh trắc người sở hữu hộ chiếu (ảnh khuôn mặt, dấu vân tay, mống mắt) lưu chip RFID hộ chiếu điện tử Cùng lúc đó, thiết bị nhận dạng đặc biệt, quan kiểm tra tiến hành thu nhận đặc tính sinh trắc học nhƣ ảnh khn mặt, vân tay, mống mắt… từ người dùng Sau đó, hệ thống thực q trình trích chọn đặc trưng đặc tính sinh trắc, tiến hành đối chiếu đưa kết Nếu ba liệu sinh trắc thu trực tiếp từ người dùng khớp với liệu thu từ chip RFID quan kiểm tra xác thực có đủ điều kiện để tin tưởng hộ chiếu điện tử đắn người mang hộ chiếu hợp lệ • Bước 7: Nếu q trình so sánh thành cơng kết hợp với chứng thực trên, quan kiểm tra hộ chiếu có đủ điều kiện để tin tưởng hộ chiếu xác thực người mang hộ chiếu người mô tả hộ chiếu 25 TỔNG KẾT 26 TÀI LIỆU THAM KHẢO 27 ... cấp chứng thư số 1.3 Chứng số CHƯƠNG II: HỘ CHIẾU ĐIỆN TỬ 2.1 Hộ chiếu điện tử 2.1.1 Cấu trúc hộ chiếu điện tử 10 Cấu trúc logic hộ chiếu điện tử (Logical... cho quan cấp hộ chiếu điện tử DS (Document Signer) để ký số lên hộ chiếu quan xác thực hộ chiếu điện tử DV (Document Verifier) để kiểm tra hộ chiếu Trong trình xác thực hộ chiếu điện tử, Terminal... phát hộ chiếu điện tử đề xuất Quy trình cấp phát hộ chiếu điện tử đề xuất Quá trình cấp phát hộ chiếu điện tử trải qua bước sau: Bước 1: Đăng ký cấp hộ chiếu theo mẫu quan cấp phát, quản lý hộ chiếu